21:11:50

Pressemeldung / Pressemitteilung für newsmax Journal markieren
17.08.2012 15:53 Uhr in Telekommunikation
Unternehmensmeldung

Gefahren aus der Wolke

Ob Dropbox oder iCloud; Cloud-Services haben sich im privaten Bereich längst etabliert. Durch die Konsumerisierung wird dieser Trend auch in die Geschäftswelt getragen. Vor dem Schritt in die Wolke gilt es jedoch einige grundsätzliche Fragen zu klären.

Wer kennt sie nicht, die Bilder aus der iCloud-Werbung? Der Ferienschnappschuss von der iPhone-Kamera, der im nächsten Augenblick bereits auf dem iPad zu sehen ist, oder das Musikalbum, mit dem iPhone im iTunes-Store gekauft, das wenig später in iTunes auf dem MacBook erscheint . Alle Daten sind jederzeit und allerorts verfügbar und synchronisiert. Praktisch, zeitsparend und ohne grossen Aufwand kann der User mit all seinen Geräten, ob Smartphone, Tablet, PC oder Laptop, auf seine Daten zugreifen. Alles was er braucht, ist einen Internetanschluss. Viele User nutzen bereits seit längerer Zeit Cloud-Services, etwa E-Mail-Adressen mit Online-Speicherplatz wie GMail oder GMX. Doch während dabei bewusst in Kauf genommen wird, dass die Daten dezentral gespeichert werden, muss bei der Inbetriebnahme eines neuen Apple-Produkts das Häkchen im Setup aktiv entfernt werden, um darauf zu verzichten, dass die Daten in die iCloud geladen werden.

Vom Privaten ins Business
Die Cloud bringt viele Vorteile mit sich, wirft jedoch auch einige kritische Fragen auf. Wo werden diese Daten gespeichert? Wer kann sich dazu Zugriff verschaffen? Wie werden sie ausgewertet und welche Rechte trete ich ab, wenn ich ein Bild, ein Foto oder ein Dokument hoch lade? Wird das Gerät nur für den privaten Einsatz genutzt, muss sich jeder Nutzer selbst die Frage stellen, ob und in welchem Ausmass er seine Daten einer Drittpartei anvertraut. Oft werden jedoch Dienste wie Dropbox auch ohne Einwilligung des Unternehmens für geschäftliche Daten „missbraucht“, womit die Cloud auch im Unternehmen zum Thema wird. Sicherheitsrelevante Folgen für das Unternehmen sind vorprogrammiert.

Sicherheitsmassnahmen ergreifen
Damit die Cloud durch solche Vorfälle nicht unfreiwillig zum Thema wird, sollten sich Unternehmen frühzeitig mit einer Cloud-Strategie auseinandersetzen und auch mobile Geräte einbeziehen. Einige sicherheitsrelevante Punkte, die es zu beachten gilt, zählt eine kürzlich erschienene Studie des Fraunhofer-Instituts für Sichere Informationstechnologie auf. Bei etlichen Cloud-Speicherdiensten wurden Sicherheitsmängel festgestellt. Obwohl sich die meisten Anbieter der Wichtigkeit von Datensicherheit und Privatsphäre bewusst sind, kommt keiner der Anbieter allen vom Frauenhofer-Institut als zwingend definierten Sicherheitsmassnahmen nach. Die Studie kommt zum Schluss, dass sich Firmen ständig über die Angebote der verschiedenen Anbieter auf dem Laufenden halten sollten, so dass ein Wechsel jederzeit möglich ist, sollte der Provider zu teuer werden oder sich nicht mehr an staatliche Regeln halten. Ein Notfallplan für eine unterbrechungsfreie Kontinuität empfiehlt sich in jedem Fall.

Vorsicht vor unsicheren Drittstaaten
Solange es keine ausreichend einheitlichen internationalen Rechtsstandards gibt, sollten Unternehmen darauf achten, dass ihre Daten innerhalb des Europäischen Wirtschaftsraums (EWR) bleiben. Laut dem Frauenhofer-Institut ist dies der einzige Weg zu einem adäquaten Schutz der Privatsphäre. Ist unklar, wo die Server physisch stehen, besteht die Gefahr, dass sie sich in Ländern befinden, die es mit dem Datenschutz nicht so genau nehmen. Werden die Daten beispielsweise auf Servern in den USA gespeichert, können amerikanische Ermittler auf Basis des nach den Terroranschlägen vom 11. September eingeführten Patriot Acts auch auf Daten europäischer Unternehmen zugreifen.

Die Weitergabepflicht von Daten geht weit über die Landesgrenzen hinaus. Laut dem Unabhängigen Landeszentrum für Datenschutz Schleswig-Holstein (ULD) trifft die Weitergabepflicht nicht nur auf Daten zu, die in den USA gespeichert werden. Sobald eine Konzernverbindung des Clouddienstes zu den USA besteht, ist der „Patriot Act“ anwendbar. Ausserdem gehen Zugriffsrechte von US-Behörden auf europäische Firmen-Daten auch noch aus anderen Gesetzen hervor. Egal ob die Daten in den USA oder in China gespeichert sind, bei Cloud-Anbietern in unsicheren Drittstaaten ist aus datenschutzrechtlicher Sicht Vorsicht geboten.

Alte Standards, neue Herausforderungen
Oft ist es nicht möglich, das Rechenzentrum eines Clouddienstes persönlich zu besuchen, um sich einen Eindruck davon zu verschaffen. Zertifikate bieten sich als Qualitätskriterium an. Bekannte Zertifikate wie ISO 27001 oder SAS 70 sind jedoch auf konventionelle Rechenzentren und Dienstleistungen ausgelegt und werden modernen Clouddiensten nicht mehr gerecht. Deshalb haben sich europäische Cloud-Anbieter zu EuroCloud zusammengeschlossen. In den daraus hervorgegangenen Cloud SaaS Star Audit-Standard fliessen auch andere Daten wie die Art der technischen Sicherheitsmassnahmen ein. Das Zertifikat steht jedoch erst am Anfang.

Vertragsgestaltung
Der Vertragsgestaltung kommt eine wichtige Rolle zu, da eine vollständige und kontrollierbare Leistungsbeschreibung dazu dient, die Qualität und Informationssicherheit des Cloud-Dienstes zu sichern. Es sollten Auditrechte für Dokumente, Beschreibungen und Protokolle, Kennzahlen für Integrität und Vertraulichkeit und Schnittstellen für das Security Monitoring und Incident Handling definiert werden. Ausserdem ist es wichtig, festzulegen, was bei einer allfälligen Beendigung des Vertragsverhältnisses mit den Daten passiert.

Wie all diese Beispiele zeigen, ist eine Kontrolle über die Sicherheit der Clouddienste schwierig realisierbar, jedoch nicht unmöglich. Vertraulichkeit, Integrität und Verfügbarkeit sind neben den territorialen Aspekten wichtige Kriterien bei der Wahl des richtien Anbieters.



www.go4mobile.ch