Neun Schritte in die Wolke
Checkliste: sicheres Cloud Computing
Die nachstehende Best-Practice-Checkliste gibt erste Antworten und unterstützt Entscheider bei der Überprüfung der vielfältigen, am Markt gehandelten Lösungen für die Zusammenarbeit in der Cloud. Denn auch im Zeitalter von Internetüberwachungsprogrammen wie "PRISM" und "Tempora" gibt es Plattformen, die unberührt von Mitlesern der Geheimdienste eine sichere und regelkonforme Arbeitsumgebung für die bereichsübergreifende Zusammenarbeit an vertraulichen Informationen und Dokumenten bieten.
Die Checkliste beruht auf Empfehlungen des Düsseldorfer Kreises aus dem Jahr 2010 und wurde in den vergangenen drei Jahren kontinuierlich an die fortschreitende Entwicklung angepasst.
1. Beteiligte Instanzen
Zunächst müssen Ross und Reiter genannt werden. Hiermit meint man die datenschutzseitigen Verantwortungssphären, die im Vorfeld der Zusammenarbeit mit einem Cloud-Anbieter festzulegen sind. Dabei geht es um Transparenz. Man muss wissen, wer im Spiel ist.
-
Der Datenherr, auch Principal oder Controller genannt, bezeichnet das Unternehmen, das eine Lösung für die sichere Zusammenarbeit in der Cloud sucht.
-
Processor nennt man den Lösungsanbieter einer webbasierten Security-Plattform für den sicheren und regelkonformen Austausch von vertraulichen Projektdaten und Dokumenten.
-
Die Subunternehmen werden vom Lösungsanbieter beauftragt. Hierzu zählt in unserem Beispiel der Servicer-Provider, ein zertifiziertes Rechenzentrum, das die Lösung betreibt und Auskunft geben kann, wo die Daten des Datenherrn aufbewahrt werden. Der Datenherr sollte sich die vollständige Liste der Subunternehmen inklusive aller Tochtergesellschaften vom Processor zeigen lassen.
-
Die sogenannten Third Parties erfüllen eine Aufgabe, die für das Funktionieren der Lösung wesentlich ist. Ein Beispiel: Im Rahmen der zweistufigen Authentifizierung mit Passwort und SMS-TAN für den Zugang zur Plattform wird eine SMS auf das Mobilfunktelefon der Mitarbeiter des Datenherrn geschickt. Zu klären sind folgende Fragen: Wer verschickt diese SMS und bekommt im Vorfeld die Mobilfunknummer? Etwa die NSA? Oder ein Anbieter, den Datenherr und Processor im Vorfeld auf Herz und Nieren prüfen können?
2. Datenkategorien und räumliche Bestimmbarkeit
Hier geht es um die alles entscheidende Frage: Welche Daten gehen in die Cloud, und wo befinden sie sich dann genau? Das mag unerheblich sein, wenn ein Unternehmen nur "langweilige" respektive unkritische Daten wie beispielsweise Firmenname, Adresse, E-Mail und Telefonnummer herausgibt. Sobald aber Daten mit Personenbezug in die Wolke wandern, die beispielsweise Auskunft über den Gesundheitszustand eines Mitarbeiters, das Führungszeugnis oder andere persönliche Eigenschaften geben, ist es laut Bundesdatenschutzgesetz (BDSG) unabdingbar, diese Daten in einer bestimmten, vertraglich festgelegten Region zu speichern und den Aufbewahrungsort jederzeit kurzfristig lokalisieren zu können. Anbieter wie Amazon, Google und Microsoft fallen deshalb durch das Raster für sicheres Cloud Computing: Sie können den Speicherort nicht schnell genug herausfinden und benennen.
- 6 Tipps gegen Cloud-Missverständnisse
Viele Investitionen in Private Clouds sind verschwendet. Der Grund: IT-Macher betrachten die Projekte lediglich als Virtualisierung mit anderen Mitteln. Fragt sich, wie CIOs dafür sorgen können, dass ihre Organisation auf echtes Cloud-Computing einschwenkt. Forrester gibt hier sechs Empfehlungen. - 1. CIOs tun gut daran, ...
... virtualisierte Umgebungen und Cloud-Lösungen von einander zu trennen. Nicht alle Aufgaben eigenen sich für eine Verlagerung in die Cloud, und wer die Dinge unsystematisch vermischt, kann schnell Chaos anrichten. - 2. CIOs sollten jenen Administratoren, ...
... die jede virtualisierte Lösung für Cloud Computing halten, Zugang zu spannenden Public-Cloud-Lösungen verschaffen und das Verständnis für die Unterschiede systematisch fördern, Begeisterung wecken. - 3. CIOs sollten ihren Mitarbeitern die Angst davor nehmen, ...
... durch Cloud Computing Nachteile im Job zu erleiden. Denn was soll schlecht daran sein, Anwendungen zu pflegen und zu füttern statt Kapazitäten zu managen? - 4. Kluge CIOs ...
... lernen von jenen Fachabteilungen, die bereits auf eigene Faust Cloud-Lösungen aufgebaut haben und diese Lösungen mit ihren Teams diskutieren. - 5. Wenn es aus welchen Gründen ...
... auch immer nicht möglich ist, selbst eine Cloud-Umgebung aufzubauen, sollten sich CIOs kurzfristig einen Dienstleister dafür suchen. Dadurch haben sie die Möglichkeit, schnell und niedrigschwellig mit dem Thema zu beginnen. - 6. Weiter denken
Nach Ansicht von Forrester liegt die Zukunft in komplexen Platform-as-a-Sevice- und Infrastructure-as-a-Service-Lösungen. Einen Weg zurück, also einen Wiederabstieg von den Wolken, wird es laut Forrester-Analyse nicht geben.
3. Kontrollrechte und Audits
Vor dem Gesetz wird der Datenherr so behandelt, als hätte er die sichere Arbeitsumgebung selbst aufgesetzt. Daher liegt es nahe, dass sich der Auftraggeber so gut wie möglich absichert und vor Vertragsabschluss möglichst viel Einblick in die Voraussetzungen und Leistungen des Processors bekommt. Man unterscheidet hier das
-
vollständige Live-Audit, bei dem der Datenherr die Lösung live anschaut und Fragen an den Processor und den Subunternehmer stellt,
-
das Audit durch schriftliche Selbstauskunft, in dem bis zu 20 Fragen aufgelistet werden, die der Processor beantworten muss,
-
den "Structured Walk Through", das heißt die Formulierung von etwa 10 bis 20 Prüfpunkten, die für eine zuverlässige Cloud-Lösung typisch und wesentlich sind, und
-
das Audit via Remote Session, bei dem der Datenherr zugeschaltet wird und die Lösung im Online-Meeting vorgeführt bekommt.