Checkliste: sicheres Cloud Computing

8. Datenlöschung

Um die Voraussetzungen für eine funktionierende Trennungskontrolle zu schaffen, muss der Cloud-Anbieter über Löschungsroutinen verfügen, die sicherstellen, dass Speicherplätze nach Ablauf der Nutzung beziehungsweise nach Transfer der Daten an einen anderen Speicherort (mit Copy und Paste) gereinigt werden und keine Restdaten an diesem Ort verbleiben. In jüngster Vergangenheit häuften sich Berichte zu Datenvorfällen, bei denen genau diese Voraussetzungen nicht erfüllt wurden. Beispielsweise stießen neue Nutzer bei der Ablage ihrer Daten in der Cloud auf Urlaubsfotos von Vorbesitzern. In einer Profi-Cloud darf so etwas nicht passieren. Hier wird der Anwender nach der Löschungsroutine mit einer Löschquittung über den Abschluss des Löschvorgangs seiner gespeicherten Daten informiert.

9. Dokumentation

Wenn ein Datenherr einen Vertrag mit einem Cloud-Anbieter schließt, geht er davon aus, dass sich bestimmte Sachverhalte in einer bestimmter Art und Weise ereignen. Beispielsweise möchte er wissen, wo die Daten seines Unternehmens vorgehalten werden. Ebenfalls von Interesse ist, ob eventuell Datensätze in der Cloud von einem Speicherplatz auf einen anderen verschoben werden, wenn Speicherkapazitäten erschöpft sind und neuer Speicher benötigt wird.

Die operationellen Abläufe und etwaige Änderungen sowohl in der Sphäre des Datenherrn als auch in der Sphäre des Processors sind daher bereits im Vorfeld detailliert zu beschreiben. Dazu zählt auch der Nachweis eines aktiven Meldeverfahrens aufseiten des Cloud-Anbieters. Dieses bereitet nach wie vor vielen Lieferanten Probleme. Nach Erfüllung dieser Voraussetzungen steht einer ungetrübten Zusammenarbeit zwischen Datenherr und Processor nichts mehr im Wege. (sh/ad/hal)