Security-Strategien in der Hybrid Cloud
Private Cloud und Public Cloud sicher verbinden
Cloud Computing wurde vom deutschen Markt lange Zeit reserviert aufgenommen. Das Blatt hat sich mittlerweile gewendet, wie aktuelle Zahlen belegen. Nach den Ergebnissen des "Cloud Monitors 2013" des Bitkom und der Wirtschaftsprüfungs- und Beratungsgesellschaft KPMG nutzten Ende des Jahres 2012 in Deutschland 37 Prozent aller Unternehmen Cloud Computing. Im Jahr zuvor waren es erst 28 Prozent. Weitere 29 Prozent planten oder diskutierten den konkreten Einsatz.
Doch Cloud ist nicht gleich Cloud. Beim Cloud Computing beziehen Unternehmen klassische IT-Leistungen wie Speicherplatz, Rechenleistung oder Anwendungsprogramme nach Bedarf aus den verteilten Rechenzentren eines externen Dienstleisters (Public Cloud). Alternativ bietet sich der Aufbau einer eigenen Cloud-Lösung im internen Netzwerk an: die Private Cloud. "Aus Sicherheitsgründen und aus Sorge vor Kontrollverlust über ihre Daten setzen große deutsche Firmen bevorzugt auf die Private Cloud im eigenen Rechenzentrum", beschreibt Sven Klindworth, Leiter des Beratungsteams für Rechenzentren und Cloud-Lösungen beim Netz- und IT-Dienstleister BT Germany, die Situation.
Ein Problem in der derzeitigen Sicherheitsdebatte sei, dass der Begriff "Public Cloud" oft mit "unsicherer Service irgendwo im Internet" gleichgesetzt werde. Während Angebote für Privatkunden und kleine Unternehmen in der Tat meist über das Internet realisiert werden, gibt es für größere Unternehmen längst andere Möglichkeiten: "Ein Netzbetreiber wie BT kann seine Cloud-Infrastruktur per MPLS oder Ethernet-Anbindung direkt mit dem Firmennetz des Kunden verbinden", erläutert Klindworth. Das sei wesentlich performanter und sicherer als über das Internet.
Durch eine solche Architektur lassen sich hybride Cloud-Lösungen aufbauen, die höchste Anforderungen an Datensicherheit und -schutz erfüllen - denn diese Aspekte sind in jeder Hinsicht ein Thema, wenn es um die Cloud geht. So schreibt der Gesetzgeber in Deutschland, aber auch in zahlreichen anderen europäischen Ländern, den Firmen strenge Regeln vor. Deutsche Unternehmen dürfen bestimmte Finanzdaten beispielsweise nicht ohne Weiteres außerhalb des Landes speichern. Enge Grenzen gelten auch bei der Verarbeitung personenbezogener Daten. Eine Cloud-Lösung, bei der nicht klar definiert ist, wo die Daten liegen, kommt dafür nicht in Frage. "Aus Compliance-Gründen sollten international tätige Unternehmen einen Anbieter wählen, bei dem sie individuell bestimmen können, welche Daten in welchem Land verarbeitet werden", so Klindworth.
- Tipps zur datenschutzrechtlichen Vorsorge
Wie sicher sind meine (personenbezogenen) Daten in der Cloud überhaupt? Wann beziehungsweise wo muss ich damit rechnen, dass ausländische Behörden auf meine Daten zugreifen? Fünf Tipps für mehr Sicherheit beim Cloud Computing. - Tipp 1:
Nutzen Sie nur europäische Clouds, um Konflikte mit dem hiesigen Datenschutz zu vermeiden - Tipp 2:
Bei internationalen Cloud-Modellen mit Bezug zu unsicheren Drittstaaten müssen ausreichende Garantien des Cloud-Dienstleisters eingefordert werden. - Tipp 3:
Machen Sie gegebenenfalls von dem Ihnen möglicherweise zustehenden Sonderkündigungsrecht Gebrauch. Als erste Orientierungshilfe gibt es dazu es ein Positionspapier des Unabhängigen Landeszentrums für Datenschutz Schleswig-Holstein, ULD, vom 15. November 2011 - Tipp 4:
Prüfen Sie bevor sie sich für einen Cloud-Dienstleisters entscheiden dessen Beteiligungsverhältnisse in möglicherweise unsichere Drittstaaten. - Tipp 5:
Gestalten Sie Ihre Verträge mit den Cloud-Anbietern auch in datenschutzrechtlicher Hinsicht rechtssicher, indem Sie (neben den Mindestanforderungen aus Paragraf 11 BDSG) auch den Speicher- und Verarbeitungsort Ihrer Daten genau festlegen und Übermittlungsverbote Ihrer Daten in unsichere Drittstaaten vereinbaren und mit Vertragsstrafen verbinden.