Cloud-Daten sicher löschen

Sensible Unternehmensdaten, die nach einem Cloud-Anbieter-Wechsel noch beim Provider verbleiben, sind für Unternehmen der Horror. So sollte es zumindest sein, denn geschäftskritische und personenbezogene Daten haben nach Vertragsende auf Speichermedien, die nicht mehr der Kontrolle des Dateneigentümers unterliegen, nichts mehr zu suchen. Das verbieten allein schon der Datenschutz, Compliance-Regeln und die Sorge um das Wohl und Renommee des ehemaligen Klienten. Eine Offenlegung nicht mehr kontrollierbarer Kunden- oder Mitarbeiterdaten kann für jedes Unternehmen existenzbedrohende Folgen haben.

Cloud-Daten sicher löschen
Daten in der Public Cloud nach Vertragsende unwiederbringlich zu löschen ist keine große Sache, könnte man meinen. Doch der Teufel steckt im Detail. Die virtualisierten Storage-Technologien machen es genau genommen unmöglich, Daten physikalisch und damit wirklich sicher zu überschreiben. Dennoch lassen sich Vorkehrungen treffen, damit es nicht zum Worst Case kommt.

Laxer Umgang mit Datenlöschung in der Cloud
In der Regel fordern nur sicherheitssensible Unternehmen die Löschung der Daten explizit beim Cloud-Dienstleister ein.

Rechtliche Regelung für Cloud-Daten
Juristisch gilt auch für Cloud-Services der im Bundesdatenschutzgesetz (BDSG) verankerte Grundsatz der Datensparsamkeit. Das heißt, wenn die Daten nicht mehr benötigt werden, müssen sie gelöscht werden.

Kundendaten sind schwer zu löschen
Da der Kunde Zugriff auf seine Daten hat, kann er sie ändern und auch löschen. Zu glauben, dass die Daten deshalb beseitigt sind, wäre jedoch sehr blauäugig. Der Grund: Die Kundendaten graben sich tief in die Datenbanken und Sicherungssysteme des Providers ein, auf die der Nutzer keinen direkten Zugriff hat.

Löschung vertraglich absichern
Weil die Kundendaten tief in den Datenbanken und Sicherungssystemen der Provider gespeichert sind, kommt der Cloud-Kunde nicht umhin, die Löschung der Daten dem Provider zu übertragen. Deshalb sollte er die Löschung auch vertraglich absichern. In der Regel schließen Unternehmen mit dem Provider einen Auftragsdaten-Verarbeitungsvertrag (ADV), der meist Teil des Kundenvertrags und der Service-Level-Agreements (SLAs) ist.

Exit-Bedingen klar formulieren
Zwingend notwendig ist der Abschluss solcher Verträge nicht. Aber Experten vom Bundesamt für Sicherheit in der Informationsverarbeitung (BSI) und vom Verband der deutschen Cloud-Industrie, Eurocloud, raten dringend dazu, die Exit-Bedingungen klar ausformulieren. EuroCloud macht sich dafür stark, dass die Datenlöschung als grundsätzlicher Bestandteil der Service-Levels in die Cloud-Verträge aufgenommen wird.

Procedere des Löschvorgangs
In der Praxis verläuft das Procedere zum Löschen der Kundendaten überall ähnlich. Gängige Praxis ist es, dass der Kunde per E-Mail die Datenlöschung in Auftrag gibt. Dann wird beim Provider für sämtliche Informationen, die mit einem Kunden zusammenhängen, ein Löschauftrag erstellt und der Prozess nachts ausgeführt. Nach erfolgter Annullierung wird der Kunde automatisch per E-Mail benachrichtigt.

Kundendaten werden überschrieben
Mit der Eliminierung der Kundendaten gibt die Datenbank beim Cloud-Dienstleister den Speicherplatz frei, so dass er komplett wieder mit anderen Daten überschrieben werden kann. Mit jedem neuen Kunden wird dann die Wahrscheinlichkeit größer, dass die abgelegten Daten überschrieben werden. Der Provider kommt dann an die Daten nicht mehr heran.

Kontrolle des Kunden ist theoretisch
Theoretisch könnte sich der Kunde selbst überzeugen, dass die Daten gelöscht wurden oder dass zumindest alle technischen und organisatorischen Maßnahmen ordnungsgemäß eingehalten werden. Dazu müsste er sich aber vertragsrechtlich Audit-Rechte einräumen lassen. Doch das ist pure Theorie. Abgesehen davon, dass es technisch kaum machbar ist, sich von der Datenlöschung zu überzeugen, würde kein Cloud-Anbieter einem Kunden ein solches Recht einräumen.

Audit-Rechte festlegen
Es kann jedoch sinnvoll sein, wenn sich der Kunde Audit-Rechte auf Dokumente, Beschreibungen und Protokolle einräumen lässt, um zum Beispiel den korrekten Ablauf von Löschprozessen nachvollziehen zu können.

Zertifizierungen einfordern
Neben Audit-Rechten können vom Kunden Zertifizierungen gefordert werden, die einen Mindeststandard bezüglich der Informationssicherheit gewährleisten. Eurocloud bietet beispielsweise mit dem „Eurocloud Star Audit“ solche Zertifizierungen an. Dadurch wird ein Prozess etabliert, womit die Kundendaten komplett gelöscht werden, sobald ein Kunde ausscheidet.

Keine sichere Löschung in der Public Cloud
Den Security-Experten vom Bundesamt für Sicherheit in der Informationstechnik (BSI) sind Zertifizierungen zu wenig. Sie geben zu bedenken, dass mit dem gängigen Löschprocedere die Daten keineswegs sicher gelöscht würden. Der Grund: Werden in Cloud-Umgebungen Datenbanken oder virtuelle Festplatten gelöscht, wird in der Regel nur die Referenz auf die Daten entfernt, die Informationen sind aber weiterhin physikalisch auf den Speichersystemen vorhanden. Bis die Daten wirklich von dem Speichersystem gelöscht sind, dauert es, und es gibt kaum Methoden, dies vorherzusagen und sicherzustellen.

BSI rät zur Zeitangabe
Das BSI rät, sich von den Providern die Zeit nennen zu lassen, bis zu der die Kundendaten mit hoher Wahrscheinlichkeit überschrieben worden sind. Diese Zeit hängt vor allem von der Größe des SAN ab. Eine Aussage wie „Nach 1,5 Jahren können wir mit 95-prozentiger Wahrscheinlichkeit sagen, dass die Kundendaten gelöscht sind“, ist etwas anderes als die Aussage „Unser SAN ist so klein, nach zwei Monaten ist alles sicher überschrieben.“

Für solche Schreckensszenarien haben viele Nutzer von Public-Cloud-Angeboten allerdings kaum ein Gespür. "Nur die wenigsten Kunden verlangen nach Vertragsende explizit eine Löschung ihrer Daten", weiß Ertan Özdil, Geschäftsführer des Marburger Cloud-Dienstleisters Weclapp. Nach seinem Eindruck fordern vor allem sicherheitssensible Unternehmen, die in irgendeiner Form mit dem Thema Datensicherheit zu tun haben, die explizite Datenlöschung.

Der normale Kunde aber lege darauf keinen gesteigerten Wert. Dieser laxe Umgang mit der Datensicherheit findet sich selbst in größeren Betrieben. "In großen Unternehmen legen Fachabteilungen ihre Daten oft in der Cloud ab", sagt Özdil und ergänzt: "Wenn sie kündigen, wollen sie sich nicht mehr damit befassen und löschen selbst oder gar nicht."

Ein möglicher Grund für den sorglosen Umgang mit den eigenen Daten kann sein, dass es keine explizite rechtliche Regelung zum Löschen der Cloud-Daten gibt. Doch das ist nicht ganz richtig. Denn juristisch gilt auch für Cloud-Services der im Bundesdatenschutzgesetz (BDSG) verankerte Grundsatz der Datensparsamkeit. "Das ist eine Verpflichtung im BDSG, die jedermann betrifft, der Daten verarbeitet", klärt Michael Rath, Fachanwalt für IT-Recht in Köln, auf. "Wenn die Daten nicht mehr benötigt werden, müssen sie gelöscht werden."

Datenlöschung vertraglich absichern

Aber wie gewährleistet man die vollständige und sichere Datenlöschung? Daten bei einem Wechsel des Public-Cloud-Providers zu löschen ist auf den ersten Blick keine große Sache. Da der Kunde Zugriff auf seine Daten hat, kann er diese problemlos ändern und somit auch löschen. Berechtigte Mitarbeiter können jederzeit in den Stammdaten alle Kunden selektieren und aus der Datenbank entfernen. Doch das wäre eine sehr blauäugige Sicht auf das Problem. Der Grund: Die Kundendaten graben sich tief in die Datenbanken und Sicherungssysteme des Providers ein, auf die der Nutzer keinen direkten Zugriff hat.

Der Cloud-Kunde kommt deshalb nicht umhin, die Löschung der Daten dem Provider zu übertragen. Deshalb sollte er die saubere Löschung auch vertraglich absichern. "In der Regel schließen Unternehmen mit dem Provider einen Auftragsdaten-Verarbeitungsvertrag (ADV), der meist Teil des Kundenvertrags und der Service-Level-Agreements (SLAs) ist", erklärt Rath. Sofern der Provider nicht von sich aus eine Regelung zur Löschung der Daten vorsieht, sei es sinnvoll, so der Jurist, sie in die ADV-Regelungen für die Vertragsbeendigung aufzunehmen.

Zwingend notwendig ist der Abschluss solcher Verträge nicht. Aber Experten vom Bundesamt für Sicherheit in der Informationsverarbeitung (BSI) und vom Verband der deutschen Cloud-Industrie, Eurocloud, raten dringend dazu. "Die Exit-Bedingungen müssen klar ausformuliert sein", empfiehlt Bernd Becker, Vorstandsvorsitzender von EuroCloud: "Wir machen uns dafür stark, dass die Datenlöschung ebenso wie die Frage, wie der Kunde an seine Daten kommt, als grundsätzlicher Bestandteil der Service-Levels in die Cloud-Verträge aufgenommen wird."

So werden Kundendaten gelöscht

In der Praxis verläuft das Procedere zum Löschen der Kundendaten überall ähnlich. "Gängige Praxis ist es, dass uns der Kunde per E-Mail über den Wunsch nach Datenlöschung informiert", schildert Weclapp-Geschäftsführer Özdil. Dann werde für sämtliche Informationen, die mit einem Kunden zusammenhängen, ein Löschauftrag erstellt und der Prozess nachts ausgeführt. Nach erfolgter Annullierung wird der Kunde automatisch per E-Mail benachrichtigt.

Mit der Eliminierung der Kundendaten gibt die Datenbank den Speicherplatz frei, sodass er komplett wieder mit anderen Daten überschrieben werden kann. "Mit jedem neuen Kunden wird dann die Wahrscheinlichkeit größer, dass die abgelegten Daten wieder überschrieben werden", so Özdil. "Wir kommen dann an die Daten nicht mehr heran."

Theoretisch könnte sich der Kunde selbst überzeugen, dass die Daten gelöscht wurden oder dass zumindest alle technischen und organisatorischen Maßnahmen ordnungsgemäß eingehalten werden. Dazu müsste er sich aber vertragsrechtlich Audit-Rechte einräumen lassen.

Doch das ist pure Theorie. Abgesehen davon, dass es technisch kaum machbar ist, sich von der Datenlöschung zu überzeugen, würde kein Cloud-Anbieter einem Kunden ein solches Recht einräumen. "Solche Audit-Rechte und damit Prüfrechte hinsichtlich ordnungsgemäßer Löschung will kein Provider im Vertrag haben", sagt IT-Rechtsexperte Rath. Schließlich wolle kein Cloud-Anbieter mit seinen stark standardisierten Services, dass Heerscharen von Kunden durchs Rechenzentrum laufen. Ohne ausreichende Detailkenntnisse würde ein Kunde dies zum einen selbst auch kaum überblicken können, zum anderen würde ein solcher Nachweis für die Cloud-Anbieter einen erheblichen Zusatzaufwand bedeuten.

Sinnvoll kann es jedoch sein, sich Audit-Rechte auf Dokumente, Beschreibungen und Protokolle einräumen zu lassen, um zum Beispiel den korrekten Ablauf von Löschprozessen nachvollziehen zu können. Zudem können Zertifizierungen gefordert werden, die einen Mindeststandard bezüglich der Informationssicherheit gewährleisten. Eurocloud bietet beispielsweise mit dem "Eurocloud Star Audit" solche Zertifizierungen an. "Dadurch wird ein Prozess etabliert, mit dem die Kundendaten komplett gelöscht werden, sobald ein Kunde ausscheidet", sagt Eurocloud-Chef Becker.

Checkliste Cloud-SLAs
Um zu beurteilen, ob ein Cloud-Provider kundenfreundliche SLAs anbietet, lassen sich folgende Kriterien anlegen und überprüfen:

Punkt 1:
Kurze und klare Gestaltung von Inhalt, Struktur und Formulierung.

Punkt 2:
Version in der Landessprache des Kunden.

Punkt 3:
Klare Definitionen von Fach- und Produktbegriffen zu Beginn.

Punkt 4:
Detaillierte Ankündigung und Planung der Wartungsfenster (Beispiel: "Viermal im Jahr an vorangemeldeten Wochenenden").

Punkt 5:
Leistungsbeschreibung in Tabellenform (Übersicht!).

Punkt 6:
Klar definierte Bereitstellungszeiträume für neue Ressourcen (Beispiele: Bereitstellung virtueller Server bei Managed Cloud in maximal vier Stunden; Bereitstellung kompletter Umgebungen oder dedizierter Server in fünf bis zehn Tagen).

Punkt 7:
Bereitstellung von klar abgegrenzten Konfigurationsoptionen für Ressourcen (Beispiel: Konfiguration von Servern nach Gigahertz, Gigabyte).

Punkt 8:
Einfach unterscheidbare Service-Levels (Beispiel: Silber, Gold, Platin); Abgrenzungskriterien können sein: Verfügbarkeit, Bereitstellungszeiten, fest reservierte Kapazitäten ja/nein, Support-Level (Telefon, E-Mail).

Punkt 9:
Bei IaaS-Angeboten unbedingt auf Netzwerk-Konfigurationsmöglichkeiten und Bandbreite achten (Volumen? Im Preis inkludiert ja/nein?).

Punkt 10:
Kundenfreundlicher Reporting- beziehungsweise Gutschriftenprozess (am besten aktive Gutschriften auf Kundenkonto; kein bürokratischer, schriftlicher Prozess; möglichst einfache Beweis- und Nachweispflicht für Kunden).

Punkt 11:
Reaktionszeiten und Serviceverfügbarkeit klar beschreiben (zentrale Hotline; Reaktionszeiten auf Incidents in Stunden).

Punkt 12:
Nennung der Rechenzentrumsstandorte mit Adresse und sonstigen Informationen wie Zertifizierungen und Tier.

Punkt 13:
Definition der Verfügbarkeiten: Unterschiede hinsichtlich Verfügbarkeit Server/VM und Verfügbarkeit Admin-Konsole definieren.

Punkt 14:
Erläuterung zu Möglichkeiten der SLA-Überwachung beziehungsweise des Incident-Reportings für den Anwender (Beispiel: Link auf Monitoring-Dashboard).

Sicheres Löschen in Public Clouds gibt es nicht

Den Security-Experten vom Bundesamt für Sicherheit in der Informationstechnik (BSI) ist dies freilich zu wenig. Sie geben zu bedenken, dass mit dem gängigen Löschprozedere, wie eben beschrieben, die Daten keineswegs "sicher" gelöscht würden. "In Public-Cloud-Umgebungen gibt es nach unserer Kenntnis keine Vorgehensweisen, die ein sicheres Löschen ermöglichen", sagt Patrick Grete vom BSI. "Natürlich können alle Daten gelöscht werden, aber das ist nicht das, was wir unter sicherem Löschen verstehen."

Der Hintergrund: Werden in Cloud-Umgebungen Datenbanken oder virtuelle Festplatten gelöscht, wird in der Regel nur die Referenz auf die Daten entfernt, die Daten sind aber weiterhin physikalisch auf den Speichersystemen vorhanden. "Bis die Daten wirklich vom Speichersystem gelöscht sind, dauert es, und es gibt kaum Methoden, dies vorherzusagen und sicherzustellen", erklärt Grete.

Methoden zum sicheren Löschen, wie etwa das x-fache Überschreiben mit willkürlichen Daten, funktionieren in Cloud-Umgebungen schon allein deshalb nicht, weil der Speicher virtualisiert ist. Meist verteilt ein blockbasiertes SAN-Speichernetz die Daten auf die physikalischen Festplatten. Dabei werden die Daten aktivitätsabhängig auf schnellere SSDs oder langsamere Magnetspeicher verteilt. Ein mehrfaches Überschreiben nützt nichts, weil man nie genau weiß, wo sich die Daten physikalisch befinden. Vor allem würde ein intelligentes SAN bei mehrfachem Löschen hohe Schreibaktivitäten registrieren und die Daten auf schnelle SSDs verschieben. In diesem Fall sind sie dann von der Festplatte oder dem physischen Bereich, auf dem sie vorher waren, natürlich nicht gelöscht.

Datenüberschreibung ist Zeitfrage

Ist dies eine ernste und relevante Sicherheitslücke? Hier ist wohl Entwarnung angesagt. Um an die physikalisch noch nicht gelöschten Daten zu kommen, müsste unter hohem Aufwand rekonstruiert werden, welche SAN-Blöcke wie zusammenhängen. "Abgesehen davon, dass jemand in das Cloud-Rechenzentrum einbricht und das gesamte SAN stiehlt, sehe ich kein eindeutiges Szenario, wie man an die gelöschten Daten herankommt", sagt BSI-Experte Grete.

Das BSI rät jedoch, sich von den Providern die Zeit nennen zu lassen, bis zu der die Kundendaten mit hoher Wahrscheinlichkeit überschrieben worden sind. Diese Zeit hängt vor allem von der Größe des SAN ab. Eine Aussage wie "Nach 1,5 Jahren können wir mit 95-prozentiger Wahrscheinlichkeit sagen, dass die Kundendaten gelöscht sind", ist etwas anderes als die Aussage "Unser SAN ist so klein, nach zwei Monaten ist alles sicher überschrieben."

Das klingt theoretisch, ist jedoch ein weiterer Baustein, die Sicherheit für den Cloud-Kunden zu erhöhen. "Diese Wahrscheinlichkeiten kennen alle Cloud-Provider, und wir halten die Nutzer der Cloud-Dienste auch an, genau diese Daten zu erfragen", kommentiert Grete.

Zehn Software-Mythen und was daran wahr ist
Individualentwicklungen sind out und künftig gibt es Software sowieso nur noch als Service aus der Cloud - diese und acht weitere weit verbreitete Annahmen haben die Analysten von Forrester auf den Prüfstand gestellt und einem Reality-Check unterzogen.

Vier von zehn IT-Entscheidern ...
... planen in diesem Jahr ein BI-Projekt. Forrester rät, vor allem die Wünsche der Fachanwender im Blick zu behalten. Die haben von erweiterten Analytics-Funktionen mehr als von einem Aus- oder Umbau des Kern-ERP-Systems.

Fast die Hälfte der ...
... IT-Verantwortlichen wollen Social Media und Business Applikationen strikt voneinander trennen. Allerdings wünschen sich viele, dass die Softwarehersteller von Haus aus entsprechende Funktionen in ihre Produkte einbauen.

Subskription- und Mietmodelle werden ...
... für die Software-Entscheider immer interessanten. Dagegen schmilzt der Anteil traditioneller Lizenzeinkäufe am gesamten Softwarebudget.

Während in der ersten Welle ...
... der SaaS-Adaption viele Unternehmen On-Premise-Software gegen Cloud-Lösungen ausgetauscht haben, verändert sich die Strategie derzeit dahingehend, dass die Unternehmen ihre Softwarelandschaften mittels Cloud-Services funktional ergänzen.

Künftig werden die IT-Entscheider ...
... von einem Softwarehersteller automatisch erwarten, dass dieser seine Lösungen auch in einer Cloud-Variante anbieten kann.

Die Zukunft gehört hybriden Architekturen.
Zwar führen die meisten IT-Entscheider Software für einen bestimmten Business-Prozess heute entweder als On-Premise- oder Cloud-Variante ein. Künftig würden jedoch für die Prozessunterstützung verstärkt Cloud- und In-House-Funktionen kombiniert.

Middleware- und Plattform-Software ...
... sowie PaaS-Angebote ergänzen sich aus Sicht der Forrester-Analysten. Die wenigsten Unternehmen würden eine Inhouse-Infrastruktur durch eine Cloud-basierte Plattform-Lösung ablösen.

Auch wenn viele Unternehmen ...
... darauf beharren, die Kontrolle über die eigenen Applikationslandschaften zu behalten, können App-Stores ein interessantes Instrument für die künftige Softwarestrategie darstellen.

Drei Wochen Zeit für Sicherungsdaten

Mehr Sorgen als eine wasserdichte Löschung der Kundendaten aus den produktiven Storage-Systemen bereiten Eurocloud-Vorstand Becker die Sicherungskopien. Um Ausfallschutz zu gewährleisten, sind die Provider bekanntlich dazu verpflichtet, Backups der Kundendaten anzulegen. Diese müssen eine Zeit lang vorgehalten werden, um im Notfall den regulären Zustand wieder herstellen zu können.

Theoretisch müsste der Provider mit Vertragsende die Kundendaten auch aus den Sicherungskopien sofort entfernen. "Nach dem BDSG gibt es einen Anspruch, dass die Daten sofort von den Medien entfernt werden", sagt Becker. Das ist aber in der Praxis bei den Backups nicht möglich, da die Sicherung ein nicht isoliert herausnehmbarer Teil des Backups der gesamten Kundendaten ist.

"Aus praktischer Sicht ist es deshalb akzeptabel, wenn für einen begrenzten Zeitraum nach Vertragsende die Sicherungsdaten noch bestehen bleiben", erklärt Becker. Dieser Zeitraum sollte aber vertraglich definiert sein. "Üblicherweise sind diese Sicherungen in einem rollierenden Verfahren - meist von 21 Tagen - verfügbar. In diesem Fall ist es aus unserer Sicht in Ordnung, wenn die Sicherung bis zu den drei Wochen nach Vertragsende noch besteht." Dann aber, so Becker, sollte sie gelöscht sein.

Fazit

Wer absolut sichergehen will, dass seine Daten nach Vertragsende sofort und restlos gelöscht werden, sollte seine Informationen nicht in die Public Cloud geben. Das ist die Auffassung des BSI. Für alle anderen gilt: Wer kritische Geschäftsdaten in der Cloud speichert, sollte sich vor Vertragsabschuss über die technische Machbarkeit der Löschung informieren und diese vertraglich absichern lassen. Darüber hinaus muss der Kunde auf einem expliziten Löschprozedere bestehen und sich die Ausführung der physikalischen Datenlöschung bestätigen lassen. Eine weitere Option ist, dass sich der Auftraggeber einem von einer anerkannten Institution wie Eurocloud zertifizierten Cloud-Provider anvertraut. (pg/ad/hal)