Welche Risiken entstehen durch das Cloud Computing beim externen Dienstleister und Rechenzentrum für den Datenschutz? Auf welche technischen und rechtlichen Anforderungen müssen Sie achten?
Die Cloud macht mobil und Mitarbeiter können von überall über das öffentliche Internet auf Ihre Daten und Services zugreifen. Software, Anwendungen & Infrastruktur werden heute immer mehr beim extern beim Cloud Anbieter im Rechenzentrum gehostet. Dadurch sparen sich Unternehmen zwar eigene Hard- und Software sowie eigene Rechenzentruminfrastruktur & teils sogar Kosten, Sie eröffnen jedoch auch Türen für neue Risiken im Datenschutz.
Risiken und Folgen für den Datenschutz
Diese vielen Zugangsmöglichkeiten und außerhalb des eigenen Unternehmens gespeicherten IT-Services bieten eine Schwachstelle für Angreifer – die folgenden Risiken entstehen:
- Sind die Zugangsdaten bekannt, so kann von überall per Internet zugegriffen werden
- Durch Sicherheitslücken und Schwachstellen erlangen Unbefugte Zugang zu den Daten
- Da die physischen Ressourcen von mehreren Kunden genutzt werden, kann teils keine klare zuverlässige Trennung der Zugriffsrechte auf die Daten garantiert werden
Die Folgen und somit die Probleme für den Datenschutz liegen anschließend auf der Hand. Unberechtigter Zugriff auf die Daten durch Dritte, ein Verlust oder die Manipulation der Daten sowie der Diebstahl von Zugangskennungen und ein Missbrauch des Accounts.
Was ist zu beachten?
Was aber tun, um solche Folgen beim externen Provider zu vermeiden?
Technische Datensicherheit
Bei der Wahl ihres Cloud Providers ist auf eine solide technische Datensicherheit der Cloud Services zu achten. Diese wird durch die Hard- & Software des Anbieters bestimmt. Eine gute technische Aufsetzung erkennen Sie anhand von beispielsweise Verschlüsselungstechniken für Daten und Zugänge (VPN), kontinuierliches Monitoring, Firewall- & Sandboxing-Technologien sowie IDS, IPS sowie Authentifizierungsmethoden. Achten Sie außerdem auf die organisatorische Sicherheit des Rechenzentrums.
Datenschutzrechliche Anforderungen
Ein wichtiger Punkt vorweg: Der Cloud Anwender trägt beim Cloud Computing im Außenverhältnis zu Dritten die Verantwortung für die Sicherheit der Daten. Als Anwender sind Sie also dazu verpflichtet sich an die Datenschutzrichtlinien des Landes zu halten (In Deutschland: Bundesdatenschutzgesetz und EU-Vorschriften).
Über einen Vertrag sind Einzelheiten festzuhalten, und lassen sich zum Schutz des Anwenders durch Zertifikate absichern. Dabei ist es wichtig, dass Sie als Anwender die Rechte zum Anbieterwechsel sowie zur Portierung der Daten erhalten. Der Cloud Anweder bleibt Eigentümer der Daten und hat ein Recht auf Löschung der Daten beim Cloud Anbieter.
Um ein Rechenzentrum in den USA zu verwenden müssen Sie als Anwender sicherstellen, dass die Anforderungen des EU-US Privacy Shields durch den Anbieter erfüllt sind. Kritiker bezweifeln aber, dass die Weitergabe von Daten an amerikanische Behörden tatsächlich durch den EU-US Privacy Shield ausgeschlossen werden. Mit einem Cloud Anbieter mit Rechenzentren innerhalb der EU bleiben Europäische Unternehmen daher auf der sicheren Seite.
Quelle Titelbild: iStock / D3Damon