6 minute read
Security in der globalen Cloud-Welt
Cloud Computing ist schon länger ein Hype-Thema in der IT-Branche, wird aber von vielen IT-Chefs immer noch sehr skeptisch gesehen. Ein Grund für ihre Skepsis sind unbeantwortete Fragen nach der Datensicherheit, denn gerade innovative Mittelständler würden sich höchst ungern ihre Betriebsgeheimnisse über die Cloud abluchsen lassen. Das muss aber nicht sein, denn auf die meisten dieser Fragen gibt es gute Antworten in Form technischer oder organisatorischer Massnahmen.
Bei Cloud-Providern aus dem Ausland stellen sich fast automatisch immer wieder Fragen nach Datensicherheit, Datensouveränität und Datenhoheit. Doch wie berechtigt sind die Bedenken von Mittelständlern? Prinzipiell muss man bei den Begriffen «Datensicherheit», «Datenhoheit» und «Datensouveränität» differenzieren. Bei Datensicherheit sprechen wir über das Thema Security, bei Datenhoheit geht es um Privacy und bei Datensouveränität um Ownership. Die Datensicherheit ist gerade bei den grossen Cloud-Providern auf einem extrem hohen Niveau. Und diese Provider tun auch gut daran: Sollte es hier zu einem Zwischenfall kommen und das Vertrauen der Kunden schwinden, wäre der Schaden enorm.
Advertisement
Datenhoheit gross geschrieben Bei der Datenhoheit hingegen bedarf es immer einer individuellen Betrachtung der jeweiligen Workloads – auch in Bezug auf alle beteiligten Partner. Denn mit den unterschiedlichen gesetzlichen Regulierungen zur Datenhoheit müssen die Unternehmen auch ihre Governance-Bestimmungen ändern. IT-Chefs müssen z.B. mit Blick auf die USA sicherstellen, dass ihre internen Richtlinien und Massnahmen als «sicherer Hafen» für die Daten gelten. Eine Überprüfung der unternehmenseigenen Datenschutz- und Datentransfer-Regelungen durch nationale Behörden oder kompetente Auditoren kann dazu beitragen; allerdings kann dieser Prozess einige Jahre dauern. In den verschiedenen Ländern, in denen ein Unternehmen aktiv ist, können jeweils andere oder zusätzliche Bestimmungen zur Datenhoheit gelten, die ebenfalls einzuhalten sind. Bei der Abstimmung von Geschäftsinteressen und Datenschutzvorgaben ist daher grosse Sorgfalt erforderlich – und in der Regel auch die Unterstützung durch kompetente Partner. Unternehmen sollten bei der Auswahl eines Cloud-Anbieters daher darauf achten, dass dieser die Datenhoheitsregelungen aller Länder erfüllt, in denen das Unternehmen seine Geschäfte abwickelt. Last, not least kommt die Datensouveränität ins Spiel, also die Frage: Wie unabhängig ist das Unternehmen beim Umgang mit seinen Daten von Entscheidungen anderer? Um die Datensouveränität Europas zu gewährleisten, wurde jetzt gerade in Deutschland das Cloud-Netzwerk Gaia X lanciert. Denn bei Aspekten des Zugriffs auf Daten sorgen derzeit nicht nur die anhaltenden Handelskon
flikte der USA für Unruhe. Auch die US-Gesetzgebung, etwa der «Cloud Act» zur Regelung des internationalen Datenzugriffs, beschert den amerikanischen Behörden letztlich kaum eingeschränkte Zugriffsrechte auf Daten aller amerikanischen Plattformen – und das selbst dann, wenn die jeweiligen Server im Ausland installiert sein sollten.
Politische Abhängigkeiten bedenken Es ist also unmittelbar klar, dass politische Vorgaben sehr konkrete Konsequenzen für Cloud-Nutzer haben können. Als Reaktion auf eine Anordnung der US-Regierung kündigte beispielsweise Adobe an, Ende Oktober alle Nutzerkonten in Venezuela zu deaktivieren. Für die Kunden fatal, denn Software wie Photoshop, InDesign oder Acrobat funktioniert ohne Cloud (und die dort gespeicherten Daten) nur noch eingeschränkt oder gar nicht mehr. Viele Beobachter sagen zwar, dass Adobe die «Exekutivorder 13884» der US-Regierung überinterpretiert; andere Anbieter, wie Apple oder Microsoft, sind dem Trump-Edikt bisher (noch?) nicht gefolgt. Ein anderes Beispiel dafür, was passieren kann, ist der chinesische Hersteller Huawei, der sein neues Smartphone ohne Google-Dienste ausliefern muss. Um möglichen Sanktionen vorzubeugen und vielen Vorschriften automatisch Genüge zu tun, sollen die Daten in der geplanten Europa-Cloud nach der europäischen Datenschutzgrundverordnung verarbeitet und gespeichert werden. Basis für den europäischen Cloud-Vorstoss ist dabei eine vom Fraunhofer-Institut entwickelte Architektur für die sichere Speicherung von Daten namens «International Data Spaces» (IDS). Grundsätzlich geht es aber bei all diesen Fragen immer auch um die individuelle Vertragsgestaltung: Wem es nicht gelingt, mit seinem Anbieter die gewünschten vertraglichen Vereinbarungen zu treffen – wenn es zum Beispiel um den Betrieb der Anwendung an einem bestimmten Ort geht – sollte seinen Cloud-Anbieter wechseln. Denn falls der Cloud-Nutzer als verantwortlicher Dateninhaber nicht weiss, wo genau seine Daten in der Cloud gespeichert und verarbeitet werden, ob Subunternehmer involviert sind und ob diese für einen angemessenen Datenschutz sorgen, kann er seine Datenschutzpflichten – etwa die Gewährleistung der Datensicherheit, Gewährung des Auskunftsrechts oder Berichtigung und Löschung der Daten – nicht oder nur schlecht wahrnehmen.
Multi-Cloud-Provider versprechen Flexibilität Gerade Multi-Cloud-Provider bieten den Unternehmen eine Vielzahl verschiedenster Cloud-Services unterschiedlichster Provider. Die Bandbreite reicht von Hyperscalern bis zu spezialisierten mittelständischen Providern aus der Schweiz, Deutschland oder an-
deren EU-Staaten. Hinzu kommt meistens eine eigene Hosted-Private-Cloud aus lokalen Cloud-Rechenzentren. Unter dem Strich gilt: Jeder Kunde sollte die Angebote kritisch vergleichen und dann jenes wählen, das die gestellten Anforderungen am besten abdeckt. Der Schutz der Privatsphäre ist dabei besonders wichtig. Es empfiehlt sich daher bei der Gestaltung von Cloud-Lösungen das Vorgehen «Privacy by Design», also die Förderung von Privatsphäre und Datenschutz bereits von Anfang an. Alle Cloud-Services werden dann bereits vor der Inbetriebnahme einer Sicherheitsüberprüfung und einer Datenschutzbewertung unterzogen, um sicherzustellen, dass Sicherheits- und Datenschutzaspekte integriert sind und dass das Zusammenspiel mit den übrigen Cloud-Services mit der nötigen Sicherheit funktioniert. Hinzu kommt, dass der Cloud-Provider alle relevanten Sicherheitszertifikate vorzeigen und diese auch regelmässig auditieren lassen sollte. Alle Unternehmen in der Schweiz müssen bei der Verarbeitung personenbezogener Daten das Datenschutzgesetz beachten. Die Frage ist: Kann ein Cloud-Provider dabei helfen, dass der IT-Chef konform zum Schweizerischen Datenschutzgesetz (DSG) bleibt? Die Antwort: viele Premium-Sicherheitsfunktionen, die Cloud-Anbieter bereitstellen, wie z. B. DDoS- und WAF-Schutz für Websites. Kompetente Provider richten sich natürlich strikt nach dem DSG – und können alle Unternehmen entsprechend unterstützen. Personenbezogene Kundendaten werden dann beispielsweise automatisch nur für die von den Kunden vereinbarten Zwecke verwendet. Ausserdem kann der Provider verschiedene technische Massnahmen ergreifen, um sicherzustellen, dass die personenbezogenen Daten der Kunden jederzeit gut geschützt sind – zum Beispiel durch eine eigene Datenschutzplattform, die alle Daten systematisch verwalten und pflegen hilft.
Die DSG-Problematik, ein Stolperstein von vielen Allerdings kann die DSG-Problematik grundsätzlich nicht vom Cloud-Provider gelöst werden. Vielmehr ist in jedem Unternehmen das Management dafür verantwortlich, eine sachgerechte, individuelle DSG-Lösung vor dem Hintergrund des eigenen Business-Szenarios und der jeweiligen Workloads zu finden. Im Mittelpunkt stehen dabei die Prozesse, die von dem Unternehmen im Hinblick auf die datenschutzrechtlichen Anforderungen angepasst bzw. sogar erst implementiert werden müssen. Denn eines gilt: Datenschutz lässt sich nicht delegieren, sondern muss im Unternehmen gelebt werden. Bei der Unterstützung der Geschäftsprozesse kommt dann auch die Technik ins Spiel. Welche Cloud-Services im Einzelnen bei der Umsetzung der DSG-Anforderungen genutzt werden, liegt in den Händen der Entscheider des Unternehmens. Die Cloud-Provider können hier unterstützend aktiv werden – angefangen bei der Bestandsaufnahme bis hin zur Ausgestaltung und Umsetzung von Cloud Sicherheitskonzepten. Wichtig ist, als Unternehmen möglichst viele Optionen zur Verfügung zu haben. Genau das bietet unser Multi-Cloud-Ansatz: Zur Auswahl stehen sowohl Angebote der Hyperscaler – auch mit vertraglich vereinbarter Nutzung eines deutschen RZ – als auch die Hosted Private Cloud aus lokalen Rechenzentren.
Daten- und Sicherheitsmodelle unter der Lupe Um zu verhindern, dass aus Versehen oder durch technisches Versagen, wie z. B. jüngst bei Salesforce geschehen, die Daten auch anderen Kunden des Providers zugänglich werden, ist es wichtig, das jeweilige Daten- und Sicherheitsmodell des Cloud-Providers zu verstehen und sich dessen bewusst zu sein. Abhängig von den Schutzbedarfen und Anforderungen können zum Beispiel auch unterschiedliche Cloud-Architekturen notwendig sein. Daher sollte der IT-Chef vorab genau analysieren, welche Datenschutzanforderungen in einem bestimmten Szenario einzuhalten sind – und dann auf dieser Basis den am besten passenden Cloud-Service auswählen. Dabei sollte er genau abwägen, ob es aus Sicht des Unternehmens relevant ist, wo der Betrieb der Software erfolgt und wie die Vertragsgestaltung auszusehen hat. Native Multi-Tenant-SaaS-Lösungen bieten beispielsweise völlig andere Bedrohungsund Risiko-Profile als z. B. Private-Cloud-Umgebungen. Unterschiedliche Cloud-Architekturen haben ihre ureigenen Vor- und Nachteile – das Ganze zu pauschalisieren, macht keinen Sinn. ■
ERSETZEN SIE
IHR VERALTETES ERP FINANZ-, PRODUKTIONS- & SUPPLY-CHAIN-MANAGEMENT FÜR INTERNATIONALE UNTERNEHMEN UND KMU MIT MEHREREN STANDORTEN.
