Wie sicher sind Daten in der Cloud?

Na ja. Das hängt ja nun sehr stark vom Nutzer ab: Auswahl der für ds Unternehmen geeigneten Cloud (mind. zertifiziert?) unter Bewertung notwendiger Sicherheitskriterien:

Vertraulichkeit: Verschlüsselung der von und zur Cloud gesendeten und in ihr gespeicherten Daten (Mandantenfähigkeit).

Integrität: Speicherung mit Prüfsummen.

Verfügbarkeit: Speicherung der Daten auf vollständig redundanten Systemen.

Hier kommt es insbesondere auf das betrachtete Cloud-Service-Angebot an, d.h. Public Cloud, Private Cloud oder Hybrid Cloud. Das Angebot definiert grundlegende Sicherheitsstufen bereits aufgrund der damit verbundenen Betriebsarchitektur.

Im zweiten Schritt der Betrachtung folgt dann die Frage nach dem konkreten Standort der für den Service eingesetzten Serversysteme, d.h. Deutschland, Europa, sonstige. Gesetzliche Regelungen zur Sicherung bzw. zum Zugriff auf verwaltete Daten können, wie aus den noch nicht weit zurückliegenden Diskussionen in den USA zu ersehen ist, in Abhängigkeit von der jeweiligen Staatshoheit sehr unterschiedlich und nicht vom Cloud-Anwender kontrollierbar sein.

Und final stellt sich die Frage nach dem Sicherheitsstatus und dem Vertrauensverhältnis zum Cloud-Anbieter.

Fazit:
Eine allgemeingültige Aussage ist als Antwort auf die gestellte Frage nicht möglich. Lediglich anhand der betroffenen Umgebungs- und Prozessparameter kann eine Wertung für eine konkrete Einsatzplanung abgleitet werden.

Grundsätzlich ist ein Cloud-Betrieb ja nichts anderes als ein schnell skalierendes Rechenzentrumsangebot. Eine IT-Unsicherheit kann und darf also nicht postuliert werden.

Das hängt davon ab, ob Sie eine externe Cloud meinen, oder ob Sie eine hausinterne Cloud-Lösung meinen, die Sie selbst gegen unberechtigte Zugriffe schützen können.

Grundsätzlich sollten Sie jedoch davon ausgehen, dass Ihre Daten in einer externen Cloud nicht sicher sind. Diese könnten z.B. durch den Anbieter der Cloud sowie durch versierte Hacker und staatliche Dienste eingesehen werden.

Sie haben aber die Möglichkeit, die Daten bei Ihnen im Unternehmen zu verschlüsseln und nur die verschlüsselten Dateien (und niemals den Schlüssel!) in die Cloud hochzuladen. Dann dürften die Daten nach bisherigem Stand des Wissens sicher sein. Jedoch würden Ihnen dadurch ggf. die Vorteile einer Cloud (weltweiter Zugriff von verschiedenen Geräten aus) verloren gehen.

Wie die Juristen so schön sagen: das Urteil hängt vom Einzelfall ab. Ein paar grundsätzliche Überlegungen gibt es aber schon:

Um was für eine Cloud-Lösung handelt es sich überhaupt.

Ist es eine selbst unter voller eigener Kontrolle aufgebaute Cloud-Lösung im und fürs Unternehmen (Private Cloud).

Ist es über einen Transportkanal (i.d.R. das Internet) unter Anbindung eines Cloud-Providers erfolgende reine Datenkommunikation (ausgelagerte nun mitunter weltweit zentral verfügbare  Datenräume) oder gar eine kompletten Prozessabwicklungskommunikation (BaaS), beispielsweise die Vertriebsbusiness-Lösung salesforce (Public Cloud).

Oder ist es eine Mischform von beidem (Hybride Cloud).

Analysieren Sie sorgfältig was lohnt sich, für das Bereitstellen einer bestimmten IT-Infrastruktur (IaaS),  von geschickter zentraler Datenhaltung (PaaS) bis hin zur Auslagerung kompletter Geschäftsprozesse (SaaS oder gar BaaS) überhaupt einem Außenstehen (und das sind Cloud-Provider immer) unter welchen Risikobedingungen und Kostenvorstellungen in die Hand zu geben (Public Cloud) oder doch unter vollständiger eigener Kontrolle (Private Cloud) mittels der Cloud-Instrumentarien dem Unternehmen verfügbar zu machen, oder eine Mischform von beidem als zielführender anzustreben (Hybride Cloud).

Bei einer Public Cloud-Lösung übergeben Sie zwangsläufig die Kontrolle über Ihre ausgelagerten Informationswerte (Assets) teilweise in die Hände Ihres Cloud-Providers umso mehr sind Sie darauf angewiesen in einer Vertragsgestaltung mit dem Cloud-Provider dies zu kompensieren.

Ganz wichtig gilt es im Vertrag rechtliche Bedingungen zu regeln, z.B. die Zusicherung, dass die übergebenen Daten nur in einem bestimmten Rechtsraum allokiert werden, z.B. ausschließlich nur im EU-Raum oder nur in Deutschland.

Auch Sicherheitsaspekte gehören im Dienstleitungsvertrag festgezurrt geregelt, so u.a. festgelegte Vorkehrungen zur  Gewährleistung der Vertraulichkeit, insbesondere beim Transport über das Internet, einer sichergestellten mandantenfähigen Datenhaltung beim Provider, zur Gewährleistung der Informationsintegrität, insbesondere verfälschungssichere, die Vollständigkeit wahrende Datenhaltung und nicht zu vergessen gerade im Hinblick auf die ab 25. Mai 2018 sanktionierbare EU-DSGVO Zusicherung einer mandantenfähigen Datensicherung, zur Gewährleistung der Verfügbarkeit, insbesondere zugesicherte Responsezeiten und Wiederanlauf-Zeiten, maximale Einzel-Ausfallzeit und maximale Summe von Ausfallzeiten eines Jahres. Regelungen zur Schutzbedürftigkeit und zu wirkenden Schutzmaßnahmen Ihrer dem Provider anvertrauten Assets gehören in den Vertrag oder sollten zumindest dort Regelungen vorsehen. Die Handhabung von Sicherheitsvorfällen beim Provider und seine Pflicht Sie darüber zu informieren und den entstandenen Schaden so gering wie möglich zu halten sind ein wichtiger Vertragspunkt. Wenn möglich sollten Sie hier eine Regress-Klausel durchsetzen.

Die Sicherstellung von Audit-Rechten beim Cloud-Provider sind wichtiger Vertragsgegenstand  oder zumindest der Nachweis einer Auditierung oder einer Zertifizierung durch renommierte Dritte. Hat der Provider hier was zu bieten, so steigert es das Vertrauen in den Provider mit "Sicherheit".

Machen Sie sich klar, jeder getroffener, vertraglich abgesicherter Regelungspunkt (eben alles was Ihre Informationssicherheit und Ihre Geschäftskontinuität sicherstellt und steuert) hilft die Abgabe von Kontrolle Ihrer Assets an den Provider zu kompensieren.
 
Sie sollten auch nicht vergessen vertraglich Vorkehrungen zu treffen für die Möglichkeit eines Wieder-Insourcings oder für die Durchführbarkeit eines Cloud-Provider-Wechsels, was die Unabhängigkeit vom Provider deutlich erhöht.

Denken Sie immer daran je mehr Freiheiten Sie Ihrem Provider gönnen umso abhängiger werden Sie von ihm, was nachhaltig den Provider mehr und mehr zur Erhöhung des Preises "verführt".

Es gibt im deutschen Mittelstand sehr leistungsfähige Cloud-Provider, die insbesondere Ihre Sicherheitsanliegen kundenorientiert vertraglich aufnehmen.

Bei den großen amerikanischen Anbietern, wie Amazon, Google, HP, IBM oder Microsoft um mal ein paar zu nennen, bekommen Sie nur Verträge von der Stange, die sehr schwierig zu ändern sind. Das Angebot dieser großen Anbieter kommt zum Einstieg mit Leichtfüßigkeit da her und verführt - nicht zu unterschätzen - auch gerade viele Unternehmensabteilungen unautorisierte Cloud-Lösungen mit entsprechenden eingehandelten Risiken zu realisieren (IT-Schattenwirtschaft).

Sehr gerne stehe ich Ihren Cloud-Vorhaben kompetent, engagiert und nachhaltig zur Verfügung.