Sichere Cloud-Anwendung in Organisationen und KMU

Nach Abschluss der Untersuchung bestätigt die TeleTrusT-Publikation, dass Cloud-Angebote hinsichtlich Funktionalität oft mehr bieten, als zu vergleichbaren Kosten betriebene interne Lösungen. Allerdings können Organisationen mit einfacher Infrastruktur oft keine besonderen Bedingungen und Service Level Agreements (SLA) mit Anbietern aushandeln. Daher sollten die Bedingungen von Standardangeboten für den Einzelfall sorgfältig geprüft werden.

Und die Nutzung von Cloud Services ändert auch nichts an der unternehmerischen Verantwortung für den Datenschutz. Die Organisation ist und bleibt für die Authentizität, Integrität, Verfügbarkeit und Vertraulichkeit der Daten voll verantwortlich, genauso wie im Fall eines Outsourcings. Diese Verantwortung kann keine Organisation auf einen Cloud-Anbieter übertragen. Das Bundesdatenschutzgesetz (BDSG) verpflichtet Organisationen zur „sorgfältigen Auswahl“ des Cloud-Providers, sowie zur Überprüfung der von ihm ergriffenen Datenschutzmaßnahmen.

Art und Umfang der übertragenen Aufgaben und Verteilung der Verantwortung muss in einem Vertrag über „Auftragsdatenverarbeitung“ geregelt werden. Im besten Fall verfügt der Cloud-Anbieter über ein Zertifikat, das die Einhaltung hinreichender Datenschutzstandards bestätigt. Dieses können aber bisher nur wenige Anbieter beibringen. Ob ein Cloud-Service also tatsächlich höhere oder schlechtere Sicherheit bietet als eine intern betriebene Lösung, muss deshalb im Einzelfall untersucht und abgewogen werden.

Hier soll die für die Studie verfolgte Vorgehensweise als praktischer Leitfaden dienen:

• 1. Aufnahme des Ist-Zustands; wichtig sind Informationen über Art und Umfang der derzeitigen Nutzung.

• 2. Analyse der Anforderungen aus funktionaler Sicht, rechtlicher Sicht, Kostensicht und Sicht der IT-Sicherheit, bei letzterer kann die Aufstellung der Schutzbedarfsklassen nützlich sein.

• 3. Evaluierung relevanter Cloud-Angebote anhand der definierten Anforderungen. Dabei sollte der Ist-Zustand nicht aus den Augen verloren werden. Selbst wenn evaluierte Angebote die Sicherheits-Anforderungen nicht vollständig erfüllen, kann aber die gebotene Sicherheit dennoch besser sein, als bei der installierten Lösung.

• 4. Auswahl geeigneter Angebote und Entscheidung.

• 5. Vertragsabschluss mit klaren Service Level Agreements (SLA) und Vereinbarung zur Auftragsdatenverarbeitung gemäß BDSG.

• 6. Umsetzung der Lösung.

• 7. Aufnahme der verbleibenden Risiken und Ableitung von Maßnahmen zur Minderung der verbleibenden Risiken.

Forderungen an Cloud-Anbieter

Im Allgemeinen, so die Beobachtung, ist die Sicherheit von Cloud-Angeboten nicht schlecht. Vielmehr ist vielfach eine höhere tatsächliche Sicherheit festzustellen, als bei in KMU intern betriebenen Lösungen. Allerdings gibt es Lücken. Deshalb sind Cloud-Anbieter dazu aufgerufen, die in der Publikation aufgezeigten Mängel bei Cloud-Angeboten zu beheben.

Als notwendig werden folgende Verbesserungen der Angebote erachtet:

• 1. Starke Authentifizierung.

• 2. Ende-zu-Ende Verschlüsselung mit starken Verschlüsselungsverfahren.

• 3. Tatsächlicher Ort der Speicherung (z.B. Deutschland oder EU) mindestens vertraglich festgelegt, idealerweise für den Kunden wählbar.

• 4. Verträge nach deutschem Recht, insbesondere Anlage zur Auftragsdatenverarbeitung gemäß BDSG.

• 5. Klare und leicht auffindbare Leistungsangaben (SLA), z.B. hinsichtlich Verfügbarkeit der Services.

• 6. Unabhängige Prüfung der Einhaltung von Datenschutzbestimmungen, mit Prüfzertifikat.

Link zum Text: „Sichere Nutzung von Cloud-Anwendungen am Beispiel des TeleTrusT - Bundesverband IT-Sicherheit e.V. als Praxisleitfaden für Verbände und KMU“.