Cloud-Computing: Das müssen Sie zu Datenschutz und Informationssicherheit wissen

Mit Public Cloud-Diensten produktiver arbeiten und Ressourcen sparen. Ein Versprechen, das sich nur einlösen lässt, wenn die eigenen Daten in der Rechnerwolke sicher vor Diebstahl sind. Experten können die Daten-Sicherheit von Cloud-Anbietern einschätzen.

Fast die Hälfte der deutschen Unternehmen nutzen Online-Rechenzentren, so der Cloudmonitor 2015 des Digitalverbandes bitkom. Aber: Ein Großteil davon setzt nur auf die Private Cloud, das heißt, sie betreiben ihre eigenen Server. Nur 14 Prozent sind offen für die Public Cloud, nutzen Angebote von Amazon, Google, Microsoft oder den vielen regionalen Dienstleistern. Gerade diese Form der Cloudnutzung verspricht besonders hohe Effizienzgewinne. Denn mit ihr kann beinahe die gesamte, eigene IT-Infrastruktur ausgelagert werden. Gleichzeitig steigt die Flexibilität, Investitionskosten in Hardware fallen weg.

Warum zögert der deutsche Mittelstand? Zwei Drittel der Nicht-Anwender haben Sicherheitsbedenken, sagt eine Studie der Hochschule für Wirtschaft und Recht Berlin und des Softwarehauses forcont. Und: Nichts ist Unternehmen bei der Cloud wichtiger als die Gewährleistung der Datensicherheit und des -schutzes. Wie sicher Cloud-Lösungen wirklich sind, weiß Haye Hösel. Der zertifizierte Datenschutzbeauftragte hat mit „HUBIT“ seit 2008 eine eigene IT-Sicherheitsfirma in Bremen und ist Vorstandsmitglied im Freien Institut für IT-Sicherheit e.V. (IFIT).

Herr Hösel, wer sicher in der Cloud sein möchte, der muss sich mit dem Datenschutz und der Informationssicherheit auseinandersetzen – was unterscheidet beide Begriffe eigentlich voneinander?

Haye Hösel: Datenschutz ist eine rechtliche Pflicht und zielt auf personenbezogene Daten. Das sind Mitgliedschaften, Versicherungsnummern, Gehaltsabrechnungen, E-Mailadressen, KFZ-Kennzeichen, Fotos mit Gesicht und so weiter. Die Informationssicherheit ist viel weitreichender, dabei geht es zusätzlich um die Sicherung aller Informationen im Unternehmen, also Patente, Rezepturen, Erfindungen, Produktionsabläufe, Arbeitsprozesse – alles was für ein Unternehmen wichtig ist. Beide haben das Ziel, die Risiken, die auf diese Informationen wirken, zu minimieren und zu eliminieren. Informationssicherheit ist keine Pflicht, sondern individuelle Aufgabe eines Unternehmens, um für den Fortbestand unter anderem bei Cyberangriffen zu sorgen.

Welche Herausforderungen stellt der Datenschutz an die Cloud?

Zuallererst ist da die europäische Datenschutzrichtlinie: Personenbezogene Daten dürfen nur in der EU verarbeitet werden oder in Ländern mit einem ähnlichen Schutzniveau oder es gibt gesonderte Vereinbarungen zwischen der EU und dem Drittland. Wenn ich einen Cloudanbieter nutzen möchte, dann sollte der aus der EU kommen. Am Einfachsten ist natürlich ein Anbieter aus Deutschland. Die sind bei dem Thema oft weiter als ausländische, sie kennen die Rechtsverordnungen und sind auf die Anfragen und Verträge, die abgeschlossen werden müssen, vorbereitet.

Heißt das, dass der Sitz des Anbieters in Europa liegen muss oder lediglich, dass die Daten- und Rechenzentren in der EU stehen müssen?

Das ist eine komplexe Frage. Als Daumenwert gilt: Wenn das Rechenzentrum in der EU liegt, ist das schon sehr gut. Aber dann muss auch sichergestellt sein, dass diese Daten nicht aus der EU rausgehen, dass zum Beispiel Daten nicht zwischendurch in Amerika geparkt werden.

Lässt sich das so leicht nachprüfen?

Nein, natürlich nicht – deshalb muss der Datenverkehr schriftlich festgehalten werden. Zu diesem Zweck wird zwischen Cloudanbieter und Unternehmen ein Vertrag zur Auftragsdatenverarbeitung geschlossen. Der legt genau fest, welche Pflichten ein Cloudbetreiber hat.

Der Datenschutz ist eindeutig geregelt. Wie sieht es aber mit der Datensicherheit aus: Wie sicher ist die Cloud vor Angriffen von außen gegenüber der eigenen Unternehmens-IT?

Wenn eine Public Cloud richtig aufgebaut ist, ist sie häufig sicherer als Daten im eigenen Unternehmen. Dies gilt insbesondere, wenn der sichere Betrieb über ein IT-Sicherheitszertifikat nachgewiesen wurde. Denn der Cloudanbieter hat naturgemäß die besseren Schutzmaßnahmen, weil das sein Kerngeschäft ist – so etwa eine Firewall, die gerne auch mal fünfstellig kosten darf. Das können sich viele Unternehmen gar nicht leisten. Die Firewall wird von Spezialisten gewartet und ist immer up-to-date. Das schaffen IT-Administratoren in den meisten mittelständischen Unternehmen nicht, weil sie noch ganz andere Aufgaben haben und Schutz vor Cyberangriffen nicht immer oberste Priorität hat.

Theoretisch können Cloudbetreiber ja auf die kompletten Daten ihrer Kunden zugreifen. Müssen Unternehmen Angst haben, dass ihre Daten leicht gestohlen werden können?

Theoretisch ist das möglich: Als Administrator einer Cloud kann ich auf alle Daten zugreifen. Deswegen muss es technische und organisatorische Regelungen beim Cloudanbieter geben, die das verhindern. Rechtlich wird dies durch Vertrag zur Auftragsdatenverarbeitung sichergestellt. Natürlich kann sich jemand nicht daran halten – aber das wäre dann Vertragsbruch und Aufgabe des Rechtssystems. Grundsätzlich geht man von der Vertragstreue aus.

Es gibt auch Cloudanbieter, bei denen der einzelne Administrator nicht so einfach auf Daten zugreifen kann, wo eine Verschlüsselung das verhindert. Da muss dieser dann erst das ok aus einer anderen Abteilung oder vom Kunden haben.

Wissen ist gut, Kontrolle ist besser - wie gehen Sie vor, wenn Sie eine Cloud auf Datenschutz und -sicherheit überprüfen?

Als erstes schaue ich: In welchem Land operiert der Anbieter? Danach kontrolle ich die technischen und organisatorischen Maßnahmen und Zertifikate. Gegebenenfalls führe ich eine Vor-Ort-Kontrolle durch: Ich fahre zum Anbieter und schaue, ob er die Sicherheitsmaßnahmen einhält. Also Zutrittskontrollen, Besucherausweise, ständige Beaufsichtigung. Um die technischen Schutzvorkehrungen zu überprüfen werden dann Penetrationstests durchgeführt. Hierbei versuchen IT-Spezialisten – ähnlich einem Hackerangriff – von außen in das System einzudringen.

Das ist tief in der Materie – ein Unternehmer, der nur selten mit IT-Technik in Berührung kommt, kann das kaum selbst übernehmen.

Ja, für einen Laien ist das schwer bis unmöglich, weil sehr viele Aspekte vom Technischen über das Organisatorische bis zum Rechtlichen zusammen kommen. Das wissen Unternehmer einfach nicht. Es ist daher Aufgabe des Datenschutzbeauftragten, den jedes Unternehmen ab zehn Mitarbeitern haben muss – und an den sich Unternehmer in so einem Fall wenden sollten.

Gibt es Standards und Zertifizierungen, an denen man einen guten Cloud-Anbieter erkennt?

Ja, etwa die Sicherheitsnorm ISO 27001. Dahinter verbirgt sich ein Informationssicherheits-Managementsystem (Mehr dazu im Artikel "12 Tipps für Cybersecurity"). Das garantiert kontinuierlich die Daten-Sicherheit im Unternehmen. Wenn ich das bei einem Anbieter sehe, kann ich grob davon ausgehen, dass er sicher mit meinen Daten umgeht. Aber lassen Sie sich nicht von einem ISO-Zertifikat blenden. Es besteht durchaus die Möglichkeit, dass das Zertifikat nur für einen einzelnen Unternehmensbereich des Cloudanbieters gilt.

Das wirkt auf den ersten Blick alles sehr komplex und überwältigend. Abseits des Technischen: Wie finde ich den richtigen Cloudanbieter?

Vor vielen Jahren wurde die ganze Cloud-Thematik noch verteufelt, heute kann man sich dem nicht mehr verschließen. Wenn man sich dem Thema öffnet, dann mit Verstand und der nötigen Zeit. Nicht das ganze übers Knie brechen, sondern schauen: Was will ich erreichen? Wie ist das Preisgefüge? Welcher Anbieter passt zu mir? Wie kann ich später einen Anbieterwechsel vollziehen (Exit-Strategie)? Ich will mit der Cloud arbeiten, also muss ich einen Dienst finden, der meine Produktivität steigert und für mein Unternehmen und meine Produktionsabläufe sinnvoll ist. Unabhängig von Sicherheitsfragen. Viele Anbieter bieten Testumgebungen, die guten Einblick in die Fähigkeiten eines Systems bieten.

Wenn sich dann eine Idee, einige Favoriten herauskristallisieren, dann sollten Unternehmen sich einen Fachmann hinzuholen, der die Feinheiten bewertet. Es ist für die meisten Unternehmen schwierig einzuschätzen, worauf man achten muss und was die Risiken sind.

Der Cloudmarkt ist aufgeteilt, mehr als die Hälfte des Kuchens gehen an die Big Four, das sind Amazon, Google, IBM und Microsoft. Diese bieten viele Softwarelösungen an, die Unternehmen gerne nutzen. Was muss ich beachten, wenn ich deren Dienste nutzen will?

Das sind hauptsächlich amerikanische Anbieter – wieder stellt sich also die Frage der Verortung. Diese muss vertraglich geregelt werden – der Anbieter muss zusichern, dass Daten nicht unter den Patriot Act fallen. Durch den Patriot Act können US-Bundesbehörden jederzeit auf personenbezogenen Daten zugreifen. Das widerspricht geltendem EU-Recht und muss daher ausgeschlossen werden. Cloudbetreiber können das technisch verhindern, in dem sie Ableger in europäischen Ländern wie Irland, den Niederlanden oder Luxemburg gründen. Die Daten liegen dann hier und verlassen Europa nie.

Herr Hösel, vielen Dank für das Gespräch!

Wie sich Organisation und Abläufe in einem Unternehmen durch Cloud-Dienste verschlanken, das zeigt der Bremer Unternehmenschef Gerhard Müller im Artikel "Mit der Cloud gehören E-Mails zur Vergangenheit".


Welche Services die WFB Wirtschaftsförderung Bremen GmbH bei der Digitalisierung ihrers Unternehmens bietet, finden Sie auf der Übersichtsseite Digitalisierung.