Basic HTML-Version
Services bei öffentlichen Anbietern über das Inter-
net, während datenschutzkritische Anwendungen
und Daten im Unternehmen betrieben und ver-
arbeitet werden. Die Herausforderung liegt hier
in der Trennung der Geschäftsprozesse in da-
tenschutzkritische und -unkritische Workflows.
Voraussetzung ist eine saubere und konsequente
Klassifizierung der imUnternehmen vorhandenen
und verarbeiteten Daten.
Welche Vorteile bietet das Cloud-Computing?
Als Vorteil des Cloud-Computingwird immer wie-
der angeführt, dass weniger Kapital in Hardware
und Softwarelizenzen gebunden ist. Gleichzeitig
erhält man eine hochflexible Infrastruktur, die je-
derzeit an neue Anforderungen angepasst werden
kann.
Die Installation und Wartung der IT-Systeme in
der Cloudwird an Spezialisten übertragen, so dass
eine Konzentration auf das Kerngeschäft möglich
ist. Der Zugriff auf die gleichen Daten ist von
unterschiedlichen Orten und unterschiedlichen
Personenmöglich. Mitarbeiter können auch unter-
wegs mit Smartphones und Tablets Firmendaten
verarbeiten.
Auch für kleine Unternehmen bieten sich Vortei-
le: Gerade Software-as-a-Service kann für kleine
Unternehmen vorteilhaft sein. Hier ist die Indivi-
dualisierung der Lösung häufig kein Hemmschuh.
Schließlich lassen sich alle klassischen in der Woh-
nungswirtschaft gebräuchlichen ERP-Module wie
etwa Finanzbuchhaltung undMietenbuchhaltung
heute als Cloud-Lösung realisieren. Regelmäßige
Prozeduren wie das Einspielen von Updates, die
für Unternehmen ohne eigene IT-Abteilung immer
wieder eine Herausforderung darstellen und vom
Kerngeschäft Hausbewirtschaftung ablenken,
entfallen dann.
Die größten Sicherheitsrisiken
Die Vorteile der Cloud sind zugleich mit Gefah-
ren verbunden, die in klassischen IT-Strukturen
so nicht vorhanden sind und waren:
•
Vertraulichkeit und Integrität der Daten:
In
einer Public oder Hybrid Cloud ist eine Loka-
lisierung der Daten für den Dateneigentümer
nahezu unmöglich. Daher ist der Schutz der Da-
ten auf der Infrastruktur-, Plattform- und Ap-
plikationsebene häufig nicht mehr mit üblichen
Mitteln zu gewährleisten. Gerade für sensible
Daten kann eine ausreichende Zugriffskontrolle
nur schwer realisiert werden.
•
Löschung von Daten:
Gesetzliche Bestim-
mungen oder die Beendigung des Auftrages
können die Löschung von Daten erforderlich
machen. Hier besteht das Risiko einer nur un-
zureichenden oder unvollständigen Löschung
auf allen Plattformen und Datenbanken der
Cloud, da die Lokalisierung der Daten nur
schwer möglich ist.
•
Mandantentrennung:
Bei nicht ausreichend
abgesicherter Mandantentrennung besteht die
Gefahr, dass Dritte unautorisiert Daten einsehen
oder manipulieren können. Dieses Risiko ist in
einer Public Cloud erhöht, da keine physische
Trennung der Daten unterschiedlicher Mandan-
ten erfolgt.
•
Verletzung der Compliance:
Bei einer Pub-
lic Cloud können die Daten prinzipiell in allen
Ländern der Welt in deren spezifischen Rechts-
ordnungen verarbeitet werden. Dies erschwert
die Erfüllung aller gesetzlichen Anforderungen
eines Unternehmens.
•
Gesetzlicher Datenschutz:
Gefahren resultie-
ren auch hier aus den unklaren Standorten der
Rechenzentren und den unbekannten Daten-
flüssen.
•
Insolvenz des Providers:
Damit muss nicht die
Insolvenz aller vom Provider verwendeten Re-
chenzentren verbunden sein. Bei einemVerkauf
von Rechenzentren besteht das Risiko, dass Da-
ten nicht vor unberechtigtemZugriff geschützt
sind.
•
Problematik der Subunternehmer:
Der Pro-
vider wird häufig Subunternehmer für gewisse
Leistungen verpflichten. In einer Public Cloud
bleibt dies dem Benutzer nach der Philosophie
des Cloud-Computing häufig verborgen. Daten
können sich dann bei einem unbekannten Sub-
unternehmer irgendwo in der Welt befinden.
•
Beschlagnahmung von Hardware:
Eine Be-
schlagnahme von Hardware kann in allen Län-
dern erfolgen, in denen der Provider Ressourcen
nutzt.
•
Erpressungsversuche:
Die Gefahr von Erpres-
sungsversuchen steigt, da der Personenkreismit
Administrationsaufgaben für Ressourcen der
Public Cloud unüberschaubar groß ist. Das ein-
gesetzte Personal verfügt über ein unterschied-
liches Ausbildungsniveau und Sicherheitsbe-
wusstsein. Zudem sind dieMotivationslagen der
Mitarbeiter in vielen Ländern nicht kalkulierbar.
IT-Sicherheit und Cloud
müssen kein Widerspruch sein
Werden die notwendigenMaßnahmen bei Auswahl
und Implementierung vonCloud-Lösungen beach-
tet, kann die IT-Sicherheit durch Cloud-Lösungen
allerdings gegenüber der bisherigen und oft auch
nicht optimal gesicherten Ausgestaltung der IT-
Landschaft erhöht werden. So liegt es bereits im
Interesse der Provider, Sicherheitsmaßnahmen zu
implementieren, die das vorhandene Niveau vieler
Anwender deutlich übertreffen. Unternehmen kön-
nen diese Maßnahmen für ihr eigenes Sicherheits-
konzept nutzen, wenn sie entsprechendeMaßgaben
in die Cloud-Verträge aufnehmen.
Um die Sicherheit von Daten in der Cloud zu ge-
währleisten, ist eine gründliche Information über
den Anbieter und dessen Dienstleistungen bei
allen Arten von Cloud-Diensten erforderlich. Der
Auswahlprozess, die Vertragsphase, die Migration
undBetriebsphase erfordern eine sachgerechte Pla-
nung. Bereits bei der Auswahl des Partners sollte
aber auch über die spätere Beendigung der Ausla-
gerung nachgedachtwerden. Hier stellen sich zahl-
reiche Fragen, die von der nachweisbaren Löschung
der Daten bis zur Erfüllung der gesetzlichenAufbe-
wahrungspflichten gemäßGDPdU (Grundsätze zum
Datenzugriff und zur Prüfbarkeit digitaler Unterla-
gen) reichen. Fehlt in einem Wohnungsunterneh-
men das notwendige Know-how zur Beurteilung,
bieten auch die Prüfungsverbände und ihre nahe
stehendenWirtschaftsprüfungsgesellschaftenBe-
ratungsangebote zur Anbieterauswahl.
Quelle. DOMUS AG
Schematische Darstellung verschiedener Cloud-Konzepte
71
8|2014