Cloud Computing (2011)
Cloud Computing ist das Schlagwort für eine Technologie, die es ermöglicht, Software-Anwendungen bzw. die zugrunde liegende Datenbanken ortsunabhängig zu speichern. Zugriffe der Benutzer werden stattdessen auf "Server-Farmen" geleitet. Das Cloud-System sorgt dann mittels automatischer Verfahren dafür, dass die Rechnerlast gleichmäßig auf die Server der Cloud verteilt werden. Weil sich mit diesem Verfahren gerade bei grenzüberschreitenden Cloud-Systemen nicht mehr eindeutig ermitteln lässt, auf welchem Rechner die Daten von Anwendungen gespeichert werden, sind datenschutzrechtliche Probleme vorprogrammiert. Aber nicht nur deshalb sollte der Einsatz von Cloud-Technologien im Unternehmen sorgsam abgewogen werden, wie unser folgendes Arbeitspapier darstellt.
A. Einführung
Unterschieden wird zunächst die Nutzung von „private clouds“ und „public (öffentlichen) clouds“:
- Private clouds nutzen Techniken zur automatisierten Lastverteilung auf den betroffenen Servern. Diese Server befinden sich jedoch auf dedizierten, also dem Unternehmen direkt zugeordneten, physisch bekannten und benennbaren Rechnern, sie stehen ausschließlich dem Unternehmen zur Verfügung.
- Public clouds zeichnen sich dadurch aus, dass die in der cloud zur Verfügung gestellten Dienste nicht nur von einem, sondern von vielen Kunden genutzt werden können. Auf einem Server können sich also die Daten mehrerer Kunden befinden. Die größere Dimensionierung von public clouds führt zudem dazu, dass nicht mehr unmittelbar ersichtlich ist, auf welchen Rechnern der cloud sich welche Unternehmensdaten befinden. Bei grenzüberschreitenden clouds ist somit nicht absehbar, in welchem Land bzw. welchem Rechtsraum sich Unternehmensdaten befinden.
Der Nutzen von Cloud-Anwendungen besteht zunächst in der hohen Skalierbarkeit der Anwendungen: Die Vervielfachung der Zahl der Anwender innerhalb kurzer Zeit ist kein Problem und kann rasch realisiert werden. Kostenvorteile entstehen ggf. dadurch, dass die Administration und Wartung der Systeme nicht durch die eigene IT, sondern durch den spezialisierten Cloud-Provider erfolgt, der seiner Größenvorteile und die Standardisierung (...zu Lasten einer individuellen Lösung für das Unternehmen...) seines Produktes ausnutzen kann. Ob dies tatsächlich der Fall ist, ist von Fall zu Fall zu überprüfen.
Obwohl sich datenschutzrechtliche Probleme auch bei private clouds stellen, so wiegen diese beim Einsatz von public clouds erheblich schwerer. Zum einen ist die Gefahr von (Hacker-)Angriffen vielfältiger und größer als bei lokalen Anwendungssystemen. Zum anderen sind datenschutzrechtliche Vorgaben schwer einzuhalten, insbesondere sind die vom Cloud-Provider getroffenen Schutzmaßnahmen nur schwer kontrollierbar und zu bewerten.
Die Öffnung von public clouds für weitere Nutzer sowie die Verwendung von Serversystemen über Landesgrenzen hinaus führt zu weiteren Problemen, die die unterschiedlichen nationalen Steuergesetzgebungen, die Lizenzpolitik sowie in besonderem Maße die Gefahr von Industriespionage betreffen. Zudem sind mögliche Performance-Probleme zu berücksichtigen, denn der Datenaustausch wird über störungsanfällige Internetverbindungen realisiert.
Dies führt zu der Bewertung, dass die Verwendung von Anwendungen, die sich auf public clouds stützen, an strenge Vorgaben auszurichten ist.
B. Offene Fragen
Know-How-Abfluß/ Industriespionage
Mehrere Staaten stehen in Verdacht, Industriespionage zu betreiben, u.a die Volksrepublik China1, aber auch die Vereinigten Staaten. Seit dem „patriot act“ sind amerikanische Unternehmen verpflichtet, Datenschnittstellen für amerikanische Behörden zur Verfügung zu stellen. Datenschutzrechtliche Verpflichtungserklärungen nach dem „Safe-Harbour-Agreement“ sind zudem stark umstritten und werden von Datenschutzexperten als „Freibrief“ tituliert. Das „Safe-Harbour-Abkommen“ wird wegen der großen Defizite deshalb in diesem Frühjahr erneut fachlich überprüft werden.3
Vertrauenswürdiges Personal
Der geringer Einfluss auf die Personalauswahl der Provider und deren Vorbehalt, Unterverträge mit weiteren Dienstleistern abzuschließen erhöht ebenfalls die Möglichkeit der Datenspionage, gerade bei sensiblen Daten, die möglicherweise auf dem „Schwarzmarkt“ oder an Wettbewerber verkauft werden können. Notwendig sind Informationen über die Auswahlkriterien der Einstellung, die Aufsicht über die Systemadministratoren und die Zugriffskontrolle.
Gefahren durch Hacker-Angriffe
Durch Konzeption der Cloud besteht zudem ein besonders großes Risiko, Opfer eines Hackerangriffs zu werden. Die Datenintegrität ist jedenfalls bereits dann in Frage zu stellen, wenn es Hackern gelungen ist, den Zugang eines anderen Kunden zu hacken. Die öffentliche Zugänglichkeit zu den Anwendungen über das Internet birgt die Gefahr, dass Sicherheitslücken in Browsern ausgenutzt werden können.
Selbst wenn sich das Unternehmen entscheidet, aus Sicherheitsgründen nur Anmeldungen zur Cloudanwendung zuzulassen, die aus dem eigenen Netz heraus erfolgen, erhöht dies die Sicherheit der Anwendung nur punktuell, denn andere Kunden auf denselben Servern können ggf. erheblich weichere Zugangsregeln konfiguriert haben, evtl. ist dort ein Zugriff aus dem Internetcafe odervom Mobiltelefon möglich.
Zudem ist zu klären, ob und wie der Kunde über erkannte Sicherheitslücken informiert wird. In der Regel ist nicht zu erwarten, dass ein Cloud-Provider Informationen hierüber weiter gibt.
Einhaltung von Datenschutzbestimmungen
Ein erhebliches Problem stellt die Pflicht des Unternehmens dar, die Einhaltung der geltenden Datenschutzbestimmungen zu erfüllen. Grundsätzlich sind die für die Auftragsdatenverarbeitung geltenden Regelungen einzuhalten, der Auftragsdatengeber ist dabei weiterhin datenschutzrechtlich verantwortlich.
Der Berliner Datenschutzbeauftragte weist in diesem Zusammenhang in seinem Tätigkeitsbericht 2008 darauf hin, dass die Nutzung von Cloud-Anwendung nur dann datenschutzkonform sein kann, wenn sich alle Cloud-Rechner physisch im Rechtsraum der EU bzw. Länder mit vergleichbarem Datenschutzniveau befinden.
UPDATE Oktober 2011: Mittlerweile muss man auch diese Empfehlung differenziert beurteilen: Mitte 2011 wurde Berichte öffentlich, nach denen Microsoft und andere US-amerikanische Cloud-Anbieter Daten auch dann an amerikanische Behörden übermitteln, wenn sich die Daten physisch auf Servern in EU-Ländern befinden. Dazu haben wir am Beispiel der Software MS Office 386 ein Arbeitspapier ins Netz gestellt.
Kontrolle des Cloud-Providers
Da eine direkte Kontrolle des Cloud-Providers in der Regel nicht möglich ist, müssen einschlägige Sicherheitszertifizierungen nachgewiesen werden. Ob ein erworbenes Zertifikat ausreichend ist, muss im Einzelfall überprüft werden. 5
Datenspeicherung
Eine Studie der Gartner-Group macht darauf aufmerksam, dass unbedingt zu ermitteln sei, wie die Daten von anderen Kunden getrennt werden. Die Effizienz von Verschlüsselungen sind zu hinterfragen, ebenso Fragen der Entschlüsselung im Backup-Verfahren.6 Außerdem ist zu klären, wie sicher gestellt wird, dass Daten auf dem System tatsächlich physisch gelöscht werden und nicht nur eine Löschmarkierung erhalten.
Zudem seien Disaster- und Insolvenz-Szenarien zu berücksichtigen.
Anwendungsgeschwindigkeit
Anwendungen, bei denen schnelle Reaktionsszeit und eine Hochverfügbarkeit des Dienstes zwingend erforderlich sind , sind als Cloud-Dienste nicht geeignet, da beides nicht gewährleistet werden kann, denn die Kommunikation findet über das – unkontrollierbare - Internet statt.
Compliance
Über die Datenschutz- und Sicherheitsaspekte hinaus, ist zu überprüfen, ob weitere gesetzliche bzw Unternehmens-Policies sowie bestehende Betriebsvereinbarungen berührt und eingehalten werden.
Erhöhte Abhängigkeit vom Anbieter beim Einsatz von Cloud-Computing
Mit Cloud-Computing begeben sich – stärker als bei gewöhnlichem Outsourcing - Unternehmen in die Abhängigkeit vom Cloud-Provider. Und Abhängigkeit macht erpressbar. Die Abhängigkeit entsteht, wenn die nach außen verlagerten Daten in keinem standardisierten, offenen Format gespeichert werden. In der Wolke wird diese Kontrolle über Daten und Software auf den Cloud-Anbieter verlagert. Die Folge kann sein, dass man als Kunde nicht mehr schnell und kostengünstig zu alternativen Anbietern wechseln kann. Man steckt fest und muss überhöhte Preise akzeptieren.
C. Fazit
Wegen der erheblichen und vielfältigen Risiken und den oft nicht zufriedenstellenden Lösungsansätzen zur Bewältigung der damit verbundenen Probleme, sollte die Nutzung von Public-Cloud-Diensten nur punktuell in Erwägung gezogen werden.
- Von einer Verarbeitung sensibler Unternehmensdaten in public clouds ist abzusehen.
- Cloud-Anwendungen sind standardisiert. Mit standardisierten Anwendungen kann man jedoch keinen Vorteil gegenüber den Wettbewerbern erzielen. Kernprozesse des Unternehmens sollten daher nicht im Rahmen von Public-Cloud-Anwendungen betrieben werden.
- Anwendungen, die hochverfügbar sein müssen oder für die sehr schnelle Reaktionszeiten der Systeme erforderlich sind, sind nicht für public-cloud-Dienste geeignet.
- Es ist sicher zu stellen, dass alle Rechner einer cloud datenschutzrechtlich im Rechtsraum der EU betrieben werden. (bzw. im Rechtsraum datenschutzrechtlich gleich gestellter Länder).
- Es darf keine Datenverarbeitung in Ländern erfolgen, die der Industriespionage verdächtigt werden. Zu überprüfen ist, ob Cloud-Provider beauftragt werden dürfen, deren Firmensitz in diesen Staaten liegt, die jedoch angeben, dass die Datenverarbeitung ausschließlich in EU-Staaten erfolgt.
- Betriebsvereinbarungen und Unternehmenspolicies sind einzuhalten.
- Der beauftragte Cloud-Dienste-Anbieter muss kontrolliert werden können. Alle sicherheitsrelevanten Aspekte müssen zufriedenstellend beantwortet werden. Zertifkate sind auf ihre Stichhaltigkeit hin zu überprüfen.
- Alternative Lösungen zur Cloud-Anwendung müssen geprüft worden sein. Die Entscheidung für einen Cloud-Dienst-Anbieter darf nicht dazu führen, dass man von diesem und seinen Diensten abhängig wird.
- Kostenvorteile müssen nachvollziehbar ermittelt und beziffert werden. Der Kostenaspekt darf die andere Überlegungen nicht überlagern.
Dirk Hammann,
Dirk.Hammann@tse.de
tse Hamburg |
151 / 244 |