Advertorial: Keine Kompromisse bei der DatensicherheitPraxis-Check: Neun Top-Kriterien eines sicheren Cloud-Anbieters
11. September 2020Wie sich Unternehmen bei der Wahl ihres Cloud-Anbieters gegen Risiken schützen, die von US-Rechtsnormen wie dem CLOUD Act, fahrlässig vergebenen Rechten und weiteren Gefährdungspotenzialen ausgehen, erklärt die nachfolgende Checkliste.
Für die Mehrzahl (85 Prozent) der IT-Entscheider in Deutschland ist es wichtig beziehungsweise sehr wichtig, dass ihr Provider seinen Sitz in der EU hat. Dies ist das Ergebnis einer Umfrage des Meinungsforschungsinstituts Censuswide im Auftrag von IONOS cloud. Fast neun von zehn Befragten (88 Prozent) wünschen sich, dass ihre Daten in Deutschland gespeichert werden, rund 44 Prozent möchten nicht, dass das in den USA geschieht.
Dafür gibt es gute Gründe: Von denjenigen, die die USA als Speicherort ablehnen, begründen dies zwei Drittel (67 Prozent) mit dem eher niedrigen Datenschutzniveau in den USA und einem verstärkten Wunsch zur Wahrung von Geschäftsgeheimnissen. Wie sich Unternehmen bei der Wahl ihres Cloud-Anbieters gegen die vom US-Recht ausgehenden Sicherheitsrisiken schützen und was außerdem für den sicheren Betrieb wichtig ist, fasst die nachfolgende Checkliste zusammen.
1. Der Cloud-Dienstleister hat seinen rechtlichen Sitz in Deutschland oder der Europäischen Union.
Die Vorstellungen von Datenschutz unterscheiden sich in den USA und der EU fundamental. Die bestehende US-amerikanische Gesetzgebung zu diesem Thema ist nicht mit der Datenschutzgrundverordnung (DSGVO) kompatibel. Doch alle Unternehmen hierzulande unterliegen ihr und dürfen demnach nur Provider mit der Verarbeitung persönlicher Daten beauftragen, die ihrerseits die DSGVO einhalten.
2. Der Cloud-Anbieter ist nicht Teil eines US-Konzerns oder seiner Tochtergesellschaften.
Seit Inkrafttreten des US CLOUD Act im März 2018 müssen US-amerikanische Unternehmen alle Daten in ihrem Besitz, ihrer Obhut oder ihrer Kontrolle auf Verlangen an bevollmächtigte Behörden herausgeben. Und zwar teils ohne richterlichen Beschluss. Dies gilt auch für europäische Töchter oder Länder-Zentralen von US-Konzernen.
3. Der Cloud-Dienstleister bietet die Möglichkeit, Daten ausschließlich in deutschen beziehungsweise europäischen Rechenzentren zu hosten.
Es ist nicht von Belang, ob sich der physische Server, auf dem die Daten lagern, inner- oder außerhalb der USA befindet. In jedem Fall können US-Behörden Zugriff sowohl auf personenbezogene als auch Unternehmensdaten erhalten, von wirtschaftlichen Informationen über Geschäftsgeheimnisse bis hin zu geistigem Eigentum.
Erfahren Sie mehr über die Rechenzentren der IONOS cloud
4. Es wird eine Auftragsverarbeitungs-Vereinbarung (AVV) geschlossen.
Die DSGVO regelt die Verarbeitung personenbezogener Daten, die so genannte Auftragsverarbeitung, und verpflichtet unter anderem die Unternehmen, mit ihrem Cloud-Dienstleister einen Auftragsverarbeitungs-Vertrag zu schließen.
5. Der Dienstleister garantiert konkrete technische und organisatorische Maßnahmen in Sachen Datenschutz und -sicherheit.
Wie wichtig die technische Seite ist, haben die als Meltdown und Spectre bekannt gewordenen Sicherheitslücken gezeigt. Vor technischen Pannen ist prinzipiell niemand gefeit. Darum braucht es ein doppeltes Sicherheitsnetz. Es müssen Lösungen her, mit denen sich sowohl Systemressourcen als auch Log-Dateien überwachen und somit auch Cloud-Umgebungen kontrollieren lassen. Die Software muss in der Lage sein, Risiken wie Cyberangriffe, zu großzügige Freigaben und versehentliche Offenlegung sofort zu erkennen und gegenzusteuern. Eine automatisierte, durch Richtlinien gesteuerte Quarantänefunktion beim Auftreten sensibler Daten erhöht zusätzlich die Sicherheit. Noch wirkungsvoller ist ein Cloud-Virtualisierungs-Software-Stack, der durch sein Design bereits maximal mehr Schutz vor beispielsweise „Speculative Threads“ bietet.
6. Die Cloud-Lösung beinhaltet ein feingranulares Rechtemanagement.
Das System sollte zwischen Lese-, Schreib-, Änderungs- und Ausführrechten unterscheiden und eine möglichst detaillierte Vergabe von Zugriffsberechtigungen erlauben. Rechtevergaben sollte man eher restriktiv handhaben. Geeignete Cloud-Anbieter bieten standardmäßig ein ausgefeiltes Identity Access Management (IAM) an.
7. Der Cloud-Dienstleister ist zertifiziert.
Eine Zertifizierung nach ISO 27001 ist der Nachweis, dass der Anbieter die international geforderten hohen Standards der Informationssicherheit einhält. Es muss den Cloud-Nutzern möglich sein, diese Zertifikate einzusehen. Davon unabhängig sollte sich auf der Webseite des Anbieters der Datenschutzhinweis leicht erreichen lassen und verständlich formuliert sein. Orientierung bietet außerdem der Kriterienkatalog C5 (Cloud Computing Compliance Criteria Catalogue) des Bundesamts für Sicherheit in der Informationstechnik (BSI).
8. Der Cloud-Dienstleister schult seine Mitarbeiter umfassend zum Thema Datenschutz und -sicherheit.
Nicht nur der Wissensdurst von US-Behörden bedroht die Datensicherheit deutscher Unternehmen. Oft genug spielen außerdem die Sorglosigkeit oder Ignoranz von Mitarbeitern eine unrühmliche Rolle. Der Human Factor 2019 Report berichtet, dass Cyberangriffe zu 99 Prozent auf Mitwirkung der Geschädigten angewiesen sind, etwa indem Mitarbeiter Makros aktivieren, Dateien oder Dokumente öffnen und auf einen Link klicken. Die Mitarbeiter für den Datenschutz zu sensibilisieren, ist ein wichtiger erster Schritt.
9. Der Cloud-Dienstleister unterstützt seine Kunden beim Datenschutz.
Gute Beispiele dafür sind entsprechende Tutorials oder Webinare. Auch sollte dem Unternehmen ein ständiger persönlicher Ansprechpartner für Rückfragen aller Art zu Verfügung stehen.
Um die digitale Sicherheit ist es nicht so gut bestellt
Datenklau, Industriespionage und Sabotage haben allein in den letzten zwei Jahren in Deutschland Schäden in Höhe von mehr als 205 Milliarden Euro verursacht. Darin enthalten sind nur die digitalen Angriffe, die die Unternehmen als solche erkannt haben.
Die Dunkelziffer dürfte noch höher liegen, zumal sich längerfristige wirtschaftliche Verluste durch illegalen Know-how-Abfluss nur schwer bis gar nicht beziffern lassen. Das Gleiche gilt für den Fall, dass durch Aktivitäten von US-Behörden Informationen und Wissen offengelegt oder dem Wettbewerb zugänglich gemacht werden. Umso wichtiger ist es also, dass die heimische Wirtschaft alle vermeidbaren Sicherheitsrisiken ausschaltet. Beispielsweise durch die Wahl eines Cloud-Anbieters, der technisch und rechtlich die höchsten Sicherheitsstandards vereint.
Mark Neufurth ist Expert Technical Marketing bei IONOS cloud.
IONOS cloud: Die europäische Cloud-Alternative für maximale Datensicherheit