Beim Datenschutz kennt der Gesetzgeber kein Pardon: Für die Sicherheit der Informationen hat das Unternehmen zu sorgen. Geht etwas schief, haftet die Geschäftsführung oder der Vorstand persönlich. Geeignete Lösungen zum Schutz bietet der Markt haufenweise. Eine, die zu hundert Prozent gegen Angriffe von außen oder den unberechtigten Zugriff von innen schützt, gibt es jedoch nicht.
Das ist beim Cloud Computing – also der Bereitstellung von IT-Diensten via Internet auf Abruf – nicht anders. Software-as-a-Service, Infrastruktur-as-a-Service und Plattform-as-a-Service unterscheiden sich vom klassischen Outsourcing vor allem durch schnelle Verfügbarkeit und die Abrechnung der Kosten nach Nutzung. Die Cloud-Anbieter können diese Flexibilität deshalb anbieten, weil sie selbst flexibel sind und Daten, Speicherkapazitäten oder Rechenleistung in ihren Rechenzentren beliebig so verschieben können, dass das eigene System im Sinne des Kunden optimal läuft.
Rechtsanwalt Georg Meyer-Spasche, Partner der Kanzlei Osborne Clarke (Bild: privat)
Nach Ansicht des Rechtsanwalts Georg Meyer-Spasche von der Kanzlei Osborne Clarke liegt aus juristischer Sicht genau hier der Hase im Pfeffer. Wie soll ein Unternehmen, das Daten in eine solche Wolke gibt, noch feststellen können, ob kein Dritter die Daten einsehen kann, wie es beispielsweise das Bundesdatenschutzgesetz vorschreibt? Und wie kann es, was nach demselben Gesetz notwendig ist, die Maßnahmen des Cloud-Providers überprüfen?
Beides ist nach Meinung von Meyer-Spasche unmöglich, weil der Cloud-Nehmer nicht auditieren kann. Die Frage, wo die Daten liegen, sei nicht zu beantworten. Sein Vorschlag deshalb: Die Unternehmen sollen ihre Daten verschlüsseln und sich somit vor dem Zugriff Dritter schützen.
Neueste Kommentare
1 Kommentar zu Sicherheit in der Cloud: Verschlüsseln reicht nicht aus
Kommentar hinzufügenVielen Dank für Ihren Kommentar.
Ihr Kommentar wurde gespeichert und wartet auf Moderation.
Wie auditieren denn die Unternehmen ihre selbstgehostete Software?
Es ist sehr einfach auf die Cloud einzuschlagen und einfach zu sage aus juristischer Sicht geht das nicht.
In der Praxis hilft das natürlich kein Stück weiter, da es letztendlich darum geht eine sichere Lösung zu finden und hier haben "nicht-Cloud" Systeme genau die gleichen Probleme.
Wie soll ein Unternehmen den auditieren, ob die nicht-Cloud-Software, die sie einsetzten okay ist? Das fängt beim Betriebssystem an, bis zu den Treibern für die Hardware (Router, Switches, Server, Drucker), und geht weiter über die ganzen Softwarepakete? Ach ja, eigentlich müsste man dafür ja den Entwicklungsprozess von Novell, IBM, Micorsoft und co auditieren. Das ist natürlich Blödsinn. Genau der gleiche Blödsinn, wie wenn man fordert, dass jedes Cloud-Kunde unternehmen, die Cloud-Software genau auditieren müsste. An dieser Stelle helfen Standards und Zertifizierungen, wie auch in diesem Artikel richtig erwähnt wurde.
Und richtig sicher ist man nie. In der Praxis sind gehostete Cloud-Systeme von sehr großen Anbietern oft deutlich sichere als selbergebastelte Server. Das gilt besonder für kleine und mittlere Unternehmen.