Sicherheit
Cloud-Dienstleister als hohes Datensicherheitsrisiko
Fortsetzung des Artikels von Teil 5
Expertenkommentar KPMG: Schützenswerte Daten sollten den EU-Rechtsraum keinesfalls verlassen
Der Patriot-Act gilt für alle US-Provider weltweit, also auch, wenn sie für Unternehmenskunden Daten innerhalb ihrer Rechenzentren außerhalb der USA vorhalten. Diese Dienstleister müssen Maßnahmen zur Umgehung der eingesetzten Verschlüsselungen sicherstellen, damit sie bei entsprechendem Beschluss die Daten im Klartext aushändigen können. Aktuelle Beispiele aus der Praxis machen deutlich, dass die Online-Service-Anbieter sogar ihren privaten SSL- (Secure-Socket-Layer-)Schlüssel an die staatlichen US-Behörden aushändigen müssen. Deren Ziel ist es, alle vom Dienstleister verarbeiteten Metadaten in Echtzeit zu verarbeiten, zu analysieren und auszuwerten.
Die Konsequenzen aus solchen Auflagen für Unternehmen sind offensichtlich: Selbst durch den Einsatz starker Verschlüsselungsverfahren sind die Daten gewerblicher und privater US-Anbieter nicht geschützt, weil die Schlüssel an die US-Behörden weitergegeben werden. Zwar bleibt den Unternehmenskunden auf den ersten Blick die Alternative, ihre eigene Ende-zu-Ende-Verschlüsselung einzusetzen. Doch auch diese Alternative haben die Unternehmen oftmals nicht, weil die gehosteten Anwendungen meist keine private End-to-End-Verschlüsselung einräumen. Hinzu kommt, dass die Geheimdienste, allen voran die NSA, weite Strecken der interkontinentalen Kommunikationsverbindungen kontrollieren, teilweise sogar kompletter Staaten, wie der Bahamas und des Oman.
Die Bedrohung für die Unternehmensdaten durch den Provider dazwischen muss demzufolge als außerordentlich hoch eingestuft werden. Das gilt besonders für US-Provider. Unternehmen, die ihre Daten sicher speichern wollen, müssen deshalb selbst initiativ werden und neue Cyber-Schutzkonzepte entwickeln und umsetzen. Die eigene private Cloud und einzelne Sicherheitsprodukte reichen aufgrund der Komplexität und Vielfältigkeit der Bedrohungen nicht aus. Gefordert ist stattdessen eine strikte Befolgung von IT-Security/Governance-Grundsätzen, um die Wirksamkeit der getroffenen Maßnahmen zu erhöhen und die Kosten für diese Maßnahmen in Grenzen zu halten. Dazu muss jedes Unternehmen im Vorfeld den Schutzbedarf für seine Datenbestände analysieren und im einzelnen die erforderlichen Schutzmaßnahmen festlegen. Eine Regel, die unbedingt befolgt werden sollte: Vertrauliche und unternehmenskritische Daten (Information-Assets) sollten nie außerhalb Europas verarbeitet und gespeichert werden. Die beiden Ausnahmen von dieser Regel: Global operierende Unternehmen kommen oft nicht an US-Clouds vorbei. Daten mit geringem Schutzbedarf und niedriger Risikoklassifizierung können auch in Clouds außerhalb der EU verarbeitet und gespeichert werden. Doch bereits Daten mit mittlerem Schutzbedarf sollten den EU-Rechtsraum keinesfalls verlassen.
- Cloud-Dienstleister als hohes Datensicherheitsrisiko
- Nebulöse Wolkengebilde
- Expertenkommentar Materna: Aggressive Industriespionage
- Expertenkommentar Blue Elephant: Unternehmen haften für Governance, Risiko-Management, Compliance
- Expertenkommentar Evidian: Identity-Federation schirmt Daten ab
- Expertenkommentar KPMG: Schützenswerte Daten sollten den EU-Rechtsraum keinesfalls verlassen
Lesen Sie mehr zum Thema
