Tobias Scheible Cyber Security & IT-Forensik Dozent
Datenschutz und Transparenz

Teil 7: Der Konflikt mit dem Datenschutz

Im vorletzten Teil der Artikelserie “Sicherheit in der Wolke” geht es um die Thematik Datenschutz. Durch die hohe Komplexität dieses Themas herrscht hier noch oft Unsicherheit und es sind noch immer nicht alle Aspekte geklärt.

Dienstag, 11. Juni 2013
2 Kommentare
Aktuelles
Datenschutz, Artikelserie, Gesetze, IT-Compliance, Compliance, Safe-Harbor, Standort, Transparenz

Datenschutz

Einer der noch nicht vollständig geklärten Aspekte ist der datenschutzkonforme Umgang mit den Daten in der Cloud, wobei sich der Begriff „Datenschutz“ im deutschen Recht im Wesentlichen auf personenbezogene Daten bezieht. Wenn die Daten auf Servern in verschiedenen Ländern verteilt werden, unterliegen diese auch den jeweiligen landestypischen Gesetzen. Somit wird einer der größten Vorteile des Cloud-Computings, die hohe Abstraktion, zu einem Problem.

Daher muss bei der Auswahl des Anbieters darauf geachtet werden, in welchen Ländern und damit nach welchen Gesetzen die Daten gespeichert werden. Es kommt zum Beispiel zu Problemen, wenn personenbezogene Daten außerhalb der Europäischen Union gespeichert werden. Die außereuropäischen Länder gelten als datenschutzrechtlich kritisch bzw. unsicher. Als Ausnahme ist hier die USA zu sehen, da zwischen der USA und der EU eine Safe-Harbor-Vereinbarung existiert.

Neben personenbezogenen Daten unterliegen jedoch auch andere Dokumente rechtlichen Vorschriften, so müssen beispielsweise steuerlich relevante Dokumente grundsätzlich im Inland aufbewahrt bzw. archiviert werden. Das gleiche gilt, gemäß des deutschen Handelsrechts auch für Buchungsbelege und Handelsbriefe. Der Tatsache, dass die Unternehmen, die die persönlichen Daten erheben für die Sicherheit und den Datenschutz verantwortlich sind und nicht der Cloud Computing-Anbieter sind zu beachten. Wichtig ist auch zu berücksichtigen, dass viele Cloud-Anbieter selbst ein Subunternehmen beauftragen. So werden die Daten von Dropbox in der Cloud von Amazon gespeichert, wodurch die Daten den Regelungen von Amazon unterliegen. Gerade diese Unsicherheit macht eine eigene private EU-Cloud für Unternehmen interessant.

Eines der Hauptprobleme ist, dass die Cloud-Anbieter nicht alle Schritte und Maßnahmen offenlegen. So wird in der Regel nicht veröffentlicht welche Prozesse angewandt werden um Daten vor unbefugten Zugriffen zu schützen. Die fehlende Transparenz in diesem Bereich verhindert heutzutage noch den breiten Einsatz von Cloud-Computing.

Transparenz

Oftmals praktizieren heutige Anbieter Sicherheit durch Verschleierung, allerdings kann ein hoher Sicherheitlevel nur mit Transparenz erreicht werden. Solange die Anbieter nicht offenlegen, wie die Daten und System gesichert sind und wo sich die dazugehörigen Infrastrukturen befinden, ist kein Vergleich und vor allem keine Kontrolle über die eigenen Dienste und Daten möglich. Aber vor allem ist dadurch nicht klar wer theoretischen Zugriff hat, und welche Maßnahmen zur Sicherung angewendet werden. Durch die fehlenden Informationen können deshalb Public Clouds nicht ohne weiteres datenschutzkonform genutzt werden.

Außerdem stehen sie oftmals auch im Widerspruch zu vorhandenen IT-Compliance Regeln. Ein dokumentiertes Datenschutzmanagement und ein veröffentlichtes IT-Sicherheitsmanagement Konzept ist derzeit leider noch bei fast keinem Anbieter anzutreffen. Ein Ansatz um für mehr Transparenz zu sorgen ist die Einführung von Cloud-Compliance um die nachweisbare Einhaltung von unternehmensinternen und vertraglichen Regelungen zur Nutzung oder Bereitstellung von Cloud-Computing Leistungen zu garantieren. Damit kann Cloud-Compliance die bestehende Zurückhaltung und die Vorbehalte gegenüber den Angeboten zum Cloud-Computing reduzieren.

Allerdings müssen dabei die beiden Herausforderungen der Neuartigkeit und der Komplexität bewältigt werden. Dadurch dass unterschiedliche Anbieter auf Grund ihrer unterschiedlichen Leistungen nicht verglichen werden können, müssen jeweils individuelle Vereinbarungen getroffen werden. Allerdings können die Cloud-Compliance Regelungen auf den klassischen und bereits vorhandenen IT-Compliance-Anforderungen aufbauen, da es sich ja um eine neue Nutzungsmethode handelt und nicht um eine neue Technik. Duch dieses Vorgehen sollten also die klassischen IT-Risiken wie Sicherheit, Verfügbarkeit, Vollständigkeit und Nachvollziehbarkeit bereits abgedeckt sein.


Im letzten Teil “Zusammenfassung” wird ein übergreifendes Resümee gezogen.


Dieser Blogbeitrag ist Teil der Artikelserie “Sicherheit in der Wolke”.
Hier geht es zu den anderen Teilen:

Teil 1: Was ist Cloud-Computing?
Teil 2: Der Weg zur Cloud
Teil 3: Arten und Ebenen von Clouds
Teil 4: Vor- und Nachteile der Cloud
Teil 5: Sicherheit und Cloud-Computing
Teil 6: Gefahren beim Cloud-Computing
Teil 7: Der Konflikt mit dem Datenschutz
Teil 8: Zusammenfassung

Über Tobias Scheible

Tobias Scheible

Hallo, mein Name ist Tobias Scheible. Ich bin begeisterter Informatiker und Sicherheitsforscher mit den Schwerpunkten Cyber Security und IT-Forensik. Mein Wissen teile ich gerne anhand von Fachartikeln hier in meinem Blog und in meinem Fachbuch. Als Referent halte ich Vorträge und Workshops für Verbände und Unternehmen u. a. auch offene Veranstaltungen für den VDI und die IHK.

Kommentare

Cloud-Artikelserie Teil 2: Der Weg zur Cloud › Cloud Computing Blog am 3. Oktober 2013 um 18:28 Uhr

[Als Spam markiert von Antispam Bee | Spamgrund: Lokale Spamdatenbank]
[…] Nachteile der Cloud Teil 5: Sicherheit und Cloud-Computing Teil 6: Gefahren beim Cloud-Computing Teil 7: Der Konflikt mit dem Datenschutz Teil 8: […]

Adrian am 22. November 2013 um 10:42 Uhr

Für International agierende Firmen ist es eine ganzschöne Herausforderung die Gesetze des jeweiligen Landes ein zu halten. Wenn es um Daten geht und automatismen auf den Servern dann haben wir hier ein ganz anderes Problem. Wärend das Land auf der Serverseite eine aufbereitung und weiterverabeitung von Daten erlaubt, verbietet es evtl. das Land auf der Kundenseite. Sie geht man damit am besten um? Alle internationalen Gesetze auf der Serverseite umsetzen geht nicht.
So helfen schwammig formulierte und allgemein gehaltene AGB in allen Ländern die Gesetzeslage möglich zu Firemnvorteilen aus zu nutzen und Klagen zu verhindern. Der Kunde hat davon nur Nachteile und AGB werden kaum noch gelesen im Internet.

Schreibe einen Kommentar!

Hilfe zum Kommentieren und Hiweise

Um kommentieren zu können, geben sie bitte mindestens ihren Namen und ihre E-Mail-Adresse an. Bitte nutzen Sie die Kommentarfunktion nicht dazu, andere zu beleidigen oder Spam zu verbreiten. Trolle und Spammer sind hier unerwünscht! Unangemessene Kommentare, die zum Beispiel gegen geltendes Recht verstoßen, eine Gefährdung anderer Besucher darstellen oder keinen sinvollen Inhalt beinhalten, werden gelöscht oder angepasst.

Name: Ihr Name, der oberhalb des Kommentars steht, gerne auch Ihren echten Namen, das erleichtert die Kommunikation für alle. Sollte ein Spam-Keyword als Name verwendet werden, kann dieses entfernt oder korrigiert werden.

E-Mail: Ihre E-Mail Adresse dient zur Identifizierung weiterer Kommentare und damit ich direkt Kontakt aufnehmen kann. Die E-Mail Adresse wird natürlich nicht veröffentlicht und nicht weitergegeben.

Website: Hier können Sie ihren eigenen Blog bzw. ihre eigene Website eintragen, dadurch wird Ihr Name und Ihr Avatar-Bild verlinkt. Werden rein kommerzielle Angebote offensichtlich beworben, setze ich den Link auf nofollow und unangemessene werden einfach entfernt.

Erlaubte HTML-Tags: <a href="" title=""> <abbr title=""> <acronym title=""> <b> <blockquote cite=""> <cite> <code> <del datetime=""> <em> <i> <q cite=""> <strike> <strong> <hr> <big> <small> <sub> <sup> <u>

Ihre E-Mailadresse wird nicht veröffentlicht. Mit dem Absenden anerkennen Sie die Datenschutzhinweis des Blogs.