Die Cloud und der Datenschutz

Der Unterschied zwischen einer Private und einer Public Cloud liegt nicht nur in deren Architektur. Vor allem bezüglich der Datenhoheit und der DSGVO-Konformität unterscheiden sich Private-Cloud- von Public-Cloud-Diensten markant.

Da der Datenschutz ein elementarer Punkt im Hinblick auf die immer stärker anwachsende Datenflut ist, tun Unternehmen gut daran, die rechtliche Lage in Bezug zum Datenschutz bei evaluierten Anbietern genau zu prüfen. Ungenügend evaluierte Cloud-Dienste bergen Gefahren, vor allem aus rechtlicher Sicht.

Bei den der DSGVO unterstellten Unternehmen kann bei Missachtung der gesetzlichen Richtlinien hoher Schaden sowie ein Reputationsverlust bei Handelspartnern und Kunden entstehen. Führende Anbieter von Private-Cloud-Angeboten setzen alles daran, die Daten der Kunden auf höchstem Niveau zu schützen. Dies beinhaltet eine stetige Datenverschlüsselung, höchste Sicherheitsmerkmale und eine strikte Einhaltung der Cloud-Compliance. Da jeder Kunde in der Private Cloud eine komplett isolierte und dedizierte Cloud-Infrastruktur zur Verfügung hat, müssen Ressourcen nicht mit anderen Nutzern geteilt werden. Bei einer durchdachten Private-Cloud-Umgebung ist zudem der sogenannte Vendor Lock-in kein Thema, was bei Pu­blic-Cloud-Anbietern aufgrund proprietärer Anwendungen auftreten kann. Auch aus IT-Security-Sicht bieten Private-Cloud-Umgebungen bessere Sicherheitsmerkmale bereits im Grundangebot an und verantworten den Schutz der Infrastruktur und der Kundendaten.

Public-Cloud-Anbieter wiederum sind lediglich für die Sicherheit der Cloud-Infrastruktur zuständig, wobei der Kunde für die Sicherheit der Daten selbst verantwortlich ist. Auch ist der Zugriff auf eine dedizierte Private-Cloud-Umgebung über das Internet nicht visibel und für Angreifer sehr schwer aufzuspüren – im Gegensatz zu den bekannten Public-Cloud-Diensten.

Ein Grundsatzentscheid in einer Cloud-Evaluation ist die geografische Frage der Datenhaltung. Die Schweiz gilt als eines der sichersten Länder. Die Infrastrukturen in der Schweiz haben einen der höchsten Standards und sind daher besonders gut für die Datenhaltung in der Cloud geeignet. Aber unter Einbezug der erwähnten Problematik bezüglich Datenschutz und Datenhoheit ist ein Data Center in der Schweiz nur bedingt der Schlüssel zu einem rechtlich konformen Datenschutz und eine Absicherung für die Datenhoheit. Vor allem Unternehmen im Finanzsektor, Treuhänder, Anwaltskanzleien oder im Health-Care-Bereich unterhalten die wohl sensitivsten Daten. Genügt es daher aus rechtlicher Sicht, Public-Cloud-Dienste aus einem Schweizer Data Center von ausländischen Anbietern zu nutzen?

Die klare Antwort lautet nein! Meist herrscht bezüglich genauer Informationen, wo exakt welche Daten gespeichert oder verarbeitet werden, eine gewisse Intransparenz. Zudem unterliegen zum Beispiel US-amerikanische Anbieter der Gesetzgebung der USA und somit dem Cloud Act. Der Cloud Act ist ein US-Gesetz, das den amerikanischen Behörden die uneingeschränkte Möglichkeit gibt, auf Daten von amerikanischen IT-Cloud-Providern zuzugreifen. Unternehmen müssen sich auch bewusst sein, dass Nutzerdaten bei Public-Cloud-Angeboten vielfach gesammelt und teilweise auch gewinnbringend kapitalisiert werden. Letzterer Umstand findet sich vor allem bei kostenlosen Angeboten wie zum Beispiel einem Cloud-Speicher.

Selbstredend werden von professionellen Private-Cloud-Anbietern keine Nutzerdaten gesammelt sowie branchenführende Produktfunktionen eingesetzt, die es den Kunden erlauben, die volle Kontrolle über jegliche Daten zu haben. Der Zugriff auf die eigenen Daten kann für Private-Cloud-Nutzer jederzeit und von überallher erfolgen. Die Daten­haltung in Schweizer Data Centern bei einem Schweizer Anbieter bietet aber noch weitaus mehr Vorteile.

Lokale Anbieter bereiten sich etwa frühzeitig auf gesetzliche Anpassungen vor und können bei nationalen Gesetzesänderungen durch die Regierung, wie zum Beispiel das bevorstehende Inkrafttreten des revidierten Schweizer DSG, neue Richtlinien per sofort umsetzen. Sie haben zudem lokale Ansprechpersonen, sprechen die Sprache der Schweizer Unternehmen und können auf jegliche individuellen Anforderungen persönlich und direkt eingehen.

Das Risiko eines Angriffs durch Cyberkriminelle ist so hoch wie nie. Die IT hat längst Einzug in jegliche Bereiche eines Unternehmens gehalten. Diese Tatsache wird von Angreifern gezielt ausgenutzt. Obwohl IT überall vorhanden ist, sind längst nicht alle Bereiche gleichermassen geschützt. Netzwerkdrucker, privat genutzte Business Devices, ungeschulte Mitarbeitende, fehlende Patches, gänzlich fehlende Security-Vorkehrungen oder nicht aktualisierte Software sind einfache Eintrittspforten für Kriminelle.

Eine Private-Cloud-Lösung bietet in der Regel ein gesamtheitliches Sicherheits-Framework und setzt auf einen vollumfänglichen Sicherheits-Stack sowie spezifische Sicherheitsstandard wie z. B. ISO 27001, 27017, 22301, ITIL oder COBIT. Grundlegende Sicherheitsmerkmale wie die Datenverschlüsselung nach FIPS 140-2 Standard, DDOS-Protection, Next Gen Firewall, Anti-Malware, Anti-Ransomware Application Whitelisting und weitere Sicherheitsfunktionen sind bei technologisch hochstehenden und bereits erprobten Private-Cloud-Umgebungen im Grundschutz vorhanden. Zudem sollten Verwaltungssysteme, wie das Backup-System oder auch die Verwaltung der Firewall, vorzugsweise komplett von der Produktionsumgebung des Kunden getrennt und unabhängig in einem vollständig abgetrennten Security Layer verfügbar sein. Für Firmen sind gleichwertige Sicherheitsmerkmale oder die Erfüllung von Compliance-Richtlinien bei On-Premises-Infrastrukturen nur mit stetigen und hohen Investitionen zu erreichen. Mit einer Migration der IT-Infrastruktur in eine Private-Cloud-Umgebung können hingegen die Anforderungen an die Sicherheit, Skalierbarkeit und jegliche Compliance-Richtlinien ohne zusätzliche Investitionen erfüllt werden.