DatensicherheitGeschäftsdaten sicher in der Cloud speichern

Über Cloud-Speicher können Anwender unabhängig vom jeweiligen Aufenthaltsort und mit unterschiedlichen Geräten auf ihre Dateien beziehungsweise Dokumente zugreifen. Darüber hinaus stellt eine automatische Synchronisierung sicher, dass die auf den Cloud-Servern gespeicherten Dokumente stets auf dem aktuellen Stand sind.

Für kleinere Unternehmen ohne spezielles Know-how und entsprechender IT-Infrastruktur bieten Cloud-Speicher außerdem eine einfache und kostengünstige Möglichkeit, Daten zu sichern. In den gut gesicherten Rechenzentren dieser Dienste sind die Daten meist besser geschützt als auf einem selbst betriebenen Server vor Ort.

Das Geschäft mit dem Online-Speicher ist hart umkämpft. Viele Internet-Konzerne und IT-Unternehmen bieten sehr günstige oder sogar kostenfrei nutzbare Cloud-Speicher an – auch um die Kunden hierüber an die eigenen Dienste zu binden. Ob Apple (iCloud), Microsoft (OneDrive) oder Google (Google Drive): Die weltweit führenden IT-Konzerne sind ebenso aktiv wie Internet-Provider und Telekommunikationsanbieter oder auch auf Online-Speicherdienste spezialisierte Anbieter wie etwa Dropbox oder CloudMe.

Seien Sie bei den Gratis-Angeboten besonders vorsichtig! Um trotz Nulltarif auf ihre Kosten zu kommen, lassen sich die Dienstleister für das scheinbar großzügige Angebot häufig sehr weitreichende Rechte im Hinblick auf die gespeicherten Daten einräumen. So behalten sie es sich oftmals vor, die Inhalte zu lesen, um passgenaue und damit gut bezahlte Werbeannoncen einblenden zu können. Mitunter lassen sich einige Unternehmen Nutzungsrechte an den gespeicherten Daten genehmigen, womit sich diese Dienste für eine geschäftliche Nutzung natürlich disqualifizieren.

Aufpassen müssen Sie bei den Cloud-Angeboten auch nach der Einrichtung eines Kontos. Der Markt ist äußerst dynamisch und längst nicht alle Unternehmen können sich hier dauerhaft etablieren. Viele der kleineren Startups werden nach einiger Zeit von den Großen auf dem Markt übernommen oder müssen ihren Dienst einstellen.

Überprüfen Sie bei einer Übernahme durch einen Konkurrenten deshalb genau, welche Konsequenzen dies mit sich bringt. Inwieweit verändern sich etwa die AGBs, werden Leistungen geändert oder eingeschränkt? Allein schon die Tatsache, dass der neue Eigentümer in einem anderen Land ansässig ist oder seine Server an anderen Standorten stehen, kann zum Beispiel im Hinblick auf den Datenschutz erhebliche Auswirkungen haben.

Besonders vorsichtig müssen Sie sein, wenn Sie personenbezogene Daten in der Cloud speichern wollen; das sind zum Beispiel Namen, Adressen und andere persönliche Daten von Mitarbeitern, Kunden oder Nutzern. Diese Daten unterliegen besonderen Regelungen und dürfen beispielsweise ausschließlich innerhalb der EU-Staaten aufbewahrt werden, in denen es ein relativ hohes Schutzniveau gibt. Für Drittländer gibt es nur dann eine Ausnahme, wenn diese sich verpflichten, ähnliche strenge Vorgaben einzuhalten. Im Fall der USA, wo die meisten der großen IT-Unternehmen angesiedelt sind, war dies bis Oktober 2015 über das sogenannte Safe-Harbor-Abkommen geregelt. Der Europäische Gerichtshof hat dem mit einem Urteil aber widersprochen. Danach ist es nicht mehr zulässig, personenbezogene Daten in den USA, also bei US-amerikanischen Cloud-Anbietern zu speichern.

Unproblematischer sind dagegen Cloud-Dienste europäischer Unternehmen, bei denen auch die Server-Standorte in den EU-Staaten liegen. Angesichts der anhaltenden Diskussionen um dieses Thema haben viele Unternehmen Cloud-Dienste angekündigt oder bereits im Angebot, bei denen die Daten komplett innerhalb der EU-Grenzen verbleiben. Hier verlassen Ihre Daten auch während der Übertragung das EU-Gebiet nicht.

Werden personenbezogene Daten an Dritte weitergegeben, muss nach dem Bundesdatenschutzgesetz in jedem Fall eine Vereinbarung zur Auftragsdatenverarbeitung (§11 BDSG) geschlossen werden. Seriöse Cloud-Dienstleister legen eine solche Vereinbarung von sich aus bereits bei Vertragsabschluss vor.

Die sichere Speicherung von Daten in der Cloud kann nur über eine Verschlüsselung erfolgen. Obligatorisch bei eigentlich allen Cloud-Diensten ist die Transport-Verschlüsselung per SSL/TLS, die die Daten auf dem Übertragungsweg zwischen den Endgeräten und den Servern schützt. Damit die Daten auch auf den Cloud-Rechnern nicht gelesen werden können, ist jedoch eine weitergehende Verschlüsselung notwendig.

Es gibt eine Reihe von Cloud-Diensten, bei denen eine solche Verschlüsselung enthalten ist, allerdings kommt es hier noch auf die Details an. Entscheidend ist dabei, ob der Schlüssel zum Verschlüsseln und Entschlüsseln ausschließlich beim Anwender verbleibt oder ob der Cloud-Anbieter selbst ebenfalls Zugang zu diesem Schlüssel hat.

In letzterem Fall kann er beispielsweise durch Behörden oder Geheimdienste gezwungen werden, die Daten zu entschlüsseln. Ebenso kann ein erfolgreicher Hackerangriff die Schlüssel in Gefahr bringen, und schließlich können der Anbieter selbst beziehungsweise einzelne Mitarbeiter mit entsprechenden Rechten die Daten wieder lesbar machen.

Nur wenn Sie als Nutzer die Schlüssel selbst erstellen und behalten, ist ein wirklich zuverlässiger Schutz garantiert. Diese Art der Verschlüsselungslösungen wird auch Zero-Knowledge-System genannt, da das Wissen um die Entschlüsselung nicht auf den Servern gespeichert wird.

Zusätzlich sollte das von den Cloud-Diensten genutzte Verschlüsselungsverfahren auf offenen Standards beruhen und der Quellcode zugänglich sein. Nur so lässt sich durch Kontrollen unabhängiger Experten überprüfen, ob diese Verfahren auch tatsächlich sicher sind und nicht irgendwelche Schwachstellen oder Hintertüren besitzen, durch die die Verschlüsselung wieder aufgehoben werden kann. Als sichere Verschlüsselungskomponente gilt etwa AES mit 256-Bit-Schlüssellänge.

Um verschlüsselte Daten mit anderen Nutzern per Cloud zu teilen, gibt es unterschiedliche Verfahren. Idealerweise werden dabei stets nur einzelne Dateien oder Verzeichnisse zugänglich gemacht, nicht aber das Passwort zum Entschlüsseln aller Daten übermittelt.

Nutzen Sie bereits Cloud-Speicherdienste ohne eine integrierte Verschlüsselung, greifen Sie auf zusätzliche Lösungen zurück, die diese Aufgabe übernehmen. Eine manuelle Verschlüsselung ist prinzipiell zwar auch möglich, jedoch recht umständlich.

Ob ein Cloud-Dienstleister die gesetzlichen Vorgaben zum Datenschutz und zur Datensicherheit einhält, lässt sich im Detail für Sie als Kunden nur schwer erkennen. Hilfestellung können hier Gütesiegel oder Zertifikate leisten:

• Prüfunternehmen wie der TÜV vergeben ein Siegel, wenn ein Cloud-Anbieter die ISO-Norm 27001 erfüllt, in der umfassende Sicherheitsanforderungen für Rechenzentren beschrieben sind.

• Das Gütesiegel des Unabhängigen Datenschutzzentrums Schleswig-Holstein (ULD) wird nach individueller Prüfung durch technische und juristische Gutachter vergeben.
• In den USA gibt es Gütesiegel wie SAS 70 Typ 2, SSAE-16 oder FIPS-140.

Die Sicherheit der Daten auf den Cloud-Speichern hängt nicht nur von den Verschlüsselungslösungen der Anbieter ab. Auch die Anwender selbst können viel dazu beitragen:

• Verwenden Sie kein zu einfach zu erratendes Passwort.

• Schützen Sie mobile Geräte, auf denen die Zugangsdaten und Passwörter gespeichert sind, mit Hilfe der Sperrfunktion. So unterbinden Sie, dass Dritte, die Zugang zum Gerät haben, hierüber auf Ihre Daten in der Cloud zugreifen.

• Setzen Sie auf eine „2-Faktor-Authentifizierung“, die einige Cloud-Speicherdienste optional anbieten und bei der neben dem Passwort ein zweites Sicherheitsmerkmal nötig ist.

Überprüfen Sie in jedem Fall, in welchem Land Ihre Daten gespeichert werden und fragen Sie nach dem Preis pro Nutzer.