Sie sind hier: Startseite SaarLorLux BizzTipps Technik
Weitere Artikel
Helmut Eiermann

Cloud Computing wird die Datenverarbeitung grundlegend verändern

Helmut Eiermann ist technischer Leiter beim Landesdatenschutzbeauftragten für den Datenschutz und die Informationsfreiheit Rheinland-Pfalz. Im Interview spricht er neben den vielfältigen Chancen auch über die Risiken, die sich durch den Einsatz von Cloud Computing in Unternehmen ergeben können. Insbesondere geht er dabei auf das Thema Datenschutz in der Cloud ein.

Der deutsche Mittelstand geht vorsichtig dazu über, Firmendaten in der Cloud zu verarbeiten. Haben Sie den Eindruck, dass diese Unternehmen wissen, wonach sie fragen müssen, wenn es um den Schutz und die Sicherheit ihrer Daten geht?

Helmut Eiermann: Die Nutzung von Cloud Diensten wird meiner Erfahrung nach meist vorrangig unter den Aspekten Kosten und Flexibilität diskutiert. Beides sind zentrale, aber nicht allein maßgebende Gesichtspunkte. Mit der Verlagerung von IT-Leistungen in "die Cloud" gebe ich Einwirkungsmöglichkeiten aus der Hand, und die Frage ist, wie gewährleistet wird, dass ich weiterhin eine ausreichende Kontrolle über den Schutz und die Sicherheit meiner Daten behalte. Ich bin nicht sicher, ob dieser Aspekt in seiner Tragweite immer gesehen wird.

Das Bundesamt für Sicherheit in der Informationstechnik (BSI) nennt eine pauschale Vermutung, dass ein Cloud-Anbieter a priori eine höhere IT-Sicherheit biete "blauäugig oder unrealistisch". Dem kann ich mich nur anschließen. Das jeweilige Sicherheits- und Datenschutzniveau muss belegt werden können.

Im Ergebnis also nein, ich habe nicht den Eindruck, dass die notwendigen Fragen immer gestellt werden; in manchen Fällen vielleicht auch, weil man die Antwort scheut.

Kryptografische Verfahren

Das Deutsche Bundesdatenschutzgesetz regelt unter anderem die Weitergabe von Daten und die Benennung des Speicherortes. Welche Rolle spielt die technische Verschlüsselung der Daten?
Helmut Eiermann: Verschlüsselung spielt in Cloud-Szenarien für die Wahrung der Vertraulichkeit eine zentrale Rolle. Vor allem dann, wenn es um Daten geht, die besonderen Berufsgeheimnissen unterliegen, z.B. dem Arztgeheimnis, oder denen als Betriebs- oder Geschäftsgeheimnissen eine besondere Vertraulichkeit zukommt.

Wenn etwa technische und oder systemnahe Betriebsleistungen bezogen werden sollen, bei denen ein Zugriff möglich sein muss, aber die inhaltliche Kenntnisnahme der Daten nicht erforderlich ist, bietet eine Verschlüsselung entsprechenden Schutz.

Weiterhin für eine sichere und vertrauliche Übertragung der Daten vom Kunden zum Dienstleister.

Selbst wenn die Daten verschlüsselt sind, aber im Ausland verarbeitet werden, so können verschlüsselte Daten in anderen Ländern (Irland, GB) weitergegeben werden. Sehen wir es richtig, dass die Datenverschlüsselung deshalb vor dem Hochladen vom Kunden selbst erfolgen muss?

Helmut Eiermann: In einigen Ländern ist der Einsatz kryptografischer Verfahren gesetzlich geregelt. Meist müssen dabei Zugangsmöglichkeiten für Sicherheitsbehörden geschaffen werden, in Form von Hintertüren in den eingesetzten Verschlüsselungsverfahren (Key-Recovery) oder über die Hinterlegung der Schlüssel (Key Escrowing).

Wenn mein Cloud-Dienstleister solchen Regelungen unterliegt, muss ich davon ausgehen, dass die Daten gegebenenfalls offengelegt werden. Man muss vielleicht nicht von staatlicher Wirtschaftsspionage als Regelfall ausgehen, aber in manchen Ländern zählen Schutz und Förderung der heimischen Wirtschaft auch zu den Aufgaben der Nachrichtendienste.

Hinzu kommt, dass, auch wenn im Sitzland des Dienstleisters keine Kryptoregulierung besteht, dieser möglicherweise eine globale IT-Struktur betreibt, bei der die Daten in solchen Drittländern gespeichert werden. Schutz bieten hier nur Verfahren, bei denen die Daten vor dem Hochladen in die Cloud verschlüsselt werden und Verschlüsselung und Schlüsselverwaltung in der Hand des Kunden liegen. Solche Lösungen sind etwa "Krypto-Gateways", über welche die Kommunikation geführt wird, und die jegliche Daten automatisch ver- bzw. entschlüsseln.


 


 

Datenschutz
Cloud
Helmut Eiermann
IT
Bundesdatenschutzgesetz

Passende Artikel suchen

Finden Sie weitere Artikel zum Thema "Datenschutz" - jetzt Suche starten:

Kommentar abgeben

Bei einer Antwort möchte ich per E-Mail benachrichtigt werden

 
 

1 Kommentar

von Anneliese Lange
07.06.13 18:16 Uhr
Bad Cloud

Bad Cloud - so darf Datensicherheit nicht dazu gezählt werden, obwohl cloud computing zweifelsohne viele Vorteile mit sich bringt selbst wenn diese verschlüsselt sind, kann der Betreiber die Daten während der Laufzeit kopieren. Der Client hat keinerlei Möglichkeiten dies zu verhindern, und er hat auch würde davon nichts mitbekommen.

 

Entdecken Sie business-on.de: