Neun Schritte in die Wolke

Checkliste Sicheres Cloud Computing

31.08.2013
Von  und
Robert Niedermeier ist als Fachanwalt für die Bereiche IT- und TK-Recht bei der Heussen Rechtsanwaltsgesellschaft in München tätig.
Dr. Thomas Mohr ist Professor für Digitalisierung und strategisches Management an der Hochschule für angewandtes Management. Daneben ist er Executive Advisor, Speaker, Autor und vor allem leidenschaftlicher Unternehmer.

6. Transparenz und Notification

Das Outsourcing von Dienstleistungen ist automatisch verbunden mit dem Insourcing von Risiko. Sollte sich beispielsweise ein Datenverlust ereignen, muss der professionelle Cloud-Anbieter sicherstellen, dass der Datenherr unverzüglich informiert wird. Auch das Reporting kritischer Ereignisse gehört zu den Obliegenheitspflichten des Processors. Im Idealfall verfügt das vom Processor gewählte Hosting-Center über Melderoutinen, die wenige Stunden nach Bekanntwerden eines Zwischenfalls automatisch Bericht erstatten.

7. Datentrennung

In der Vergangenheit führte das Outsourcing von unverschlüsselten Payroll-Daten in die Cloud dazu, dass ein Unternehmen Einblick in die Gehaltsdaten eines anderen Unternehmens bekam. Das darf nicht sein. Oft reicht schon eine Falschverschiebung oder die Nicht-Einhaltung einer Berechtigungsvorgabe, um mehr zu sehen als zulässig. Die Trennungskontrolle gilt als die wichtigste Voraussetzung für sicheres Arbeiten in der Cloud.

8. Datenlöschung

Um die Voraussetzungen für eine funktionierende Trennungskontrolle zu schaffen, muss der Cloud-Anbieter über Löschungsroutinen verfügen, die sicherstellen, dass Speicherplätze nach Ablauf der Nutzung beziehungsweise nach Transfer der Daten an einen anderen Speicherort (mit Copy und Paste) gereinigt werden und keine Restdaten an diesem Ort verbleiben. In jüngster Vergangenheit häuften sich Berichte zu Datenvorfällen, bei denen genau diese Voraussetzungen nicht erfüllt wurden. Beispielsweise stießen neue Nutzer bei der Ablage ihrer Daten in der Cloud auf Urlaubsfotos von Vorbesitzern. In einer Profi-Cloud darf so etwas nicht passieren. Hier wird der Anwender nach der Löschungsroutine mit einer Löschquittung über den Abschluss des Löschvorgangs seiner gespeicherten Daten informiert.

9. Dokumentation

Wenn ein Datenherr einen Vertrag mit einem Cloud-Anbieter schließt, geht er davon aus, dass sich bestimmte Sachverhalte in bestimmter Art und Weise ereignen. Beispielsweise möchte er wissen, wo die Daten seines Unternehmens vorgehalten werden. Ebenfalls von Interesse ist, ob eventuell Datensätze in der Cloud von einem Speicherplatz auf einen anderen verschoben werden, wenn Speicherkapazitäten erschöpft sind und neuer Speicher benötigt wird.

Sowohl die operationellen Abläufe und etwaige Änderungen in der Sphäre des Datenherrn als auch in der Sphäre des Processors sind daher bereits im Vorfeld detailliert zu beschreiben. Dazu zählt auch der Nachweis eines aktiven Meldeverfahrens auf Seiten des Cloud-Anbieters. Dieses bereitet nach wie vor vielen Lieferanten Probleme. Nach Erfüllung dieser Voraussetzungen steht einer ungetrübten Zusammenarbeit zwischen Datenherr und Processor nichts mehr im Wege. (sh)