Was Experten raten

Cloud-Daten sicher löschen

01.01.2014

Von

Dr. Klaus Manhart hat an der LMU München Logik/Wissenschaftstheorie studiert. Seit 1999 ist er freier Fachautor für IT und Wissenschaft und seit 2005 Lehrbeauftragter an der Uni München für Computersimulation. Schwerpunkte im Bereich IT-Journalismus sind Internet, Business-Computing, Linux und Mobilanwendungen.

Alle Posts des Autors Email:

Daten in der Public Cloud nach Vertragsende unwiederbringlich zu löschen ist keine große Sache, könnte man meinen. Doch der Teufel steckt im Detail. Die virtualisierten Storage-Technologien machen es genau genommen unmöglich, Daten physikalisch und damit wirklich sicher zu überschreiben. Dennoch lassen sich Vorkehrungen treffen, damit es nicht zum Worst Case kommt.

Sensible Unternehmensdaten, die nach einem Cloud-Anbieterwechsel noch beim Provider verbleiben, sind für Unternehmen der Horror. So sollte es zumindest sein, denn geschäftskritische und personenbezogene Daten haben nach Vertragsende auf Speichermedien, die nicht mehr der Kontrolle des Dateneigentümers unterliegen, nichts mehr zu suchen. Das verbieten allein schon der Datenschutz, Compliance-Regeln und die Sorge um das Wohl und Renommee des ehemaligen Klienten. Eine Offenlegung nicht mehr kontrollierbarer Kunden- oder Mitarbeiterdaten kann für jedes Unternehmen existenzbedrohende Folgen haben.

Cloud-Daten sicher löschen
Daten in der Public Cloud nach Vertragsende unwiederbringlich zu löschen ist keine große Sache, könnte man meinen. Doch der Teufel steckt im Detail. Die virtualisierten Storage-Technologien machen es genau genommen unmöglich, Daten physikalisch und damit wirklich sicher zu überschreiben. Dennoch lassen sich Vorkehrungen treffen, damit es nicht zum Worst Case kommt.
Laxer Umgang mit Datenlöschung in der Cloud
In der Regel fordern nur sicherheitssensible Unternehmen die Löschung der Daten explizit beim Cloud-Dienstleister ein.
Rechtliche Regelung für Cloud-Daten
Juristisch gilt auch für Cloud-Services der im Bundesdatenschutzgesetz (BDSG) verankerte Grundsatz der Datensparsamkeit. Das heißt, wenn die Daten nicht mehr benötigt werden, müssen sie gelöscht werden.
Kundendaten sind schwer zu löschen
Da der Kunde Zugriff auf seine Daten hat, kann er sie ändern und auch löschen. Zu glauben, dass die Daten deshalb beseitigt sind, wäre jedoch sehr blauäugig. Der Grund: Die Kundendaten graben sich tief in die Datenbanken und Sicherungssysteme des Providers ein, auf die der Nutzer keinen direkten Zugriff hat.
Löschung vertraglich absichern
Weil die Kundendaten tief in den Datenbanken und Sicherungssystemen der Provider gespeichert sind, kommt der Cloud-Kunde nicht umhin, die Löschung der Daten dem Provider zu übertragen. Deshalb sollte er die Löschung auch vertraglich absichern. In der Regel schließen Unternehmen mit dem Provider einen Auftragsdaten-Verarbeitungsvertrag (ADV), der meist Teil des Kundenvertrags und der Service-Level-Agreements (SLAs) ist.
Exit-Bedingen klar formulieren
Zwingend notwendig ist der Abschluss solcher Verträge nicht. Aber Experten vom Bundesamt für Sicherheit in der Informationsverarbeitung (BSI) und vom Verband der deutschen Cloud-Industrie, Eurocloud, raten dringend dazu, die Exit-Bedingungen klar ausformulieren. EuroCloud macht sich dafür stark, dass die Datenlöschung als grundsätzlicher Bestandteil der Service-Levels in die Cloud-Verträge aufgenommen wird.
Procedere des Löschvorgangs
In der Praxis verläuft das Procedere zum Löschen der Kundendaten überall ähnlich. Gängige Praxis ist es, dass der Kunde per E-Mail die Datenlöschung in Auftrag gibt. Dann wird beim Provider für sämtliche Informationen, die mit einem Kunden zusammenhängen, ein Löschauftrag erstellt und der Prozess nachts ausgeführt. Nach erfolgter Annullierung wird der Kunde automatisch per E-Mail benachrichtigt.
Kundendaten werden überschrieben
Mit der Eliminierung der Kundendaten gibt die Datenbank beim Cloud-Dienstleister den Speicherplatz frei, so dass er komplett wieder mit anderen Daten überschrieben werden kann. Mit jedem neuen Kunden wird dann die Wahrscheinlichkeit größer, dass die abgelegten Daten überschrieben werden. Der Provider kommt dann an die Daten nicht mehr heran.
Kontrolle des Kunden ist theoretisch
Theoretisch könnte sich der Kunde selbst überzeugen, dass die Daten gelöscht wurden oder dass zumindest alle technischen und organisatorischen Maßnahmen ordnungsgemäß eingehalten werden. Dazu müsste er sich aber vertragsrechtlich Audit-Rechte einräumen lassen. Doch das ist pure Theorie. Abgesehen davon, dass es technisch kaum machbar ist, sich von der Datenlöschung zu überzeugen, würde kein Cloud-Anbieter einem Kunden ein solches Recht einräumen.
Audit-Rechte festlegen
Es kann jedoch sinnvoll sein, wenn sich der Kunde Audit-Rechte auf Dokumente, Beschreibungen und Protokolle einräumen lässt, um zum Beispiel den korrekten Ablauf von Löschprozessen nachvollziehen zu können.
Zertifizierungen einfordern
Neben Audit-Rechten können vom Kunden Zertifizierungen gefordert werden, die einen Mindeststandard bezüglich der Informationssicherheit gewährleisten. Eurocloud bietet beispielsweise mit dem „Eurocloud Star Audit“ solche Zertifizierungen an. Dadurch wird ein Prozess etabliert, womit die Kundendaten komplett gelöscht werden, sobald ein Kunde ausscheidet.
Keine sichere Löschung in der Public Cloud
Den Security-Experten vom Bundesamt für Sicherheit in der Informationstechnik (BSI) sind Zertifizierungen zu wenig. Sie geben zu bedenken, dass mit dem gängigen Löschprocedere die Daten keineswegs sicher gelöscht würden. Der Grund: Werden in Cloud-Umgebungen Datenbanken oder virtuelle Festplatten gelöscht, wird in der Regel nur die Referenz auf die Daten entfernt, die Informationen sind aber weiterhin physikalisch auf den Speichersystemen vorhanden. Bis die Daten wirklich von dem Speichersystem gelöscht sind, dauert es, und es gibt kaum Methoden, dies vorherzusagen und sicherzustellen.
BSI rät zur Zeitangabe
Das BSI rät, sich von den Providern die Zeit nennen zu lassen, bis zu der die Kundendaten mit hoher Wahrscheinlichkeit überschrieben worden sind. Diese Zeit hängt vor allem von der Größe des SAN ab. Eine Aussage wie „Nach 1,5 Jahren können wir mit 95-prozentiger Wahrscheinlichkeit sagen, dass die Kundendaten gelöscht sind“, ist etwas anderes als die Aussage „Unser SAN ist so klein, nach zwei Monaten ist alles sicher überschrieben.“

Für solche Schreckensszenarien haben viele Nutzer von Public-Cloud-Angeboten allerdings kaum ein Gespür. "Nur die wenigsten Kunden verlangen nach Vertragsende explizit eine Löschung ihrer Daten", weiß Ertan Özdil, Geschäftsführer des Marburger Cloud-Dienstleisters Weclapp. Nach seinem Eindruck fordern vor allem sicherheitssensible Unternehmen, die in irgendeiner Form mit dem Thema Datensicherheit zu tun haben, die explizite Datenlöschung.

Der normale Kunde aber lege darauf keinen gesteigerten Wert. Dieser laxe Umgang mit der Datensicherheit findet sich selbst in größeren Betrieben. "In großen Unternehmen legen Fachabteilungen ihre Daten oft in der Cloud ab", sagt Özdil und ergänzt: "Wenn sie kündigen, wollen sie sich nicht mehr damit befassen und löschen selbst oder gar nicht."

Ein möglicher Grund für den sorglosen Umgang mit den eigenen Daten kann darin liegen, dass es keine explizite rechtliche Regelung zum Löschen der Cloud-Daten gibt. Doch das ist nicht ganz richtig. Denn juristisch gilt auch für Cloud-Services der im Bundesdatenschutzgesetz (BDSG) verankerte Grundsatz der Datensparsamkeit. "Das ist eine Verpflichtung im BDSG, die jedermann betrifft, der Daten verarbeitet", klärt Michael Rath, Fachanwalt für IT-Recht in Köln, auf. "Wenn die Daten nicht mehr benötigt werden, müssen sie gelöscht werden."

Datenlöschung vertraglich absichern

Aber wie gewährleistet man die vollständige und sichere Datenlöschung? Daten bei einem Wechsel des Public-Cloud-Providers zu löschen ist auf den ersten Blick keine große Sache. Da der Kunde Zugriff auf seine Daten hat, kann er diese problemlos ändern und somit auch löschen. Berechtigte Mitarbeiter können jederzeit in den Stammdaten alle Kunden selektieren und aus der Datenbank entfernen. Doch das wäre eine sehr blauäugige Sicht auf das Problem. Der Grund: Die Kundendaten graben sich tief in die Datenbanken und Sicherungssysteme des Providers ein, auf die der Nutzer keinen direkten Zugriff hat.

Der Cloud-Kunde kommt deshalb nicht umhin, die Löschung der Daten dem Provider zu übertragen. Deshalb sollte er die saubere Löschung auch vertraglich absichern. "In der Regel schließen Unternehmen mit dem Provider einen Auftragsdaten-Verarbeitungsvertrag (ADV), der meist Teil des Kundenvertrags und der Service-Level-Agreements (SLAs) ist", erklärt Rath. Sofern der Provider nicht von sich aus eine Regelung zur Löschung der Daten vorsieht, sei es sinnvoll, so der Jurist, sie in die ADV-Regelungen für die Vertragsbeendigung aufzunehmen.

Zwingend notwendig ist der Abschluss solcher Verträge nicht. Aber Experten vom Bundesamt für Sicherheit in der Informationsverarbeitung (BSI) und vom Verband der deutschen Cloud-Industrie, Eurocloud, raten dringend dazu. "Die Exit-Bedingungen müssen klar ausformuliert sein", empfiehlt Bernd Becker, Vorstandsvorsitzender von EuroCloud: "Wir machen uns dafür stark, dass die Datenlöschung ebenso wie die Frage, wie der Kunde an seine Daten kommt, als grundsätzlicher Bestandteil der Service-Levels in die Cloud-Verträge aufgenommen wird."

Aktuelle IDG-Studien

An der Cloud Readiness und Bereitschaft zum Wandel der Unternehmen hierzulande gibt es keine Zweifel mehr. Die Transformation ist in vollem Gange.

Mehr zur Studie erfahren
Der Schutz vor Ransomware hat hohe Priorität, doch die ergriffenen Maßnahmen greifen zu kurz. Alles dazu in unserer Studie.

Mehr zur Studie erfahren
Das Gros der ERP-Anwender setzt mittlerweile auf SAP S/4HANA, um digital zu transformieren und Wettbewerbsvorteile zu erschließen. Mehr in der Studie.

Mehr zur Studie erfahren
Seit der Einführung von ChatGPT beherrscht kein anderes IT-Thema so die Schlagzeilen wie (generative) künstliche Intelligenz. Wir schauen auf Einsatzszenarien, Hintergründe und Folgen.

Mehr zur Studie erfahren
Der Einsatz von No-/Low-Code boomt. Lange dauert es wohl nicht mehr, bis Software-Entwicklung und Prozessmodellierung via grafischer UI das klassische Coding überholen. Mehr in der Studie.

Mehr zur Studie erfahren
Unternehmen rüsten auf: Je komplexer die Gefährdungslage, desto stärker der Bedarf an Security Services. Dazu alles zu Cyberattacken und Gegenmaßnahmen.

Mehr zur Studie erfahren
Hybrid Work: Wer als Arbeitgeber für die jungen Generationen interessant und attraktiv sein will, darf nicht auf eine moderne IT-Infrastruktur und -Arbeitsumgebung verzichten. Mehr in der Studie.

Mehr zur Studie erfahren
Das datengesteurte Unternehmen - Realität oder Hirngespinst? Erst wenige Firmen schaffen es, mithilfe von Daten-Insights neue Geschäftsmodelle auf die Beine zu stellen. Mehr in der Studie.

Mehr zur Studie erfahren
Für knapp neun von zehn Unternehmen kommt künftig eine Migration in die Cloud ohne strategischen Ansatz nicht infrage. Trends und Zahlen rund ums Thema in unserer Studie.

Mehr zur Studie erfahren
Unternehmen wollen energieeffizienter und nachhaltiger werden. Dazu müssen sie aber noch ihre IT-Strategien anpassen und die notwendige Datenbasis schaffen. Mehr dazu in der Studie.

Mehr zur Studie erfahren