COMPUTERWOCHE
Alternatives Drucklayout:
› reiner Text
Link: https://www.computerwoche.de/a/so-wird-cloud-computing-sicher,2362025

Datenschutz und Datensicherheit

So wird Cloud Computing sicher

Datum:30.08.2011
Autor(en):Frank Sempert
Diesen Fragenkatalog zur Security im Cloud Computing sollten Sie Ihrem Cloud-Provider vorlegen.

Cloud-IT ist auf dem Weg zum Mainstream. Bis 2014 werden weltweit 40 Prozent neuer Anwendungen als Cloud1-Lösungen herauskommen, ein Viertel des gesamten Workloads wird dann in der Wolke stattfinden.

Wo liegen meine Daten?
Foto: Thomas Hammer - Fotolia

Mit der zunehmenden Verlagerung von Applikationen und Rechenleistung gewinnt die Diskussion über Datensicherheit und Datenschutz2 an Fahrt. IT3-Verantwortliche, die den Bezug von Cloud-Services planen, sollen auf potenzielle Anbieter zugehen und sich über alle Aspekte der Datensicherheit sowohl unter traditionellen als auch Multi-Instance-Aspekten erläutern lassen. Die aufgeführten Fragen dienen daher in erster Linie einer fachlichen Auseinandersetzung mit dem Thema. Sie lassen Haftungsfragen, vertragliche Abmachungen, Laufzeiten, Konditionen und SLAs4 (Service Level Agreements) außer Acht. Zwar bilden diese Aspekte ohne Zweifel den umfangreichsten und komplexesten Teil im Rahmen einer Cloud-Nutzung. Sie sind aber im eigentlichen Sinn nicht Sicherheitsrelevant.

[Hinweis auf Bildergalerie: So wird Cloud Computing sicher] gal1

Fachliche Anforderungen

  • Wie kann der Kunde auf seine Daten zugreifen oder diese wiederherzustellen?

  • Wie wird Sicherung der Daten einschließlich Disaster Recovery gewährleistet?

  • Wie, in welchem Format und nach welchen Umständen oder Bedingungen werden bei Vertragsende die Daten des Kunden an ihn übergeben?

COMPUTERWOCHE-Lexikon für das IT-Recht

Mehr zum Thema Datenschutz können Sie im "COMPUTERWOCHE Lexikon für das IT-Recht15" nachschlagen.

 

Bild: L.Vynogradova - Fotolia

Die Technik für Datenschutz und -sicherheit

  • Sind die Rechenzentren uneingeschränkt, rund um die Uhr, physikalisch und auch nach dem Mehr-Personen-Prinzip gesichert?

  • Ist es sichergestellt, dass das Personal des Providers5 weder Zugang zu den Benutzerpasswörtern und Berechtigungen der Anwender hat noch diese einsehen kann?

  • Werden die Vorschriften zu Passwortrichtlinien, Zugriffsbeschränkungen, Anmeldeprotokollierungen, Datenzugriffsmodellen sowie zum Feldebenenzugriff dokumentiert?

  • Werden alle Passwörter verschlüsselt übertragen?

  • Gibt es ein sicheres Session-Key-Management6 und besteht eine Multi-Tenant-Datenzugriffskontrolle?

  • Werden Sicherheitsverstöße überwacht?

[Hinweis auf Bildergalerie: 18 praktische Verschlüsselungs-Tools] gal2

Transaktionen im Internet

  • Gibt es eine 128-bit SSL-Verschlüsselung für jede Transaktion?

  • Liegen Verisign-Zertifikate vor?

  • Werden Perimeter und Firewalls ständig überwacht?

  • Sind Intrusion Detection sowie vorausschauendes Log-File-Monitoring Standard-Verfahren?

Sicherheitsmonitoring

  • Werden erfolgreiche und fehlgeschlagene Logins dokumentiert?

  • Werden Eindringversuche (Intrusion Detection) und sicherheitsrelevante Vorfälle (Security7-Event-Management) dokumentiert?

Interoperabilität mit On-Premise-Anwendungen

  • Welchen Einfluss haben Security8-Architekturen und -Praktiken des Cloud9-Providers auf die lokalen Installationen des Anwenders?

  • Legt der Betreiber der Multi-Tenancy- und Cloud-Plattform die verwendeten Techniken und Abläufe für das Data-Partitioning offen und dokumentiert sie?

Gesetzliche Anforderungen

  • Ist bei Speicherung von personenbezogenen Daten außerhalb der Grenzen des Europäischen Wirtschaftsraumes ein angemessenes Schutzniveau gewährleistet, wie es das Bundesdatenschutzgesetz10 vorschreibt (Paragraf 4b Absatz 2 Satz 2 BDSG)?

  • Ist es sichergestellt, dass ausschließlich solche Anwender auf Anwendung und deren Daten zugreifen können, die auch dazu berechtigt sind?

  • Können personenbezogenen Daten bei der Verarbeitung, Nutzung und nach Speicherung nicht unbefugt gelesen, kopiert, verändert oder entfernt werden?

  • Lässt sich nachträglich prüfen und feststellen, ob und von wem personenbezogene Daten in Anwendungssystemen eingegeben, verändert oder entfernt worden sind?

  • Können zu unterschiedlichen Zwecken erhobene personenbezogene Daten getrennt verarbeitet werden?

Wer ist Best in Cloud?


Wer ist Best in Cloud16? Die COMPUTERWOCHE will es wissen: Wie gut sind Cloud-Anbieter? Maßgeblich sind die besten Cloud-Projekte. Hier finden Sie weitere Informationen zu der Veranstaltung17.

 

Die Cloud kommt unaufhaltsam


Foto: Jakub Jirsak, Fotolia.com

Das Cloud11-Computing hält unter Aspekten des gesetzlichen Datenschutzes12 besondere Herausforderungen bereit, weil die Betreiber oft international aufgestellt sind. Für das Verarbeiten und Speichern von Daten im Rahmen des Cloud-Computings ist in Deutschland insbesondere das Bundesdatenschutzgesetz (BSDG) relevant. Gemäß Paragraf 4b Absatz 2 Satz 2 des BDSG setzt die Übermittlung personenbezogener Daten in einen Drittstaat voraus, dass dieser ein angemessenes Schutzniveau gewährleistet.

Zudem sollte bei der Vertragsgestaltung dem Gerichtsstands und anzuwendenden Recht besonderes Augenmerk geschenkt werden. Dennoch ist immer zwingende das Recht des Landes zu berücksichtigen, in dem die Daten gespeichert werden oder der Vertragspartner ansässig ist. Wenn Länder außerhalb des Europäischen Wirtschaftsraums (EWR) betroffen sind, sollten sie zumindest dem Datenschutz gemäß Safe-Harbor-Prinzip entsprechen.

Zusammenfassend lässt sich sagen, dass sich Cloud-Computing13 unaufhaltsam ausbreitet und Agilität sowie Wettbewerbsfähigkeit schafft. Die meisten Unternehmen werden sich mit dem Trend auseinander setzen. Sie sollten sich daher frühzeitig mit dem Management14 und den Umgang mit möglichen Risiken des Cloud Computings beschäftigen. (jha)

[Hinweis auf Bildergalerie: Cloud-Services aus Deutschland] gal3

Links im Artikel:

1 https://www.computerwoche.de/schwerpunkt/c/Cloud.html
2 https://www.computerwoche.de/schwerpunkt/d/Datenschutz.html
3 https://www.computerwoche.de/schwerpunkt/i/IT.html
4 https://www.computerwoche.de/schwerpunkt/s/SLAs.html
5 https://www.computerwoche.de/schwerpunkt/p/Provider.html
6 https://www.computerwoche.de/management/
7 https://www.computerwoche.de/security/
8 https://www.computerwoche.de/security/
9 https://www.computerwoche.de/schwerpunkt/c/Cloud.html
10 https://www.computerwoche.de/schwerpunkt/d/Datenschutz.html
11 https://www.computerwoche.de/schwerpunkt/c/Cloud.html
12 https://www.computerwoche.de/schwerpunkt/d/Datenschutz.html
13 https://www.computerwoche.de/management/cloud-computing/
14 https://www.computerwoche.de/management/
15 http://bit.ly/g90rOC
16 http://www.best-in-cloud.de/
17 https://www.computerwoche.de/management/cloud-computing/2493657/

Bildergalerien im Artikel:

gal1 So wird Cloud Computing sicher

Datenschutz und Datensicherheit
Saugatuck hat einen Fragenkatalog zur Security im Cloud Computing zusammen gestellt, den Interessenten Ihrem potenziellen Cloud-Provider vorlegen sollten.
Foto: Banksidebaby_Fotolia

Fachliche Anforderungen
Wie kann der Kunde auf seine Daten zugreifen oder diese wiederherzustellen?
Foto: Maria.P. - Fotolia.com

Fachliche Anforderungen
Wie wird Sicherung der Daten einschließlich Disaster Recovery gewährleistet?

Fachliche Anforderungen
Wie, in welchem Format und nach welchen Umständen oder Bedingungen werden bei Vertragsende die Daten des Kunden an ihn übergeben?
Foto: Fotolia, Hero

Die Technik für Datenschutz und -sicherheit
Sind die Rechenzentren uneingeschränkt, rund um die Uhr, physikalisch und auch nach Mehr-Personen-Prinzip gesichert?
Foto: Fotolia, M. Homann

Die Technik für Datenschutz und -sicherheit
Ist es sichergestellt, dass das Personal des Providers weder Zugang zu den Benutzerpasswörtern und Berechtigungen des Anwenders hat noch diese einsehen kann?
Foto: Fotolia, imageteam

Die Technik für Datenschutz und -sicherheit
Werden die Vorschriften zu Passwortrichtlinien, Zugriffsbeschränkungen, Anmeldeprotokollierungen, Datenzugriffsmodellen sowie zum Feldebenenzugriff dokumentiert?
Foto: Fotolia, D. Lyson

Die Technik für Datenschutz und -sicherheit
Werden alle Passwörter verschlüsselt übertragen?
Foto: Sashkin - Fotolia.com

Die Technik für Datenschutz und -sicherheit
Gibt es ein sicheres Session-Key-Management und besteht eine Multi-Tenant-Datenzugriffskontrolle?

Die Technik für Datenschutz und -sicherheit
Werden Sicherheitsverstöße überwacht? Werden Eindringversuche (Intrusion Detection) und sicherheitsrelevante Vorfälle (Security-Event-Management) dokumentiert?
Foto: Fotolia, Eisenhans

Transaktionen im Internet
Gibt es eine 128-bit SSL-Verschlüsselung für jede Transaktion?
Foto: Fotolia / Sebastian Kaulitzki

Transaktionen im Internet
Liegen Verisign-Zertifikate vor?
Foto: ArTo/Fotolia

Transaktionen im Internet
Werden Perimeter und Firewalls ständig überwacht? Sind Intrusion Detection sowie vorausschauendes Log-File-Monitoring Standardverfahren?
Foto: markusunger - Fotolia.com

Sicherheitsmonitoring
Werden erfolgreiche und fehlgeschlagene Logins dokumentiert?
Foto: Andrey Kuzmin - Fotolia.com

Sicherheitsmonitoring
Werden Eindringversuche (Intrusion Detection) und sicherheitsrelevante Vorfälle (Security-Event-Management) dokumentiert?
Foto: Liv Friis-Iarsen/Fotolia.com

Interoperabilität mit On-Premise-Anwendungen
Welchen Einfluss haben Security-Architekturen und -Praktiken des Cloud-Providers auf die lokalen Installationen des Anwenders?
Foto: L.Vynogradova_Fotolia

Interoperabilität mit On-Premise-Anwendungen
Legt der Betreiber der Multi-Tenancy- und Cloud-Plattform die verwendeten Techniken und Abläufe für das Data-Partitioning offen und dokumentiert sie?
Foto: Bilderbox - Fotolia.com

Gesetzliche Anforderungen
Ist bei Speicherung von personenbezogenen Daten außerhalb der Grenzen des Europäischen Wirtschaftsraumes ein angemessenes Schutzniveau gewährleistet, wie es das Bundesdatenschutzgesetz vorschreibt (Paragraf 4b Absatz 2 Satz 2 BDSG)?
Foto: askaja/Fotolia.com

Gesetzliche Anforderungen
Ist es sichergestellt, dass ausschließlich solche Anwender auf Anwendung und deren Daten zugreifen können, die auch dazu berechtigt sind?
Foto: Fotolia, Mapoli-Photo

Gesetzliche Anforderungen
Können personenbezogenen Daten bei der Verarbeitung, Nutzung und nach Speicherung nicht unbefugt gelesen, kopiert, verändert oder entfernt werden?
Foto: F. Eckgold - Fotolia.com

Gesetzliche Anforderungen
Lässt sich nachträglich prüfen und feststellen, ob und von wem personenbezogene Daten in Anwendungssystemen eingegeben, verändert oder entfernt worden sind?
Foto: Fotolia, BD-Photography

Gesetzliche Anforderungen
Können zu unterschiedlichen Zwecken erhobene personenbezogene Daten getrennt verarbeitet werden?
Foto: Heino Pattschull - Fotolia.com

gal2 18 praktische Verschlüsselungs-Tools

aborange Crypter
Das Programm von Aborange arbeitet nach dem AES-Verfahren, um Ihre Dateien, Texte und Mails sicher zu verschlüsseln. Mit dem integrierten Passwortgenerator haben Sie auch immer gleich sichere Passwörter zur Hand. Und damit keiner Ihre Datenreste auslesen kann, löscht das Tool auch Dateien durch mehrmaliges Überschreiben sehr sicher.

Download:
aborange Crypter

AxCrypt
Wenn Sie sensible Dateien - zum Beispiel Office-Dokumente - auf einem freigegebenen Laufwerk im Netz speichern, bietet sich der Einsatz eines Verschlüsselungs-Tools an, das Ihre Daten mit einem Passwort schützt. Ax Crypt erfüllt diese Aufgabe besonders einfach, aber dennoch wirkungsvoll. Bei der Installation integriert sich das Tool in das Kontextmenü des Windows-Explorers.

Download:
AxCrypt

Blowfish Advanced
Das Sicherheitsprogramm verschlüsselt sensible Dateien mit den Algorithmen Blowfish, PC1, Triple-Des und Twofish. Zusätzlich lassen sich die Dateien komprimieren. Das Tool integriert sich in den Explorer und kann im Batch-Verfahren arbeiten. Wer möchte, löscht außerdem Dateien so, dass sie sich nicht wieder herstellen lassen.

Download:
Blowfish Advanced CS

Capivara
Capivara hält Ihre Dateien auf dem aktuellen und gleichen Stand, indem es Verzeichnisse auf den lokalen Laufwerken, dem Netzwerk und auch auf FTP- und SSH-Servern synchronisiert.

Download:
Capivara

Challenger
Die kostenlose Verschlüsselungssoftware verschlüsselt Dateien, Ordner oder ganze Laufwerke und passt dabei sogar auf einen USB-Stick. Das Tool klinkt sich im Windows-Explorer beziehungsweise im Datei-Manager in das Kontextmenü ein. Per Popup-Menü wählen Sie die Verschlüsselungs-Methode und vergeben ein Passwort.

Download:
Challenger

ClickCrypt
Das Programm integriert sich direkt in das Senden-an-Menü von Dateien. Um eine Datei beispielsweise vor dem Versand per Mail oder FTP zu verschlüsseln, markieren Sie die Datei, rufen das Kontextmenü auf, schicken die Datei über die „Senden-an“-Funktion von Windows an Clickcrypt und lassen sie chiffrieren.

Download:
ClickCrypt

Crosscrypt
Mit Crosscrypt können Sie Image-Dateien als verschlüsselte, virtuelle Laufwerke einbinden. Ein Image kann beispielsweise auf der lokalen Festplatte, einer Wechselfestplatte oder auf einem Server im Netz liegen. Entpacken sie das Programm in ein beliebiges Verzeichnis und starten Sie Install.BAT. Damit installieren Sie den Treiber und das Kommandozeilen-Tool Filedisk.EXE.

Download:
Crosscrypt

Cryptool
Wer schon immer mal wissen wollte, wie die unterschiedlichen Verschlüsselungsverfahren wie RSA oder DES arbeiten, sollte sich Cryptool einmal näher ansehen. Nach dem Start kann man eine Datei laden oder neu anlegen, die man verschlüsseln oder analysieren möchte. Für die Verschlüsselung stehen klassische Verfahren wie etwa Caesar zur Verfügung, bei dem lediglich die zu verschlüsselnden Zeichen im Alphabet um eine Position nach hinten verschoben werden.

Download:
Cryptool

Fire Encrypter
Wenn Sie schnell einen Text verschlüsseln möchten, dann können Sie dies ohne Aufrufen einer externen Applikation und direkt mit Fire Encrypter innerhalb von Firefox tun.

Download:
Fire Encrypter

GnuPT
GnuPT ist eine grafische Benutzeroberfläche für das kostenlose Verschlüsselungsprogramm GnuPG, mit dem Sie Ihre Daten und E-Mails sicher verschlüsselt übertragen und speichern können.

Download:
GnuPT

Gpg4win
Gpg4win ist eine recht komplexe Open-Source-Software zum Verschlüsseln von Dateien und Mails. Das Programm ist die Weiterentwicklung von GnuPG.

Download:
Gpg4win

Guardian of Data
Die Freeware Guardian of Data verschlüsselt einzelne Dateien und komplette Ordner nach dem AES-Algorithmus mit 256 Bit. Eine übersichtliche Bedienerführung und ein Programm-Assistent macht die Handhabung des Tools sehr einfach.

Download:
Guardian of Data

KeePass
Mit dem KeePass Passwort-Safe speichern Sie alle Ihre Passwörter, Zugangsdaten und TAN-Listen in einer verschlüsselten Datenbank, sodass Sie sich nur noch ein einiges Passwort merken müssen. Das Open-Source-Tool Keepass speichert Ihre Passwörter, Zugangsdaten und TAN-Listen in einer Datenbank, die mit dem Advanced Encryption Standard (AES) und dem Twofish Algorithmus verschlüsselt wird.

Download:
KeePass

KeePass Portable
Das Open-Source-Tool Keepass generiert und speichert sichere Passwörter in einer Datenbank. Die Passwörter lassen sich in Gruppen zusammenfassen. Auch TANs können verwaltet werden.

Download:
KeePass Portable

MD5 Algorithmus
MD5 (Message Digest 5) ist ein Einweg-Algorithmus, um aus einer beliebig langen Zeichenkette eine eindeutige Checksumme mit fester Länge zu berechnen. In diesem Archiv finden Sie eine Implementation von MD5 für Windows-Systeme (MD5.EXE). Ebenfalls enthalten sind C++-Quellen und die Spezifikationen nach RFC1321.

Download:
MD5 Algorithmus

Opheus
Mit Opheus verschlüsseln Sie Ihre Dateien, so dass diese vor unbefugtem Zugriff gesichert sind. Sie erstellen vor der Verschlüsselung der Daten eine eigene Benutzermatrix und geben ein Passwort an. Daraus errechnet das Programm jeweils eine 1024-Bit-Matrix zur Verschlüsselung, so dass jeder Angreifer den vollständigen Schlüsselsatz haben muss, Dateien wieder entschlüsseln zu können.

Download:
Opheus

Steganos LockNote
Das kostenlose Programm Steganos LockNote verschlüsselt für Sie wichtigen Daten und verhindert so den Datenmissbrauch.

Download:
Steganos LockNote

TrueCrypt
Sichern Sie vertrauliche Daten mit dem Open-Source-Tool TrueCrypt in einem verschlüsselten virtuellen Laufwerk. Den Datencontainer lassen sich mit einem sicheren Kennwort vor dem unbefugten Zugriff schützen.

Download:
TrueCrypt

gal3 Cloud-Services aus Deutschland
IDG Tech Media GmbH
Alle Rechte vorbehalten. Jegliche Vervielfältigung oder Weiterverbreitung in jedem Medium in Teilen oder als Ganzes bedarf der schriftlichen Zustimmung der IDG Tech Media GmbH. dpa-Texte und Bilder sind urheberrechtlich geschützt und dürfen weder reproduziert noch wiederverwendet oder für gewerbliche Zwecke verwendet werden. Für den Fall, dass auf dieser Webseite unzutreffende Informationen veröffentlicht oder in Programmen oder Datenbanken Fehler enthalten sein sollten, kommt eine Haftung nur bei grober Fahrlässigkeit des Verlages oder seiner Mitarbeiter in Betracht. Die Redaktion übernimmt keine Haftung für unverlangt eingesandte Manuskripte, Fotos und Illustrationen. Für Inhalte externer Seiten, auf die von dieser Webseite aus gelinkt wird, übernimmt die IDG Tech Media GmbH keine Verantwortung.