Fünf Gefahren für Ihre IT: Teil 3 – Cloud-Dienste

Dritter Teil einer fünfteiligen Serie über die größten Gefahren für Business IT-Sicherheit.

Verfasser: York Albrecht
Datum: 23. Juni 2016
Lesedauer: 4 Minuten

Cloud-Dienste wie Dropbox, iCloud oder Google Drive sind für Unternehmen sehr praktisch. Mehrere Mitarbeiter können schnell und ortsunabhängig auf Dateien zugreifen und so effektiv zusammenarbeiten. Besonders für kleine und mittlere Unternehmen können Cloud-Dienste eine ressourcensparende Möglichkeit sein, Daten zu sichern: die Dienstleister verfügen über größere IT-Expertise und über modernere Systeme als ihre Kunden und ihr Geschäftsmodell basiert auf einem hohen Sicherheitsstandard. Dennoch gibt es einige Aspekte, die IT-Entscheider unbedingt abwägen sollten, bevor sie Cloud-Dienste in die unternehmenseigene Infrastruktur integrieren.

Bei der Nutzung von Cloud-Speichern gibt es mehrere sensible Stellen, an denen sich Kriminelle Ihrer Daten bemächtigen können. Zum einen ist der Übertragungsweg der Daten von Ihren Systemen zu den Servern des Cloud-Dienstleisters eine Schwachstelle. Zwar kann die Übertragung zwischen Client und Server über SSL/TLS-Verschlüsselung mittlerweile sicher gewährleistet werden, dennoch ist die Sicherheit der Daten auf den Servern der Anbieter trotz Kryptographie nicht immer garantiert.

Die größten Bedenken sollten IT-Entscheider jedoch aufgrund politischer und datenschutzrechtlicher Probleme haben. Dazu sollten Sie die juristischen Entwicklungen rund um das gekippte Safe-Harbour-Abkommen kennen.

Im Oktober erklärte der Europäische Gerichtshof (EuGH) eine Entscheidung der Europäischen Kommission für ungültig, der zufolge die USA für ausreichenden Schutz der persönlichen Daten von EU-Bürgern gesorgt hätten. Der elektronische Datentransfer wird unter anderem durch die EU-Richtlinie 95/46/EG von 1995 geregelt. Diese besagt, dass die Übermittlung personenbezogener Daten in einen Nicht-EU-Staat nur dann zulässig ist, wenn dieses Land für ein angemessenes Schutzniveau sorgt. Die EU-Kommission kann der Richtlinie zufolge einem Drittstaat dieses ausreichende Schutzniveau attestieren, wie sie es im Fall der USA im Jahr 2000 tat.

Diese Entscheidung der Kommission war Grundlage für das Safe Harbour-Abkommen mit den USA. US-Firmen wie IBM, Microsoft und später auch Facebook ließen sich in eine Liste im US-Handelsministerium eintragen und verpflichteten sich damit, bestimmte EU-Standards einzuhalten – beispielsweise die berühmten FAQ. Doch das war vor dem 11. September 2001.

Nach „9/11“ verschärften die USA den Antiterrorkampf, Gesetze wie der Patriot Act brachten Einschränkungen der Bürgerrechte für Amerikaner mit sich, die sich auch auf Europäer auswirkten. Sehen sie die nationale Sicherheit als bedroht an, können Sicherheitsbehörden wie NSA, CIA oder FBI von US-Unternehmen und auch deren Tochterfirmen im Ausland den Zugriff auf ihre Server verlangen. Das gilt für Techgiganten wie Microsoft und Apple genauso wie für Facebook, Twitter oder auch Dropbox. Deshalb erklärten die Richter des EuGH die Entscheidung der EU-Kommission für ungültig: diese unbeschränkten Befugnisse der Sicherheitsbehörden verletzten sowohl das Grundrecht der EU-Bürger auf Privatsphäre als auch das Grundrecht auf wirksamen gerichtlichen Rechtsschutz, da diese sich gerichtlich dagegen überhaupt nicht wehren könnten, wenn ihre Daten eingesehen werden.

Nach dem Urteil im Oktober 2015 benötigten US-Unterhändler und EU-Vertreter bis Februar diesen Jahres, um sich auf ein Nachfolgeabkommen zu einigen: den EU/US-Privacy-Shield. Bisher besteht jedoch nur die Einigung, ein neues Abkommen abzuschließen – dessen Inhalt wird noch verhandelt, zudem muss das Abkommen von jedem Mitgliedsstaat der EU ratifiziert werden. Bis das geschen ist, gilt das Safe Harbour-Abkommen im Wesentlichen weiter.

Da von Apple über Microsoft bis Dropbox oder IBM die größten Anbieter von Cloud-Diensten ihren Sitz in den USA haben, könnten Behörden theoretisch auf Ihre Unternehmensdaten zurückgreifen – auch wenn diese bei europäischen Tochterfirmen liegen. Der Anbieter Dropbox beispielsweise weist in seinem Transparenzbericht 2015 insgesamt 227 Durchsuchungsbeschlüsse von US-Behörden aus. Wie viele Anfragen zur Datenherausgabe im Dienste der nationalen Sicherheit es gegeben hatte, bleibt unklar: „die Meldung genauer Zahlen wurde Dropbox seitens der US-amerikanischen Regierung untersagt“, schreibt das Unternehmen.

Was also bleibt IT-Entscheidern in Sachen Cloud-Diensten zu tun? Wer nicht riskieren will, dass US-Behörden Einblick in Geschäftsdaten erhalten, muss auf Cloud-Dienste aus anderen Regionen zurückgreifen. Die US-Anbieter gehören jedoch mit ihren Lösungen paradoxerweise in Sachen Kryptographie, Cybersecurity und technischer Infrastruktur zu den Marktführern – bei europäischen Anbietern müssen Sie womöglich ohne einige Spezifikationen auskommen. Wenn Sie auf Cloud-Dienste nicht verzichten können, sollten Sie Ihren Angestellten klare Regeln vorgeben, welche Daten überhaupt in Cloud-Speicher übertragen werden dürfen. Sensible Geschäftsdaten wie Finanzen oder Verträge sollten unter keinen Umständen cloudbasiert gespeichert werden dürfen. Zuletzt sollten IT-Entscheider immer ein Auge auf aktuelle datenpolitische Entwicklungen haben, damit die Unternehmenssicherheit nicht aufgrund langwieriger Umstellungsprozesse leidet.


Kommentar verfassen

Trage deine Daten unten ein oder klicke ein Icon um dich einzuloggen:

WordPress.com-Logo

Du kommentierst mit Deinem WordPress.com-Konto. Abmelden / Ändern )

Twitter-Bild

Du kommentierst mit Deinem Twitter-Konto. Abmelden / Ändern )

Facebook-Foto

Du kommentierst mit Deinem Facebook-Konto. Abmelden / Ändern )

Google+ Foto

Du kommentierst mit Deinem Google+-Konto. Abmelden / Ändern )

Verbinde mit %s