Sicherheitsrisiko: Cloud Anbieter im Ausland
Während Backups und Sicherungen einen weitgehend flächendeckenden Schutz gegen Datenverlust durch Naturkatastrophen und Elementarschäden bieten, sind die Gefahren durch Cyberkriminalität und Datenmissbrauch im Cloud-Computing allgegenwärtig. Relevant in dieser Hinsicht ist allerdings vorrangig die Fragestellung, ob die Daten auf dem eigenen Server sicherer sind als auf einer externen Cloud.
Wie steht es um die Sicherheit von Cloud-Diensten?
Die beiden Elemente Datenschutz und Sicherheit stehen hier an erster Stelle. Zertifizierte Cloud-Dienste erfüllen sämtliche Anforderungen der DSGVO und weisen Sicherheitszertifikate vor. Zu den DSGVO-konformen Anbietern zählen etwa Google, Amazon, Microsoft, Dropbox oder Backblaze. Sie halten sich an die spezifischen Vorschriften zum Schutz personenbezogener Informationen und weisen operative Richtlinien oder Protokolle zur Handhabung von personenbezogenen Informationen vor. Ob und an welche Richtlinien der Anbieter gebunden ist, hängt vom Standort des Servers ab. Während Cloud Storage von Servern innerhalb Deutschlands höchste Sicherheitsstandards erfüllen und an die DSGVO gebunden sind, ist das Regelwerk für im Ausland liegende Cloud Anbieter etwas laxer.
Wo liegen die Gefahren einer Cloud im Ausland?
Der sogenannte Cloud-Act schürt Panik bei der Nutzung von Cloud-Diensten im Ausland. Mithilfe des Gesetzes soll es amerikanischen Strafverfolgungsbehörden möglich sein, sensible und auf Clouds von Dienstleistern mit Hauptsitz in den USA gespeicherte Daten auszulesen, ohne Betroffene nachträglich zu informieren. Dienstleister wie Microsoft oder Google sind ebenfalls nicht dazu befugt, Kunden über den Cloud-Act aufzuklären. Der Clou: Rein rechtlich widerspricht der Cloud-Act der hierzulande herrschenden DSGVO. Unternehmen riskieren bei der Nutzung von US-Clouds hohe Geldstrafen, insofern die Speicherung der Daten ohne starke Verschlüsselung geschieht.
Bei im EU-Ausland liegenden stehen ebenfalls Zweifel bezüglich der Datensouveränität im Raum. Dienstleister in Indien oder China sind nur schwer auf die geltenden Anforderungen und deren Umsetzbarkeit hin zu kontrollieren. Es mangelt an Beeinflussbarkeit und Transparenz im Hinblick auf Datenverarbeitung. Problematisch sei die Einhaltung des Datenschutzes insbesondere dann, wenn ausländische Rechtsordnung lokalen Behörden Zugriffsrechte einräumen, was gegen hierzulande gültige Datenschutzgrundlagen verstößt.
Welche Schutzmaßnahmen sollte ein Anbieter erfüllen?
Ein DSGVO-konformer Betrieb ist nur eine der Mindestanforderungen an den Datenschutz. Neben einer Ende-zu-Ende-Verschlüsselung bieten qualitative Cloud-Dienstleister durch Backup-Optionen Schutz vor Datenverlust. Eine Verschlüsselung direkt auf dem Gerät trägt zur Sicherheit vor einem Datenzugriff durch Dritte bei. Selbst bei der Speicherung auf deutschen Cloud-Servern ist aufgrund des dezentralen Internets ein Umweg durch das Ausland und somit ein unbefugter Datenzugriff nicht auszuschließen. Dienstleister in Deutschland sollten eine ISO/IEC 27001:2013-Zertifizierung vorweisen können. Neben digitalen Schutzbarrieren wie Verschlüsselungen bedarf es noch physischer Schutzvorkehrungen vor einem direkten Zugriff, etwa durch Wachpersonal, Kameras oder Schutzzäune. Brandschutzmelder oder Kühlaggregate sorgen für einen sicheren Betrieb und beugen dem Verlust durch Elementar- und Feuerschäden vor.