Warum ein deutscher Serverstandort nicht automatisch Datensicherheit in der Cloud bedeutet

[datensicherheit.de, 16.11.2016] Immer mehr Unternehmen drängt es in die Cloud. Die Auslagerung von Daten und Services in die virtuelle Datenwolke bietet sicher Vorteile – zum Beispiel sinken die Investitions- und Betriebskosten für IT und die Wartung von Anlagen. „Dennoch hat die Cloud vor allem im deutschen Mittelstand noch ein Vertrauensproblem“, sagt Sebastian Bluhm. Diese Haltung sei keineswegs hysterisch – „bei weitem nicht“, so Bluhm. Für den Vorstand und Mitgründer der Profihost AG mangelt es nach eigenen Angaben an Aufklärung und Transparenz bei den „Big Playern“.

Deutscher Serverstandort allein vertrauensbildend?

Wenn ein Cloud-Dienstleister garantiert, dass Unternehmensdaten ausschließlich auf deutschen Servern gehostet werden, sei diese Aussage entscheidend bei der Wahl eines vertrauensvollen Cloud-Anbieters. Die Kunden dächten: „Wenn die Server in Deutschland stehen, unterliegen die gespeicherten Daten ohne Wenn und Aber auch den deutschen Datenschutzstandards.“
Doch tatsächlich lohnt sich ein genauer Blick auf die Details, rät Bluhm. Der IT-Experte mit einem „Master of Laws“ für Informationsrecht meint damit vor allem den Blick in die Datenschutzbedingungen zum Beispiel eben der „Global Player“. „Dienste wie Amazon Web Services, Google oder Microsoft Azure genießen allein wegen ihres großen Namens oft einen Vertrauensbonus und kommunizieren außerdem, dass sie die Daten ihrer deutschen Kunden auch auf deutschen Servern hosten.“ Die Erkenntnisse des „NSA-Skandals“ zeigten jedoch, dass es sich in der Vergangenheit faktisch um Lippenbekenntnisse gehandelt habe – ohne Wissen der Kunden hätten die Anbieter Daten an ausländische Geheimdienste und staatliche Stellen abgeführt. „Die beteiligten Diensteanbieter wurden als eine Art Hilfssheriff genutzt“, unterstreicht Bluhm.

Interessenkonflikte beim Datenschutz

Dass Dienstleister den Datentransfer von Kunden nicht kategorisch ausschließen, könnten Kunden auch selbst nachlesen. In den Datenschutzhinweisen von Amazon Web Services werde so beispielsweise deutlich erklärt, dass gegebenenfalls Daten im Rahmen des „Patriot Act“ an US-Geheimdienste fließen könnten – obwohl dies mit deutschem Datenschutzrecht nicht vereinbar sei.
„Unternehmen mit Mutterkonzernen in den USA befinden sich hier in einem Interessenkonflikt und es ist manchmal schwer zu sagen, welches Interesse hier das Rennen macht“, erläutert Bluhm. Zwar habe der Europäische Gerichtshof die „Safe Harbour“-Vereinbarung für Datentransfer zwischen der EU und den USA für ungültig erklärt, aber ob das Nachfolgeprogramm „Privacy Shield“ auch langfristig einer gerichtlichen Prüfung standhält, sehen laut Bluhm viele Experten als fraglich an.
Er zeigt sich überzeugt: Selbst wenn formal gültige rechtliche Vereinbarungen bestehen, hilft es dem Mittelständler für sein Geschäft nicht weiter. Das habe die Vergangenheit bewiesen. Für ihn ist es daher absolut verständlich, dass mittelständische Unternehmen, deren gesamtes Geschäftsmodell auf Know-how beruht, hierbei „Bauchschmerzen“ bekommen. Seine Empfehlung: „Wer wirklich auf Nummer sicher gehen will, sollte auf Anbieter setzen, die zu einhundert Prozent in Deutschland zu Hause sind.“ Das herauszufinden sei aber teilweise nicht ganz einfach, denn der Markt für Provider habe sich in den vergangenen Jahren durch Fusionen und Übernahmen sehr internationalisiert und sei intransparent geworden.

Dienstleister des Vertrauens herausfiltern!

Bluhm empfiehlt Unternehmen deshalb das persönliche Gespräch mit den Anbietern, um den Dienstleister des Vertrauens herauszufiltern. Mittelständler sollten ihre eigenen Werte durchaus auf den Cloud-Anbieter übertragen:

• Zählt das persönliche Gespräch mehr als das Webformular und die Kundenhotline?
• Ist ein Treffen vor Ort möglich und hat das Unternehmen Qualitätszertifikate, die neutral den Schutz der Daten bewerten?
  Bluhm: „Oft gilt: besonders groß ist nicht gleich besonders gut. Wie bei allen anderen Industriezweigen gibt es auch im Hosting-Bereich mittelständische Dienstleister, die durch viel Nähe zum Kunden, eine hohe Qualität und ein klares Bekenntnis zu 100 Prozent ‚made in Germany’ punkten.“

Mittelständische Unternehmen seien gut beraten, wenn sie mit ihren IT-Profis einen kleinen Fragenkatalog für Cloud-Anbieter vorbereiten, um mehr über deren Datenschutz-Standards zu erfahren.

Foto: Profihost AG

Sebastian Bluhm: Cloud-Anbieter nach Datenschutz-Checkliste auswählen!

Datenschutz-Checkliste von IT-Rechtsexperte Sebastian Bluhm

Fragen für die Wahl des Cloud-Anbieters:

• Wo werden Daten gespeichert?
• Ist der Provider international tätig?
• Bestehen Interessenkonflikte mit anderen Ländern in Bezug auf den deutschen Datenschutz?
• Hat das Unternehmen unabhängige Zertifikate, die Cloud-Sicherheit und Datenschutz garantieren?
• Bestehend Abhängigkeiten durch ausländische Tochterfirmen oder Muttergesellschaften?
• Ist der Anbieter ein Partner auf Augenhöhe mit ähnlichen Werten?

Weitere Informationen zum Thema:

datensicherheit.de, 26.10.2016
„Conficker“ auf Platz 1: Check Point’s Top Malware im September 2016 publiziert

datensicherheit.de, 23.10.2016
NIFIS warnt vor voreiligem Nutzen von Cloud-Lösungen

[datensicherheit.de, 08.12.2014] Etwa 33 Millionen Bundesbürger werden nach Angaben des BITKOM ihre Weihnachtsgeschenke 2014 online kaufen. Millionen Daten also, die für Hacker gerade zur Weihnachtszeit ein lukratives Geschäft sind – Passwörter, Kreditkartendaten und Geburtsdaten etwa sind besonders beliebt.

Materielle und immaterielle Schäden für Webshops

Gestohlene Daten werden entweder verkauft oder die Datendiebe gehen damit selbst auf Kosten der Bestohlenen einkaufen, warnt Philipp Reger, Vorstandsassistent (Vertrieb) bei der Profihost AG. Für Webshops sei es in jedem Falle nicht nur ein immenser wirtschaftlicher Schaden, sondern vor allem auch ein hoher Vertrauensverlust.

Konsequente Verschlüsselung der Kommunikation

Um Schaden zu vermeiden, können und müssen Shop-Betreiber einige Maßnahmen zur Absicherung ihres Unternehmens, ihrer Daten und der Daten ihrer Kunden selbst durchführen. Dazu zählen neben einer Grundsicherung – etwa dem Einsatz einer Firewall, der konsequenten Verschlüsselung der Kommunikation mit SSL-Zertifikaten oder Passwortregeln für Käufer – beispielsweise auch der Einsatz von „Session Cookies“ und die Nutzung sicherer Bezahlverfahren.
Shopbetreiber, die als Zahlungsart Bankeinzug oder Kreditkarte anbieten, sollten sich der Sensibilität dieser Daten bewusst sein und z.B. einen zertifizierten „Payment Service Provider“ zu Abwicklung der Transaktionen wählen, rät Reger. Website-Betreiber sollten grundsätzlich die Nutzer-Daten so speichern, dass sie für unbefugte Dritte möglichst unbrauchbar sind, also im Idealfall verschlüsselt und unknackbar. Hierzu stünden diverse kryptografische Hash- und Salt-Funktionen zur Verfügung, die über Zusatzmodule auch mit vielen beliebten Content-Management-Systemen genutzt werden könnten.
Die Sicherheitsmaßnahmen seien übrigens für Besuchern und Kunden „sichtbar“ und gäben Vertrauen – ein Schloss-Symbol in der Browser-Leiste oder die grüne Adressleiste zeugten davon, dass persönliche Informationen verschlüsselt an den Anbieter übertragen werden.

Interne und externe Täter

Oft sei es hilfreich, aus einer neutralen Position heraus und mit dem nötigen Fachwissen die Server-Sicherheit von Außen zu prüfen. Profihost z.B. stelle mit sogenannten Penetrationstests dabei die IT-Sicherheit mit simulierten Angriffen auf die Systeme und IT-Infrastruktur auf die Probe. Das Ziel dabei sei, mögliche Schwachstellen zu erkennen und frühzeitig zu handeln, so Reger.
Beim Penetrationstest werden eine Hosting-Umgebung, das darunterliegende System, der SSH- und FTP-Zugang sowie die Login-Bereiche aus Sicht eines unangemeldeten Besuchers auf ihre Sicherheit hin überprüft. Die simulierte Attacke geschehe immer von verschiedenen Angriffspunkten aus – einerseits werde versucht, das System aus der Sicht eines x-beliebigen Besuchers heraus zu manipulieren, andererseits werde überprüft, ob unbefugte Zugriffe durch Mitarbeiter des Unternehmens möglich sind. Denn häufig seien es leider auch Mitarbeiter, die in einem Unternehmen versehentlich oder zum eigenen Vorteil unberechtigt auf Daten zugriffen und diese womöglich missbräuchlich nutzten, erklärt Reger.