Cloud-Services sind durch ihre Beliebtheit im Internet zahlreichen Angriffsmöglichkeiten und Gefahren ausgesetzt.
Doch welche sind das und wie können Sie darauf reagieren bzw. damit umgehen?

Mit diesem Thema haben wir uns beschäftigt und wollen Ihnen heute mehr Klarheit über mögliche Gefahren bei der Nutzung diverser Cloud-Services geben.

Nachfolgende Risiken sind im Cloud-Computing gegeben und durchaus auch an der Tagesordnung:

  • Missbrauch und schädliche Nutzung von Cloud Computing
  • Unsichere Schnittstellen
  • Zugriff auf die Daten seitens des Cloud Anbieters, Dritter oder Geheimdienste
  • Risiken durch geteilte Technologien
  • Datenverlust und Datenmanipulation
  • Diebstahl von Benutzerkonten oder Cloud-Diensten

Beim Cloud Computing bleibt der Cloud Anwender verantwortlich nach dem Bundesdatenschutzgesetz (§ 3 Abs. 7 BDSG). Er ist daher weiterhin im Außenverhältnis für die Sicherheit der Daten verantwortlich.
Außerdem muss mit dem Cloud Anbieter ein Vertrag zur Auftragsdatenverarbeitung (ADV) nach § 11 BDSG geschlossen werden.

Im Vorfeld oder zu Beginn der Nutzung von Cloud-Services sollten folgende Maßnahmen unbedingt beherzigt werden:

  • Schutzniveau der Daten definieren (Sicherheitslevel)
  • Sicherer Transfer der Daten in die Cloud (z. B. Übertragung über VPN)
  • Sichere Datenverarbeitung (z. B. Zugriffe und Aktivitäten protokollieren)
  • Sicherer Zugang zu den Cloud-Diensten (z. B. starke Authentifizierungsmechanismen)
  • Sichere Datenarchivierung (verschlüsseltes archivieren)
  • Sichere Datenlöschung/-vernichtung

 

Datenübermittlung ins Ausland

Ein Großteil der Cloud Anbieter speichert die Daten außerhalb des EU/ EWR Raumes. Folge ist, dass der Abschluss eines ADV-Vertrages alleine nicht mehr ausreichend ist.

Für die Datenübermittlung bedarf es einer Rechtsgrundlage.
Außerdem muss das adäquate Datenschutzniveau hergestellt werden. Die Anbieter müssen also entweder nach dem Privacy Shield zertifiziert sein oder EU-Standardvertragsklauseln abschließen. Von den Aufsichtsbehörden wird in diesen Fällen überwiegend zusätzlich noch der Abschluss einer ADV-Vereinbarung für erforderlich gehalten.

Die ab Mai 2018 geltende DSGVO (europäische Datenschutz-Grundverordnung) sieht vor, dass die technisch-organisatorischen Maßnahmen des Auftragnehmers (Cloud-Anbieters) durch die Einhaltung geeigneter, genehmigter Verhaltensregeln (Code of Conduct) oder durch eine Zertifizierung nach DSGVO nachgewiesen werden.

Ausländische Cloud-Anbieter, die einen Service innerhalb der EU anbieten wollen, müssen die Vorgaben der DSGVO ebenso beachten wie die Anbieter aus der EU selbst (Marktortprinzip). Andernfalls sollen Nicht-EU-Anbieter keinen Zugang zum EU-Markt erhalten.

Wie Sie sehen, handelt es sich hier um ein sehr komplexes Thema. Sofern Sie sich unsicher sind und Hilfe benötigen, stehen wir Ihnen gern mit unserem Know-How zur Verfügung.