Sichere Nutzung von Cloud-Diensten – das gilt es zu beachten

Aktu­ellen Umfragen zufolge treibt die Corona-Pan­­demie den Bedarf nach Cloud-Diensten bei Unter­nehmen deutlich in die Höhe. Einer der Gründe dafür ist sicherlich der wach­sende Bedarf nach Home-Office Lösungen, die es Mit­ar­beitern erlauben, gemeinsam mit ihren Kol­legen auf die gleichen Dateien zuzugreifen.

Tat­sächlich kommen wir im all­täg­lichen Leben — oft unbe­wusst – schon sehr häufig mit Cloud-Diensten in Berührung. So im pri­vaten Bereich, wenn wir iCloud nutzen, bei der Syn­chro­ni­sation von mobilen End­ge­räten, bei Office 365, Dropbox, Google Drive, WhatsApp, aber auch Ter­min­tools wie doodle oder Pro­­jek­t­­ma­­nagement-Tools wie Trello basieren auf dieser Technologie.

Was ver­birgt sich hinter Cloud Computing?

Doch was genau ist Cloud Com­puting? Von Cloud Com­puting spricht man, wenn Pro­gramme und Anwen­dungen nicht auf indi­vi­du­ellen Com­putern aus­ge­führt werden, sondern auf Servern in Rechen­zentrum. Der Zugriff auf das jeweilige Pro­gramm, die jeweilige Anwendung erfolgt dann über das Internet. Cloud-Anbieter betreiben hoch auto­ma­ti­sierte Rechen­zentren, sodass sie sehr vielen unter­schied­lichen Benutzern (sowohl Pri­vat­an­wendern als auch Unter­nehmen) gleich­zeitig ihre Dienste anbieten und sehr hohe Anfor­de­rungen bewäl­tigen können.

Diese Dienste ermög­licht Cloud Computing

Die im Rahmen von Cloud Com­puting ange­bo­tenen Dienst­leis­tungen umfassen das kom­plette Spektrum der Infor­ma­ti­ons­technik. Ein wich­tiger Anwen­dungsfall sind Angebote, die Spei­cher­platz in der Cloud bereit­stellen. In diesem Fall werden Dateien (z. B. Text-Doku­­mente, Fotos, etc.) online gespei­chert. Der Zugriff auf den Speicher ist von ver­schie­denen End­ge­räten aus möglich. So kann ein Text-Dokument, das am PC geschrieben und dann in den Online-Speicher ver­schoben wurde, später von einem anderen Gerät, z. B. einem Tablet oder einem Smart­phone abge­rufen werden. Dateien können zudem mit anderen Per­sonen geteilt werden, um gemeinsam daran zu arbeiten. Häufig werden Fotos von einem Smart­phone in der Cloud gespei­chert, um Spei­cher­platz auf dem End­gerät zu schaffen oder die Fotos zu sichern, falls das Smart­phone ver­loren geht.

Ein wei­teres Bei­spiel für eine Cloud-Anwendung ist ein E‑Mail-Dienst. Hierbei stellt ein Anbieter eine E‑Mail-Adresse, Spei­cher­platz und eine Mög­lichkeit zum Abrufen und Ver­senden der E‑Mails bereit. Die Ver­ar­beitung der E‑Mails kann dann von ver­schie­denen End­ge­räten erfolgen, z. B. einem PC oder einem Smart­phone. Sind die ver­schie­denen End­geräte syn­chro­ni­siert, wird das Ver­schicken einer Email von einem Gerät aus auch auf den jeweils anderen Geräten ange­zeigt. Ein wei­terer mög­licher Anwen­dungsfall ist das Aus­führen eigener Software in der Cloud.

Das gilt es bei Cloud-Diensten zu beachten

Die Vor­teile von Cloud-Diensten liegen bei Betrachtung der obigen Bei­spiele auf der Hand. Jede Pri­vat­person und jedes Unter­nehmen kann auf viel größere Spei­cher­mengen zurück­greifen, seine Daten von jedem Ort der Welt, auf ver­schie­denen End­ge­räten ein­sehen sowie hoch kom­plexe Software aus­führen. Trotz der offen­sicht­lichen Vor­teile gilt es gerade für Unter­nehmen, im Vorfeld der Ent­scheidung für eine Cloud-Lösung einiges zu bedenken und zu prüfen.

Daten­schutz berücksichtigen

Da ist zum einen die Frage des Daten­schutzes. Die meisten Cloud-Dienste werden nicht von Europa aus ange­boten, sondern von Übersee. Damit ist die Spei­cherung per­so­nen­be­zo­gener Daten rechtlich eigentlich ver­boten. Private Anwender können dies noch für sich selbst ent­scheiden, aber bei dienstlich genutzten Anwen­dungen kann das zum Problem werden. Daher sollte geprüft werden, ob der Anbieter „Stan­dard­ver­trags­klauseln“ anbietet, um seine Rolle als Auf­­­trags-Daten­­­ver­­ar­­beiter und die Sicherheit bei der Ver­ar­beitung zu doku­men­tieren und zuzusichern.

Auf den soge­nannten Privacy Shield können Unter­nehmen hin­gegen nicht mehr setzen. Dieser beruhte auf einer Ver­ein­barung zwi­schen der EU und den USA. Er diente dazu, per­so­nen­be­zogene Daten euro­päi­scher Bürger DSGVO — konform an US-Unter­­nehmen zu über­mitteln. Die teil­neh­menden US-Unter­­nehmen gingen eine Selbst­ver­pflichtung ein, dass sie bestimmten Daten­schutz­prin­zipien folgen und Rechte gewähren. Diese Ver­ein­barung ist nun vom Euro­päi­schen Gerichtshof (EUGH) am 16.  Juli 2020 für ungültig erklärt worden.

Gleich­zeitig bestä­tigte der EUGH die Mög­lichkeit, soge­nannte Stan­dard­da­ten­schutz­klauseln mit U.S.-Dienstleistern zu schließen. Solche Klauseln sind weiter wirksam, wenn das ver­ant­wort­liche EU-Unter­­nehmen prüft, ob das US-Unter­­nehmen, das die Daten emp­fängt, auch tat­sächlich das erfor­der­liche Schutz­niveau ein­halten kann. Wie genau diese Prüfung in der Praxis aus­zu­sehen hat, ist bisher jedoch nicht abschließend geklärt.

Schutz der eigenen sen­siblen Daten

Darüber hinaus sollte jedes Unter­nehmen sorg­fältig prüfen, welche Daten es in der Cloud ablegt. Auch, wenn der Cloud-Anbieter größt­mög­liche Sicher­heits­vor­aus­set­zungen erfüllt, emp­fiehlt es sich nicht, Fir­men­ge­heim­nisse oder sehr sen­sible Doku­mente in der Cloud zu hin­ter­legen. Dafür ist ein anderer Spei­cherort besser geeignet.

Noch ein wei­terer Punkt, den es zu beachten gilt: Cloud­tech­no­logie ist wun­derbar nutzbar für die unter­neh­mens­über­grei­fende Zusam­men­arbeit. Mit Cloud Com­puting geht dies schnell und unkom­pli­ziert. Es ist aller­dings darauf zu achten, dass man den Geschäfts­partnern nicht zu viele Rechte gibt — und nach Been­digung des gemein­samen Pro­jekts und der Zusam­men­arbeit die Rechte auch wieder wegnimmt.

Lizenz­recht berücksichtigen

Viele Cloud-Dienste sind nur für den per­sön­lichen Gebrauch erlaubt (iCloud), oder nur dann kos­tenlos (Trello). Die Lizenz­be­din­gungen sind unbe­dingt zu beachten, um kein Risiko einzugehen.

Inter­net­an­bindung prüfen

Auch gilt es zu berück­sich­tigen — ohne Internet keine Cloud. Die Nutzung von Cloud-Diensten erfordert eine sichere und sehr zuver­lässige Inter­net­ver­bindung. Ohne diese kann auf die in der Cloud gespei­cherten Daten nicht zurück­ge­griffen werden.

Ver­trag­liche Ände­rungs- und Aus­stiegs­be­din­gungen klären

Schließlich ist es für jedes Unter­nehmen wichtig, sich genau mit den Ver­trags­be­din­gungen aus­ein­an­der­zu­setzen, um mög­liche Ände­rungen vor­zu­nehmen lassen, oder um Gewissheit zu haben, was mit den Fir­men­daten nach Ver­tragsende geschieht.

Deutschland sicher im Netz hat die hier auf­ge­führten Tipps zusammen mit anderen wich­tigen Hin­weisen zum sicheren digi­talen Arbeiten in ein­zelnen Check­listen zusam­men­ge­stellt und publi­ziert. Die Check­listen stehen hier zum Download bereit.

Die Hin­weise zur sicheren Nutzung von Cloud-Diensten ver­danken wir Prof. Dr. Sachar Paulus, Pro­rektor Digi­ta­li­sierung und Stu­di­en­g­an­g­leiter Unter­­nehmens- und Wirt­schafts­in­for­matik an der Hoch­schule Mannheim.