Datensicherheit in der Cloud: Das Vertrauen steht auf dem Spiel

Wie sicher sind in der Datenwolke gespeicherte Daten vor fremden Zugriff?  Der TeleTrusT – Bundesverband IT-Sicherheit e.V. beispielsweise geht davon aus, dass sensible Daten in den Servern US-amerikanischer Anbieter nicht sicher seien im Sinne des deutschen Datenschutzverständnisses. Der Verband empfiehlt deshalb, zumindest bei der Datenspeicherung in der Cloud und bei vertraulicher Kommunikation die Technologie deutscher oder europäischer Anbieter einzusetzen, die dem Bundesdatenschutzgesetz beziehungsweise dem Fernmeldegeheimnis oder einer gleichartigen Rechtsqualität unterliegen. Auf der anderen Seite gibt es eine Vielzahl von Sicherheitslösungen, mit denen die Firmendaten vor unautorisiertem Zugriff geschützt werden. Als effizientester Ansatz gilt derzeit die Datenverschlüsselung.

Auffallend war, dass einige bekannte US-amerikanische und britische Anbieter wie HP, Oracle, SAGE Bäurer und Symantec an der Umfrage nicht teilnehmen konnten oder wollten. Auch Microsoft wollte nicht teilnehmen und hat auf seinen alle sechs Monate veröffentlichten Transparenz-Bericht verwiesen, der Auskunft gibt über Anfragen von Strafverfolgungsbehörden zur Herausgabe von Nutzerdaten. Wie Microsoft berichtet, gingen bei dem Unternehmen im vergangenen Jahr weltweit 75.378 und aus Deutschland 8.419 Auskunftsersuche zur Offenlegung von Nutzerdaten ein. Zu dem Prozedere erklärt Microsoft: „Um dem entgegengebrachten Vertrauen der Nutzer in die von ihnen genutzten Dienste nachzukommen, werden die Anfragen der Behörden genauestens vom Unternehmen geprüft und müssen bestimmte Anforderungen erfüllen, bevor nicht-inhaltsbezogene oder inhaltsbezogene Daten an sie übermittelt werden:  Es muss eine gültige Vollstreckungsermächtigung oder ein rechtliches Äquivalent vorliegen. Es muss eine gerichtliche Anweisung oder Vollmacht nachgewiesen werden. Ein Compliance-Team prüft jede Anfrage und die dazu eingereichten rechtlichen Anordnungen.“

Darüber hinaus konnten oder wollten folgende Anbieter keine Stellungnahme zur Frage abgeben: Bitdefender, Comarch, ESET, Fujitsu Technology Services, Gdata, ITWatch, Kaspersky Lab, Materna, Pironet NDH und Sophos.

digitalbusiness CLOUD fragte Verbände und Organisationen: Durch die Medien wurde bekannt, dass nicht wenige IT-Anbieter mit der US-amerikanischen NSA oder dem britischen Geheimdienst zusammenarbeiten. Vor diesem Hintergrund erscheint es möglich, dass auch in der Cloud gespeicherte Firmendaten zugänglich waren. Welche Maßnahmen sind Ihrer Meinung nach seitens der Politik und von IT-Anbietern notwendig, um Datensicherheit und Datenschutz künftig zu garantieren?

Dr. Oliver Grün, Präsident und Vorstandsvorsitzender des Bundesverbandes IT-Mittelstand e.V. (BITMi)

Die jüngsten Erkenntnisse zeigen: Weder private noch geschäftskritische und sensible Daten sind in der Cloud sicher vor Industrie- und Wirtschaftsspionage. Damit wächst der Stellenwert der IT-Sicherheit in Unternehmen rasant. Für Innovationen „Made in Germany“ ist genau dieser Moment die große Chance. Denn gerade aufgrund des optimalen Rufs, den deutsche Lösungen noch immer weltweit genießen, sind diese jetzt gerade auch in Punkto Sicherheit immer mehr gefragt. Eine Entwicklung, die die Politik dringend weiter unterstützen sollte. Deutsche innovative Unternehmen brauchen unbedingt Sicherheiten und Möglichkeiten, ihr Wissen und Können zu entwickeln. Damit werden nicht nur Sicherheitslecks gezielt gefüllt – auch wird auf diese Weise zusätzlich und direkt die Wirtschaft weiter angekurbelt.

Gerade Cloud-Dienste müssen explizit gesichert werden. Lauschangriffe sind oft noch viel zu einfach durchzuführen. Dazu kommt, dass wir schon längst von den flexiblen und nützlichen Cloud-Diensten abhängig sind. Das heißt, jegliche Dienste müssen vorab klar geprüft werden, unter anderem gilt es sicherzustellen, dass die Daten in jedem Fall immer in deutschen Rechenzentren beheimatet sind. Dazu sollte eine Verschlüsselung von Ende zu Ende gewährleistet werden. Doch bei allen Regularien durch die Politik: In erster Linie muss sich das Nutzerverhalten ändern. Die Nutzungsform von Cloud-Diensten zu überdenken, kann am Ende erheblichen Ärger  ersparen.

Wir geben hier eine Basis, um die Entwicklung im positiven Sinn voranzutreiben. Als Mittelstandsverband wünschen wir uns bei unseren Schritten natürlich die Unterstützung der Politik und ein wachsendes Bewusstsein, dass Deutschland auch weiter Hightech-Standort bleiben wird.

Thomas Spaeing, Vorstandsvorsitzender des Berufsverbands der Datenschutzbeauftragten (BvD) e.V. und Inhaber der ds² Unternehmensberatung für Datenschutz und  Datensicherheit

Das Vertrauen muss wieder dahingehend hergestellt werden, dass ein Zugriff auf personenbezogene Daten und Unternehmensdaten durch staatliche Stellen nur aufgrund einer Rechtsgrundlage und bei Sicherheitserfordernissen nicht anlasslos erfolgen darf. Das Problem der Politik besteht darin, dass diese Aktivitäten außerhalb des deutschen Staatsgebiets stattfinden und hierbei zunächst nur über Appelle an den guten Willen Einfluss genommen werden kann. Solange Kunden und Anwender nicht durch einen konsequenten Boykott der Produkte und Dienstleistungen, bei denen Regierungen die anlasslose Offenlegung der anvertrauten Daten einfordern können, einen wirtschaftlichen Druck ausüben, erwarten wir keine Veränderung der Haltung der politisch Verantwortlichen.

Dennoch: es gibt auch europäische Angebote aus der Cloud, bei denen die europäischen Anbieter ihre Rechenzentren und ihre Server bewusst innerhalb Europas aufstellen und die ihre Kommunikation über eine Smartcard-basierte Verschlüsselung absichern. Dabei eröffnet sich für die Politik ein Ansatzpunkt, endlich ein Audit einzuführen, das die erforderlichen Standards definiert. Hierzu beraten und bewerten Datenschutzbeauftragte und berücksichtigen dabei die gesetzlichen Anforderungen nach dem Bundesdatenschutzgesetz.

Letztendlich entscheiden dabei die Kunden, ob sich diese Angebote auch wirtschaftlich durchsetzen: Wem es allerdings nur wichtig ist, alles möglichst billig, wenn nicht sogar kostenlos im Internet nutzen zu können, muss sich nicht wundern, wenn er diese Leistungen durch Verlust an Privatheit und/oder Sicherheit der Daten bezahlt. Selbst die Anbieter werden sich dann überlegen müssen, ob ein 24/7-Support („Follow the Sun“) mit potenziellem Datenzugriff Dritter für die Kunden sinnvoll ist, wenn man Ihnen nicht die Sicherheit Ihrer Daten garantieren kann.

Statement Oliver Dehning, Vorsitzender der TeleTrusT – Bundesverband IT-Sicherheit e.V.  und Geschäftsführer der antispameurope

In Deutschland verfügen wir bereits über ein vergleichsweise strenges Datenschutzgesetz. Die Verarbeitung personenbezogener Daten, also mit einer Person verknüpfter Daten, ist dadurch aus gesetzlicher Sicht klaren Einschränkungen unterworfen. Der Schutz des Datenschutzgesetzes gilt allerdings nicht für unternehmensbezogene Daten, auch nicht, wenn diese geschäftskritisch sind. Zudem greift der rechtliche Schutz zumindest in der Praxis nicht wirksam, wenn die Person selber Daten in die Hand von Unternehmen gibt, die nicht der deutschen Rechtsprechung unterliegen oder auf die die deutsche Rechtsprechung nur bedingt Einfluss hat. Dies gilt zum Beispiel für alle US-amerikanischen Cloud-Anbieter.

Notwendig und sinnvoll sind deshalb folgende Maßnahmen:

1.         Technische Maßnahmen zum Schutz von Daten

Dazu zählt vor allem eine wirksame Verschlüsselung der Daten, am besten vor der Übertragung in die Cloud. IT-Anbieter sind aufgerufen, wirksame Verschlüsselungstechniken wo immer möglich in ihre Produkte zu integrieren und als Standard anzubieten. Die Politik kann unterstützen durch Fördermaßnahmen zur Entwicklung und Einführung wirksamer Verschlüsselungsverfahren sowie durch Förderung der Aufklärung von Bevölkerung und Unternehmen darüber, wie solche Verfahren in der Praxis eingesetzt werden. Weiterhin sollten staatliche Stellen selber sichere Verschlüsselungstechniken einsetzen, wo immer das sinnvoll möglich ist, um dadurch beispielgebend zu wirken und die Nutzung dieser Techniken in der Praxis voranzutreiben.

2.         Keine Speicherung in Drittstaaten

Aus deutscher Sicht sollten Daten am besten nur an in Deutschland betriebene Dienste deutscher Anbieter gegeben werden, aus europäischer Sicht an in der EU betriebene Dienste europäischer Unternehmen. Das würde den Zugriff von Behörden aus Drittstaaten zumindest erschweren. Deutsche und europäische IT-Anbieter sind deshalb dazu aufgerufen, wettbewerbsfähige Dienste zu entwickeln, um den Kunden auch attraktive Alternativen zu bieten. Auch hier sollten staatliche Stellen mit gutem Beispiel vorangehen, um dadurch die Entwicklung entsprechender Angebote deutscher oder europäischer Unternehmen zu unterstützen.

Dr. Thomas Lapp, Vorsitzender der NIFIS Nationale Initiative für Informations- und Internet-Sicherheit e.V.

Tatsächlich werden in Deutschland Datensicherheit und Datenschutz bei Cloud-Diensten noch viel zu sehr vernachlässigt. Vor allem die sorglose Nutzung von iCloud, Google Cloud & Co. machen es Spionageversuchen noch viel zu leicht, erfolgreich Daten abzugreifen. Übergangslösungen helfen da auf lange Sicht nicht weiter. Um Spionagetätigkeit durch Drittstaaten innerhalb Deutschlands komplett zu unterbinden, müssen in erster Linie deutsche oder auch EU-Datenschutzregelungen international durchgesetzt werden. Nur absolut konsequente und strenge Richtlinien können das Vertrauen in Anbieter wieder stärken. Wir plädieren außerdem dafür, auch bei Verstößen gegen klare Rahmenbedingungen ein deutliches Zeichen zu setzen: Sobald Richtlinien nicht eingehalten werden, müssen direkt eklatant hohe Bußgelder gegen jene Firmen erhoben werden, die im EU-Raum arbeiten und trotzdem Daten an Drittstaaten weiter geben. Nur solche konsequenten Maßnahmen können schrittweise das Vertrauen des Verbrauchers stärken und die unbedingt notwendige Transparenz in den Diensten zur Synchronisation und Speicherung von Daten in der Cloud gewährleisten.

Der schwarze Peter liegt aber mit Sicherheit nicht allein bei der Politik. Auch die Industrie sollte sich mit vertraglichen Zusatzleistungen absichern. Vor allem muss hier deutlich formuliert werden, wo und wie Daten gespeichert werden. Das heißt unter anderem, dass eine Datenspeicherung immer nur innerhalb der EU und unter europäischem Recht erfolgen darf. Unternehmen sind verpflichtet, schon im Vorfeld festzustellen, ob Geschäftsbeziehungen in die USA existieren, die eine Unterwerfung unter US-amerikanisches Recht bedeuten würden. Natürlich können Daten verschlüsselt werden, um sie vor Zugriff zu schützen – dabei muss allerdings klargestellt werden, dass eine Verschlüsselung ausschließlich durch den Kunden erfolgen darf. In keinem Fall darf der Anbieter Zweitschlüssel besitzen.

Für Unternehmen lohnt es sich also immer, vor der Nutzung von Cloud-Diensten diese eingehend zu prüfen, um sich Ärger im Nachhinein zu ersparen.

digitalbusiness CLOUD fragte Anbieter von Cloud-Diensten und Sicherheitslösungen: Durch die Medien wurde bekannt, dass nicht wenige IT-Anbieter mit dem NSA oder dem britischen Geheimdienst zusammenarbeiten. Vor diesem Hintergrund erscheint es möglich, dass auch in der Cloud gespeicherte Firmendaten zugänglich waren. Können Sie die Vertraulichkeit der Ihrem Unternehmen anvertrauten Daten gewährleisten? Und wie setzen Sie die Datensicherheit um?

Markus Seyfried, CTO  bei der Brainloop AG

Die Brainloop AG gewährleistet Sicherheit für vertrauliche Informationen über Unternehmensgrenzen hinweg. Dies ist insbesondere hinsichtlich der Ergebnisse aktueller Studien  zu Cyberkriminalität und Cyberspionage ein wesentlicher Aspekt bei der Wahl der Kommunikationswege. Daten und Informationen sind am verwundbarsten, wenn sie die geschützte Infrastruktur des eigenen Unternehmens verlassen. Das wachsende Angebot privatkundenorientierter Speicherservices in der Cloud wie Dropbox oder auch Skydrive vergrößern den Kontrollverlust über sensible Unternehmensinformationen.

Brainloop stellt seinen Kunden eine hochsichere, webbasierten Plattform für die Bearbeitung und den Austausch sensibler Informationen auf zur Verfügung. Der Brainloop Informationsschutz beinhaltet unter anderem:

• Datensicherung auf dedizierten Servern in zertifizierten deutschen Rechenzentren
• Verschlüsselung: vertrauliche Dokumente werden auf dem Server verschlüsselt abgelegt und auch beim Öffnen, Bearbeiten oder E-Mail-Versand automatisch verschlüsselt.
• Shielding: IT-Abteilung und Betreiber dürfen keinen Zugriff auf die Daten erlangen. Das ist durch konsequente Trennung von Anwendungs- und Systemadministration sichergestellt.
• 2-Faktor-Authentifzierung über ein Benutzer-Passwort und eine SMS-Tan.
• Digital Rights Management – die Zugriffsverwaltung, Berechtigungskonzepte und revisionssichere Protokollierung von Aktionen an Dokumenten.
• Wasserzeichen und eindeutige Dokumenten IDs, um Missbrauch nachzuweisen.

Dr. Robert Mayr, Mitglied des Vorstands der DATEV eG, verantwortlich für die Produktion und interne Datenverarbeitung

Für Daten, die der DATEV anvertraut werden, können wir größtmögliche Vertraulichkeit zusichern. DATEV ist eine genossenschaftliche Organisation. Im Blick auf ihr bekannt gewordene Tatsachen von Kunden gilt die gleiche besondere Verschwiegenheitspflicht, der auch Steuerberater unterliegen. Als Unternehmen mit besonderen Sicherheitsanforderungen sind IT-Sicherheit und Datenschutz sozusagen Bestandteil der DATEV-DNA. Wir verfügen über ein umfassendes Datenschutz- und Datensicherheitskonzept. Dabei handelt es sich um einen Mix aus baulichen, personellen, organisatorischen und natürlich technischen Vorkehrungen. Für den Umgang mit und den Zugriff auf Daten von der Aufbewahrung über den Transport bis hin zur Entsorgung greifen eine Vielzahl von präventiven Sicherungsmaßnahmen und betrieblichen Datenschutzvorschriften, die durch eine Reihe von Überprüfungsmaßnahmen ergänzt werden.

Technisch leistet sich DATEV für die Datensicherheit zwei Netzwerk-Ebenen. Diejenige, die zur Kommunikation mit Externen genutzt wird, ist mit einem ausgeklügelten System von Firewalls und Virenscannern gesichert. In die interne Ebene des DATEV-Netzwerks gelangen ausschließlich geprüfte und als ungefährlich eingestufte Daten. Beim Versand und der Übertragung schutzwürdiger Informationen greift ein Verschlüsselungsverfahren, das derzeit nachweislich praktisch weder mit aktuellen Rechnern noch mit absehbaren technischen Weiterentwicklungen und realistischem Aufwand „geknackt“ werden kann. Um auch unbemerkten Diebstahl der für eine Verschlüsselung notwendigen Passwörter zu verhindern, setzt die DATEV auf eine Zwei-Faktor-Identifikation mit einer Smartcard als standardmäßiger Besitzkomponente. Nur wer die Karte hat und das Passwort kennt, bekommt Zugriff. Die auf diesen Smartcards hinterlegten Sicherheitszertifikate erstellt DATEV in Eigenregie, sodass es keine Masterkeys und keine sonstige Einflussnahme durch Dritte geben kann. Weder bei ausländischen noch bei deutschen Behörden sind Sicherheitsschlüssel hinterlegt.

Karl Heinz Mosbach, Geschäftsführer ELO Digital Office GmbH

Das Thema Cloud spielt in der Business-Welt und vor allem für uns im ECM-Bereich eine immer größere Rolle. Da ist es natürlich sehr verwirrend für die Anwender, zu hören, dass gewisse Behörden wie die NSA oder der britische Geheimdienst in jüngster Zeit wenig diskret mit Daten von Anwendern umgegangen sind. Allerdings gibt es gerade für Unternehmen eine Möglichkeit, die Cloud sicher zu gestalten. ELO bietet über seine Lösungspartner nur Private-Cloud-Lösungen an. Die Speicherung der archivierten Daten erfolgt dabei in deutschen Rechenzentren. Es wird nichts davon ins Ausland abgegeben, sodass stets deutsches Recht gilt. Wir verlassen uns darauf, dass schon hier ein guter Standard geboten ist, dass die Daten nur von den Personen genutzt werden, die eine Zugangsberechtigung dazu haben.

Allerdings gibt es für Zweifelsfälle natürlich Verschlüsselungsmechanismen, mit denen Geschäftsdaten chiffriert werden können, um den Zugriff von außen unmöglich zu machen. Diese Verschlüsselungstechnologien sind heute so ausgereift, dass es sehr schwer ist, die Daten von außen zu knacken. Gemeinsam mit unseren Lösungspartnern wird durch entsprechende Mechanismen wie dezidiert abgesicherter Datenzugriff und eben die schon erwähnte Verschlüsselung diese Sicherheit gewährleistet. Generell sollten Unternehmen nur Cloud-Anbieter wählen, zu denen sie vollstes Vertrauen haben. Hier sollte eine gute Vorauswahl getroffen werden, um danach den Anbieter zu buchen, der das seriöseste Angebot mit dem ausgefeiltesten Gesamtkonzept liefert. Dies beinhaltet dann auch die Datensicherheit und Abwehr von Angriffen.

Klaus Brandstätter, CEO der HOB GmbH

HOB ist der Meinung, dass sich Cloud-Lösungen und -dienste auch künftig vor nichtautorisierten Zugriffen wirksam absichern können. Voraussetzung hierfür ist sehr gutes Know-how und der Einsatz der richtigen Lösungen. Entscheidend ist eine professionelle Verschlüsselungstechnik von Ende zu Ende. Unternehmen wie HOB bieten maßgeschneiderte Lösungen, Expertenwissen und vom BSI zertifizierte Produkte. Lösungen zum „Null-Tarif“ können die notwendigen Anforderungen nicht erfüllen.

Wie durch die Enthüllung der NSA-Abhöraktionen bekannt wurde, sammelt der US-Geheimdienst Internetdaten in großer Manier. Diese werden gespeichert und für spätere Zwecke entschlüsselt und analysiert. Verschlüsselungsalgorithmen können mathematisch und technisch geknackt werden, der Aufwand hierfür ist aber viel zu hoch. Viel wahrscheinlicher und realistischer ist es, dass zum Beispiel die NSA in den Besitz des privaten Schlüssels des Webservers einer SSL-Sitzung kommt. Mit diesem privaten Schlüssel kann der Geheimdienst im Handumdrehen die ganze Kommunikation der Website nachvollziehen. Bei einigen großen Dienstleistern lassen sich somit Daten von Millionen Menschen offenlegen. Genau für dieses Szenario müssen SSL-Sitzungen vor späteren Entschlüsselungsaktionen abgesichert werden.

Ein Schutz vor dieser Gefahr ist das Verfahren Perfect Forward Secrecy, kurz PFS. Bei PFS wird der Schlüsselaustausch für die Verschlüsselung am Anfang der SSL-Sitzung vorgenommen. Dies verhindert, dass abgefangene Kommunikationsdaten vom Internet nachträglich entschlüsselt werden können. Beim PFS-Verfahren kommunizieren Browser und Webserver miteinander, um einen zeitlich begrenzten Session-Key zu ermitteln. Der Vorteil dabei ist, dass der Session-Key bei der Kommunikation nicht übertragen wird. Er wird nach Beendigung der Sitzung expliziert gelöscht. So ist eine spätere Entschlüsselung nicht möglich. Leider wird das Verfahren PFS nicht oft verwendet. Das liegt vornehmlich daran, dass die Kommunikation zwischen Browser und Webserver zu einer höheren Serverlast führt. Der Verbindungsaufbau wird dadurch etwas verzögert. HOB ist jedoch der Ansicht, dass es unter dem Aspekt der Datensicherheit eine Überlegung wert ist, den bestmöglichen Schutz sensibler Unternehmensdaten zu gewährleisten.

Offizielle Stellungnahme von IBM, Kommunikations- und Security-Bereich

Regierungen auf der ganzen Welt haben schon lange die Befugnis, den Zugang zu Daten für die Strafverfolgung und aus Gründen der nationalen Sicherheit zu verlangen. Eine solche Anfrage kann sich auf jedes Unternehmen erstrecken, das Geschäfte innerhalb eines Landes betreibt, unabhängig davon, wo das Unternehmen ansässig ist oder wo die Daten gespeichert werden. Dies ist nicht einmalig in den USA oder bei US-amerikanischen Service-Providern. IBM empfiehlt seit langem, dass Kunden die gesetzlichen und geschäftlichen Anforderungen in Bezug auf ihre Daten überprüfen. Und wir arbeiten mit Kunden, um Lösungen zu bauen, die deren Bedürfnisse an Privatsphäre und Sicherheit erfüllen können.

Bernhard Hecker, Director Product Management bei der retarus GmbH

Der Schutz von Kundendaten ist für Retarus ein zentrales Anliegen. In Deutschland ist der Datenschutz durch das Bundesdatenschutzgesetz gesetzlich festgeschrieben und durch zahlreiche weitere Gesetze, zum Beispiel das Telekommunikationsgesetz, Telemediengesetz oder die Sozialgesetzbücher geregelt. Die gesetzlichen Vorschriften gelten selbstverständlich auch für die Verarbeitung von Kundendaten durch Retarus. Als global tätiger Anbieter mit Rechenzentren auf mehreren Kontinenten ist Retarus mit seinen Tochtergesellschaften in der Lage, weltweit Unternehmen die Datenverarbeitung und -speicherung nach den für sie geltenden Bestimmungen vertraglich zuzusichern. Auch über die gesetzlichen Bestimmungen hinaus ist der Schutz vertraulicher Daten eine besondere Verpflichtung für Retarus. So können Kunden vertraglich vereinbaren, in welchen Retarus-Rechenzentren ihre Daten verarbeitet werden. Auf diese Weise wird sichergestellt, dass die Daten europäischer Kunden den Kontinent nicht verlassen, wenn sie dies nicht wünschen.

Retarus unterstützt Unternehmen auch bei der Erfüllung von Compliance-Anforderungen, die sich aus internationalen Regelungen wie GLBA, HIPAA, HITECH, FINRA, PCI DSS, FERPA, FACTA oder der EU Data Protection Directive ergeben. Unter anderem bieten wir Kunden ein domänen- und User-basierendes E-Mail-Routing an. So kann ein international agierender Konzern sicherstellen, dass E-Mails, die aufgrund rechtlicher Regelungen ein Land nicht verlassen dürfen, nicht über Drittländer geleitet werden.

Retarus bietet zudem ein sehr hohes Sicherheitsniveau. Die Datenübermittlung zu den Retarus-Rechenzentren erfolgt optional über verschlüsselte Verbindungen (VPN). Sämtliche kurz-, mittel- oder langfristig gespeicherten Daten werden sicher verschlüsselt (PGP, S/MIME) – auf Wunsch auch mit kundeneigenen Schlüsseln. Damit haben Unternehmen die Möglichkeit, vertrauliche Daten optimal abzusichern. Ein Fremdzugriff, selbst durch Retarus-Mitarbeiter, ist ausgeschlossen.

Die Überwachung der Vorgaben durch einen Datenschutzbeauftragten entsprechend geltendem Datenschutzrecht versteht sich von selbst. Für die Mitgliedschaft von Retarus im Geheimschutzbund des Bundesministeriums für Wirtschaft und Technologie ist ein Sicherheitsbeauftragter im Sinne des SÜG zuständig. So bietet Retarus allen Kunden, Lieferanten und Mitarbeitern die Sicherheit, dass mit ihren vertraulichen Daten sorgsam umgegangen wird.

Offizielle Stellungnahme von Salesforce.com

Nichts ist für Salesforce.com wichtiger als die Privatsphäre und die Sicherheit der Daten unserer Kunden. Wir sind nicht in das PRISM-Programm involviert und wir ermöglichen keinen Regierungen direkten Zugang zu den Servern von Salesforce.“

Sven Denecken, Vice President, Strategy Cloud Solutions, SAP AG

Zunächst ist es für uns wichtig zu betonen, dass das Unternehmen bislang keine entsprechenden Indizien beobachten konnte, denen zufolge das Interesse der Kunden an Geschäftssoftware in der Cloud zurückgeht oder Kunden zögerlich reagieren. Die Nachfrage nach Cloud-Lösungen von SAP steigt weiterhin sehr zügig, da Kunden sehr viele Vorteile für sich sehen, zum Beispiel die schnelle Innovation, die einfache Nutzung sowie gerade die hohen Sicherheitsstandards, die SAP bieten kann.

Die Sicherheitsstandards, die SAP sowohl bei On-Premise- als auch bei Cloud-Software offeriert, gehören zu den höchsten Standards der Branche – und es ist oft mehr als manche Firmen selbst investieren können. SAP bietet eine Vielzahl an technischen Maßnahmen und physischen Sicherheitsvorkehrungen, beispielsweise gegen Angriffe aus dem Internet und versuchten Datendiebstahl. Darüber hinaus setzt SAP auf aktuellste Sicherheitstandards, die wir regelmäßig zertifizieren lassen, um die Daten der Kunden in der Cloud zu schützen und zuverlässige Lösungen anzubieten.

Christina Witt, Pressesprecherin der Strato AG

Die Daten unserer Kunden sind ein wertvolles Gut: Wir gewährleisten ihre Vertraulichkeit, indem alle Daten ausschließlich in deutschen Rechenzentren nach deutschem Datenschutzrecht gespeichert werden. Das deutsche Bundesdatenschutzgesetz ist eines der strengsten im internationalen Vergleich: Erst wenn ein richterlicher Beschluss von deutschen Behörden vorliegt, sind Provider verpflichtet, Daten herauszugeben. Dabei handelt es sich immer um Einzelfälle.

In den USA dagegen ist es einfacher, an Daten zu gelangen: Dort gilt seit 2001 der USA Patriot Act. Es verpflichtet amerikanische Anbieter auch ohne Gerichtsbeschluss dazu, Daten an Geheimdienste zu übermitteln.

Für die Sicherheit beim Datentransport setzt STRATO auf allen Wegen Verschlüsselung ein: Alle Verbindungen können verschlüsselt genutzt werden – beim Online-Speicher HiDrive und bei der E-Mail-Kommunikation. Bei HiDrive geschieht das über die sicheren Varianten der Internetprotokolle, zum Beispiel über HTTPS, SFTP oder verschlüsseltes WebDAV. Bei der E-Mail-Kommunikation ist auch die Verbindung zwischen den Mailservern verschlüsselt, wenn andere involvierte Mailprovider ebenfalls SSL anbieten.

Um eine sichere Übertragung auf allen Wegen zu gewährleisten – auch zwischen den E-Mail-Servern verschiedener Provider – haben die Deutsche Telekom und United Internet gemeinsam die Initiative „E-Mail made in Germany“ gegründet. Es ist geplant, STRATO als Telekom-Tochter in die E-Mail-Allianz einzubinden.

Für die Bedürfnisse der meisten Kunden reicht die von uns aktuell angebotene Verschlüsselung aus. Wer mehr möchte, kann E-Mail-Nachrichten zum Beispiel zusätzlich über PGP verschlüsseln. Gleiches gilt für HiDrive: Wir empfehlen besonders sensible Daten vor dem Hochladen selbst zu verschlüsseln, zum Beispiel über kostenlose Programme wie TrueCrypt.

Mit zahlreichen technischen und organisatorischen Sicherheitsmaßnahmen sorgt STRATO in den Rechenzentren für Datensicherheit: Dazu zählen zum Beispiel Zutritts- und Zugangskontrollsysteme, unterbrechungsfreie Stromversorgungen und umfassende Backup-Systeme. Einmal jährlich wird die Datensicherheit vom TÜV überprüft – nach der internationalen Norm ISO 27001.

Udo Schneider, Senior Manager PR Communications DACH, Trend Micro Deutschland GmbH

Hundertprozentige Sicherheit gegen nicht-autorisiere Zugriffe auf Cloud-Strukturen gibt es heutzutage nicht. Abhängig von der Art des Angreifers bzw. des Aufwandes, den dieser bereit ist zu treiben, ist der Erfolg eine Frage der Zeit. Das Ziel bei der sicheren Nutzung von Cloud-Diensten liegt also darin, den Aufwand zum Erlangen des Zugriffs so weit zu erhöhen, dass es (wirtschaftlich) keinen Sinn mehr macht. Dieser Sicherheitsansatz impliziert jedoch auch zwei grundlegende Schlussfolgerungen:

Es gibt Informationen/Prozesse, die nicht in die Cloud wandern werden, da der zur ihrem Schutz notwendige Aufwand zu groß ist. Vor dem Hintergrund, dass es Angreifer gibt, die ihr Ziel von wirtschaftlichen Interessen losgelöst betrachten (»unbegrenztes« Budget),

ist das nicht-Nutzen von Cloud Diensten manchmal die einzig sinnvolle Entscheidung.

Für andere Informationen ist die Nutzung von Cloud Diensten eine wirtschaftliche Frage: Die zum Schutz notwendigen Aufwendungen in müssen in die Wirtschaftlichkeitsbetrachtungen eingebunden werden! Als Leitlinie hat sich bewährt, davon auszugehen, dass die Workloads sich in „feindlichen Territorium“ befinden und dementsprechend selber für ihre Sicherheit sorgen müssen.

Dies umfasst z.B. die Sicherung der Workloads »aus sich selbst« (Firewall, (Virtual-)Patching, Antivirus …) heraus oder die Verschlüsselung der Daten mit einer zur Cloud disjunkten Schlüsselverwaltung. Die von einem Cloud Provider bereitgestellten Sicherheitsmechanismen sollte man natürlich nicht ignorieren; die Kombination eigener Mechanismen mit den vom Provider bereitgestellten erhöht grundsätzlich das Sicherheitsniveau. Die ausschließliche Nutzung dieser Provider Mechanismen ist jedoch nicht ratsam. Ein Silberstreif am Horizont stellt die sogenannte homopmorphe Verschlüsselung dar. Diese erlaubt es, verschlüsselte Daten zu bearbeiten, dass diese auch entschlüsselt wieder einen Sinn ergeben. Im Cloud Context kann ein Kunde also verschlüsselte Daten an einen Provider senden. Dieser bearbeitet die verschlüsselten Daten und sendet das ebenfalls verschlüsselte Ergebnis an den Kunden, der dieses wieder entschlüsselt..

Torsten Jüngling, Country Manager der Stonesoft Germany, A McAfee Company

Bei Cloud Services hängt das Sicherheitsrisiko von mehreren Faktoren ab: Je sensibler die Daten sind, die in die Cloud ausgelagert werden sollen, desto wichtiger ist es, einen glaubwürdigen Cloud Provider sowie ein sicheres Cloud-Modell auszuwählen. Denn wenn sich beispielsweise geschäftskritische Daten in einer Public Cloud befinden, besteht ein sehr hohes Sicherheitsrisiko. Die Lokalisierung dieser sensiblen Informationen ist für den Dateneigentümer in der Public Cloud nicht mehr möglich, außerdem ist die Absicherung des Cloud-Zugriffs sehr schwierig. Ähnliches gilt für die Hybrid Cloud, in der immer noch ein Großteil der Daten in der Public Cloud liegt und für Dritte somit verhältnismäßig leicht zugänglich ist.

Die Private Cloud bietet im Gegensatz dazu bereits einen weitaus besseren Schutz – natürlich immer in Abhängigkeit vom jeweiligen Cloud Provider. Hier lagern die Daten zwar nach wie vor bei einem externen Anbieter, dieser hat jedoch lediglich in verschlüsselter Form Zugriff auf die Daten. Nur das Unternehmen beziehungsweise der Dateneigentümer selbst kann auf die Daten im unverschlüsselten Zustand zugreifen. Allerdings ist auch bei der Private Cloud Vorsicht geboten: Zwar werden die Dateninhalte hier verschlüsselt, die Datensätze sind jedoch immer noch vorhanden und können jederzeit von Organisationen wie dem NSA eingefordert und ausgelesen werden. Wie wir schon bei PRISM gesehen haben, spielen die Inhalte selbst für solche Organisationen jedoch nur eine untergeordnete Rolle. Im Mittelpunkt ihres Interesses stehen vor allem übergeordnete Kommunikationsstrukturen wie etwa Verbindungsdaten.

Um sich vor einem Datendiebstahl in der Cloud zu schützen, sollten Unternehmen grundsätzlich auf eine moderne Sicherheitslösung setzen, bei der beispielsweise ein Authentifizierungsserver für eine strenge Reglementierung des Cloud-Zugangs sowie ein Virtual Private Network (VPN) für eine sichere Transportverschlüsselung sorgt. Zudem empfiehlt sich ein zentrales Management-System, das es dem Administrator ermöglicht, sich schnell einen Überblick über die Gesamtsituation zu verschaffen – was beispielsweise beim Umgang mit Sicherheitsvorfällen sehr hilfreich ist.

Hagen Rickmann, Geschäftsführer T-Systems und verantwortlich für den Vertrieb

Nicht erst seit der aktuellen Datenspähaffäre fragen unsere Kunden gezielt nach sicheren Lösungen aus der deutschen Cloud. Wenn es um den Schutz vor Industriespionage und Cyberkriminalität geht, wissen sie, dass wir in Deutschland besonders strengen Regeln unterliegen, um Daten sicher zu handhaben. Und selbstverständlich gewähren die Deutsche Telekom und T-Systems ausländischen Diensten keinen Zugriff auf Daten sowie Telekommunikations- und Internetverkehre in Deutschland.

Um „Cloud made in Germany“ zu gewährleisten, stellen die Telekom und T-Systems höchste Sicherheits- und Leistungsanforderungen bereits bei der Produktentwicklung. Wir betreiben hochsichere, zertifizierte Rechenzentren. Zudem können wir die Daten redundant, also an zwei voneinander unabhängigen Standorten speichern. Die Anbindung erfolgt über Leitungen, die vom öffentlichen Internet abgeschottet sind. Kritische Daten werden zusätzlich über die Telekom-Netze verschlüsselt. Dabei gehen wir sogar so weit, dass der Schlüssel auf Kundenwunsch ausschließlich beim Kunden bleibt. Auch Telekom-Mitarbeiter haben dann keinen Zugriff auf die Daten. Die aktuelle Sicherheitslage im Netz haben wir dabei immer im Blick: Transparenz schafft ein Honeypot-System mit weltweit mehr als 90 Sensoren. Wir verzeichnen täglich bis zu 450.000 Angriffe auf die Locksysteme – mit steigender Tendenz. Da das Sicherheitsniveau immer auch eine Frage der Kosten ist, beraten wir unsere Kunden bei der Wahl der Schutzmaßnahmen. Nicht alle Daten müssen hochgesichert sein. 100-prozentige Sicherheit gibt es nicht, aber wir können höchstmöglichen Standard bieten.

Darüber hinaus setzen wir branchenübergreifend neue Impulse für eine vernetzte digitale Gefahrenabwehr. Als Vorreiter in der deutschen Wirtschaft veranstaltet die Deutsche Telekom in diesem Jahr gemeinsam mit der Münchner Sicherheitskonferenz den IT-Sicherheitsgipfel. Wir sehen Sicherheit als gemeinschaftliche Aufgabe. Deshalb diskutieren zum zweiten Mal in Folge Top-Manager deutscher Konzerne und Spitzenpolitiker am 11. November 2013 in Bonn die Gefährdungslage für Wirtschaft, Politik und Gesellschaft.