Cloud-Dienste und Sicherheitsrisiken
Cloud-Dienste werden für die meisten von Ihnen wohl kein fremder Begriff sein. Sie dienen etwa der Datenspeicherung und -sicherung, lassen sich aber auch beim Spielen oder Streamen von Inhalten nutzen. Cloud-Dienste nutzen nicht nur Einzelne, sondern auch viele Firmen, Unternehmer und Institutionen. Neben den unbestreitbaren Vorteilen bringen Cloud-Dienste jedoch auch ein gewisses potenzielles Sicherheitsrisiko mit sich.
Daten in den Wolken — und in den Händen des Anbieters
Bei der Datenspeicherung in der Cloud kommt es — sehr vereinfacht gesagt — zu deren Übergabe in die Hände des Anbieters des entsprechenden Internet-Dienstes. Stellen Sie sich etwa vor, Sie geben Ihr Geld einem Freund in Verwahrung und wollen es hier jederzeit verfügbar haben. Ein solcher Freund muss nicht nur zuverlässig, sondern auch entsprechend vorsichtig sein, damit niemand Ihr Geld stehlen kann. Dasselbe gilt bei der Bereitstellung von Cloud-Diensten — also der Speicherung von Inhalten im Internet. Das Nationale Amt für Cyber- und Informationssicherheit (NÚKIB) veröffentlichte Ende letzten Jahres eine strategische Analyse mit einer Bewertung der Aspekte der Nutzung von Cloud-Diensten bei uns.
Pandemie als Weg zum Cloud-Computing
Es ist keine Neuigkeit, dass die Corona-Pandemie das Ausmaß und die Art, wie die Menschheit Technologie und Internet nutzt, deutlich verändert hat. Mit dem erzwungenen Übergang zum Homeoffice, der an vielen Orten vor zwei Jahren stattfand, begannen Einzelne und Firmen auch reichlich Cloud-Computing zu nutzen — also einen Dienst, der den Selbstbedienungszugang zu Rechenressourcen ermöglicht. Im Rahmen der Cloud wurde oft etwa mit Dokumenten, aber auch Medien-Inhalten und weiteren Datentypen einschließlich Spielen gearbeitet. Dank der Tatsache, dass die Daten in der sogenannten Cloud gespeichert waren, wurden keine Anforderungen an Hardware oder Kapazität des Festspeichers irgendeiner der beteiligten Seiten gestellt.
Das NÚKIB teilt in seinem Bericht die Cloud-Dienst-Modelle in vier Hauptkategorien ein: öffentliche, bei denen es zur gemeinsamen Datennutzung und zum Angebot von Diensten für die breite Öffentlichkeit kommt; private, bei denen entsprechende Dienste im Rahmen eines privaten internen Netzes angeboten werden; hybride, bei denen die zwei vorhergehenden genannten Arten der Datennutzung und Dienstebereitstellung kombiniert werden; und Community-Modelle, bei denen nur ausgewählte Organisationen Daten miteinander teilen.
Sicherheit als Herausforderung
Nicht nur im Kontext der zunehmenden Häufigkeit von Cyberangriffen ist Sicherheit im Falle von Cloud-Diensten enorm wichtig und bildet unter anderem auch einen Schlüsselbestandteil der Visitenkarte der Anbieter dieser Dienste. Die Datensicherung in Cloud-Diensten ist eine komplexe und komplizierte Angelegenheit, die mehrfache Verschlüsselung, die Nutzung mehrerer voneinander unabhängiger Rechenzentren bei der Sicherung und weitere ähnliche Schritte umfasst. Auf den ersten Blick könnte es scheinen, dass die Nutzung von Cloud-Diensten stets und unter allen Umständen ein eindeutig vorteilhafter Schritt ist, der vielen Firmen und Institutionen Kosten spart, verbunden mit der Anschaffung von Hardware oder Datensicherung auf Firmenebene (die selbstverständlich in gewissem Maß unerlässlich ist, unabhängig davon, ob das jeweilige Subjekt Cloud-Computing nutzt).
Das NÚKIB weist in seinem Bericht jedoch darauf hin, dass vor der Nutzung von Cloud-Diensten eine gründliche und bewusste Recherche ihres Anbieters nötig ist. „Durch die Nutzung von Cloud-Diensten gibt der Nutzer automatisch einen Teil der Kontrolle über seine Daten ab," schreibt das NÚKIB im Zusammenhang damit, dass stets gründlich überprüft werden muss, in welcher Lokalität die Daten physisch gespeichert sind — und das mit Rücksicht auf die Rechtsordnungen einzelner Staaten. Zu berücksichtigen ist auch, dass Cloud-Speicher oft von ausländischen Unternehmen verwaltet werden. Alle diese Faktoren spielen nämlich eine Schlüsselrolle dabei, auf welche Weise, von wem und auf Grundlage welcher Rechtsvorschriften mit den genannten Daten verfahren werden kann.
Spezifika der Cloud-Dienst-Nutzung in der ČR
Das NÚKIB erwähnt in seinem Bericht, dass wir auch bei uns einen wachsenden Trend im Bereich der Cloud-Dienst-Nutzung beobachten können — sowohl auf Seite privater Subjekte als auch der Behörden der öffentlichen Gewalt. Bei uns unterliegt die Nutzung von Cloud-Diensten derzeit jedoch keiner besonders umfangreichen Regulierung und damit auch keinen speziellen Kontrollprozessen, was die Daten und Unternehmen, die diese Daten in der Cloud speichern, zahlreichen Risiken aussetzt. „Insbesondere das Risiko des Verlusts des Zugangs zu Daten oder deren Verarbeitung außerhalb des EU-Gebiets ist so bedeutend, dass es nicht außer Acht gelassen werden sollte," heißt es im zugehörigen Bericht. Eine weitere Komplikation ist die Tatsache, dass in vielen Fällen Cloud-Dienst-Anbieter ihre Dienste über ein Netz von Wiederverkäufern verkaufen.
Firmen und Institutionen, die die Nutzung von Cloud-Diensten erwägen, empfiehlt das NÚKIB nachdrücklich die Bewertung mehrerer Fragen im Rahmen der Internet-Sicherheit. Es ist nötig zu ermitteln, in welchen Jurisdiktionen die Daten — sei es kurz- oder langfristig — gespeichert sein werden. Also das Rechtsregime des jeweiligen Landes zu analysieren und zu bewerten — einschließlich dessen, ob auf die Daten die Datenschutzregulierung anwendbar ist. Weiter ist es nötig, die Frage zu beantworten, wie lange die jeweilige Organisation den Cloud-Speicher nutzen will, in welchem Maß und zu welchen Zwecken.
Eine Reihe von Unklarheiten, die mit der Nutzung von Cloud-Diensten verbunden sind, könnte eine Verordnung über die Sicherheitsregeln für die Nutzung von Cloud-Computing-Diensten durch Behörden der öffentlichen Gewalt lösen, die bereits im ersten Quartal 2023 in Kraft treten könnte.
Lesen Sie weiter den Artikel Bluetooth-5.0-Protokoll — was es kann und wie man seine Vorteile nutzt oder schauen Sie sich die neuesten Artikel an.
Aktualisierung 15.4.2024