Was der CFO unbedingt über die Cloud wissen muss

Datenschutz und Cloudnutzung im Unternehmen

Was der CFO über die Cloud wissen muss

Finanzdaten in der Cloud? Einige rollen die Augen, andere strahlen. Welche Vorteile überwiegen? Der Beitrag von Daleth-Datenschutz zeigt, welche Cloud-Lösungen es gibt und listet die Vor- und Nachteile der Cloud. Weiter wird eine Entscheidungshilfe dazu gezeigt, ob interne oder externe Lösungen sicherer sind. Zur Prüfung von Angeboten und Dienstleistungen wird ein Kriterienkatalog vorgestellt, eine umfangreiche Linksammlung rundet den Beitrag ab.

Welche Cloud-Lösungen sind etabliert?

Mit Cloud-Lösungen sind sehr unterschiedliche Anwendungsfälle gemeint. Allen Anwendungen ist gemeinsam, dass spezialisierte Bereiche außerhalb des eigenen Firmennetzwerkes genutzt werden. Der Lösungsanbieter stellt nicht nur die Funktion selbst zur Verfügung, sondern auch die gesamte erforderliche Infrastruktur. Daneben kümmert sich der Anbieter zusätzlich um Administration, Updates, Verfügbarkeit, Backups. Zusammengefasst lassen sich folgende Lösungen unterscheiden

  • Speicherlösungen mit erweiterten Funktionen wie Backup, Versionierung, Zugriff für Mitarbeitende
  • Bausteine für Anwendungen, sogenannte Frameworks, die Funktionen für bestimmte Einsatzzwecke bereitstellen und mit denen sich weitere Anwendungen erstellen lassen
  • Anwendungen für bestimmte Einsatzfälle wie Finanzbuchhaltung, Kommunikationslösungen
  • Systeme, die Infrastruktur wie Server, Router usw. zur Verfügung stellen.

Was sind die Vorteile von Cloud-Lösungen?

Es gibt etliche Argumente für den Einsatz von Cloud-Lösungen.

  • Mit den regelmäßigen Zahlungen sind alle Leistungen abgegolten. Es entstehen keine weiteren Kosten für Hardware, Software oder
    Mitarbeitende.
  • Der Zugriff auf die Systeme einer Cloud-Lösung erfolgt ortsunabhängig.
  • Es entsteht kein Investitionsaufwand. Der Einsatz einer Cloud-Lösung ist kaufmännisch betrachtet eine Dienstleistung.
  • Die verwendete Software ist immer aktuell. Für die Aktualisierung entstehen – kaum – zusätzliche Ausfallzeiten. Gerade in Bereichen mit sich ständig ändernder Gesetzeslage ist das ein Vorteil.
  • Für Neu- oder Ersatzinvestitionen entsteht kein Aufwand für den Ausschreibungsprozess. Außerdem sind die Lösungen schnell auf geänderte Anforderungen anpassbar.

Welche Nachteile hat eine Cloud-Lösung?

Gleichzeitig sind folgende Punkte erkennbar, die gegen den Einsatz von Cloud-Diensten sprechen

  • Es ist ein Internetzugang erforderlich, um Cloud-Dienste nutzen zu
    können.
  • Der Funktionsumfang lässt sich nicht beliebig erweitern, sondern ist vorgegeben. Mit Geld lässt sich hier sicher Einiges realisieren, aber die Nutzung einer Cloud soll ja nun gerade Geld einsparen.
  • Da sich der Funktionsumfang nun nicht beliebig erweitern lässt, muss vor Nutzungsbeginn der Cloud-Lösung geklärt werden, ob die im
    Unternehmen etablierten Prozesse mit den vom Cloud-Anbieter angebotenen Funktionen abgedeckt werden können. Wenn die Abdeckung nicht zu 100 % erfolgen kann, müssen die wesentlichen Funktionen umgesetzt werden können. Für die bleibenden Unternehmensprozesse, die nicht realisiert werden können, sind lokale Abläufe zu etablieren oder die Prozesse müssen so umgestaltet werden, dass sie mit den vorhandenen Funktionen der Cloud-Lösung verwendbar werden.
  • Der Wechsel zu einem anderen Cloud-Anbieter ist meist mit großem Aufwand verbunden.
  • Mit der Cloud-Lösung werden Daten erhoben, verarbeitet und genutzt – im weiteren verwendet -, die das Firmennetzwerk verlassen. Mit dem Cloud-Anbieter ist ein entsprechender Vertrag abzuschließen.
  • Die Nutzungsgeschwindigkeit ist niedriger als die im Firmennetz.

Der letzte Punkt ist für viele Unternehmen ein KO-Kriterium, so dass sie sich regelmäßig gegen den Einsatz von Cloud-Lösungen entscheiden. Dazu gehören Banken und Versicherungen. Auch Telekommunikationsanbieter und Logistikunternehmen oder Handelsunternehmen gehören dazu.

Wie sicher sind Daten außerhalb des Firmennetzes?

Sicher ist dabei nur, dass Daten nirgends sicher sind. Weder innerhalb des Firmennetzes noch außerhalb. Hat ein potenzieller Angreifer die Fährte aufgenommen, ist es nur eine Frage des Aufwands, ob ein Angriff lohnt oder nicht. Auch umgekehrt müssen Aufwand und Nutzen für die Absicherung von Daten in einem ausgewogenen Verhältnis stehen. Wer sich für die interne Datenhaltung entscheidet, hat Kosten für die Aktualisierung und Vorhaltung von Hard- und Software, für die Schulung der Mitarbeitenden und Ausfallzeiten für die Aktualisierung in Kauf zu nehmen. Wer Daten außerhalb speichert, hat das Risiko zu akzeptieren, dass Daten vom Cloud-Anbieter selbst ausgespäht werden.

Dabei hilft es wenig, wenn die Daten innerhalb der Cloud hochgradig gesichert sind, wenn die Daten auf den Endgeräten nicht gesichert werden. Das Bundesamt für Sicherheit in der Informationstechnik (BSI) hat für diesen Basisschutz Richtlinien erarbeitet. Sie umfassen

  • Einstellungen für sichere Personalcomputer
  • Sichere Einstellungen
  • Sichere Verwendung der Technik
  • Veröffentlichte Daten
  • Individuelle Einstellungen
  • Erste Hilfe bei Notfällen
  • Schutzmaßnahmen

Cloud-Anbieter behalten sich oft das Recht vor, überlassene Daten dahingehend zu prüfen, ob sie gesetzlichen Regelungen entsprechen. Dabei
werden natürlich immer auch harmlose Daten – also Ihre Daten – gelesen  und geprüft. Aus meiner Sicht gehört großes Vertrauen zu einem Cloud-Anbieter, dass die dabei gewonnen Informationen nicht in falsche Hände gelangen. Die Tatsache, dass staatliche Stellen Daten lesen, sei es inner- oder außerhalb des eigenen Netzes – lasse ich dabei außen vor. Daraus ergibt sich aber nicht, dass ich dieses Vorgehen billige.

In Sicherheitshinsicht ist das Firmennetz sicherer, denn die Daten müssen das Netzwerk nicht verlassen. Dabei ist eine wesentliche Voraussetzung, dass die Sicherheitsvorkehrungen im Firmennetzwerk dem Stand der Technik entsprechen.

Welche Punkte sind für die Datenspeicherung in einer Cloud-Lösung zu beachten?

Für die umfassende Beurteilung einer Cloud-Lösung halte ich folgende Kriterien aus Sicht des Datenschutzes für wesentlich

  • Sind die Daten beim Cloud-Anbieter sicherer als im lokalen Netzwerk gespeichert?
  • Wurden einzelvertragliche Regelungen mit dem Cloud-Anbieter getroffen? Wurde eine Vereinbarung zur Auftragsdatenverarbeitung getroffen?
  • Garantiert der Cloud-Anbieter, die überlassenen Daten nicht selbst zu nutzen?
  • Kann der Anbieter gewährleisten, dass die technisch-organisatorischen Maßnahmen für den Datenschutz  gemäß Anlage 1 zu § 9 Bundesdatenschutzgesetz in seinem Haus umgesetzt sind?
  • Lässt der Anbieter eine dahingehende Überprüfung zu?
  • Wo hat der Cloud-Anbieter seinen Sitz? Welches Rechtssystem gilt dort?
  • Sind die Daten bei Übertragung und Speicherung ausreichend verschlüsselt?
  • Können alle Hardwareplattformen im Unternehmen auf die Cloud-Lösung zugreifen?
  • Sind Regelungen im Unternehmen vorhanden, die beschreiben, welche Daten in Cloud-Lösungen gespeichert werden dürfen?
  • Können die Daten auch außerhalb der Cloud gesichert werden? Werden sie auch gesichert?
  • Was geschieht mit den Daten nach Vertragsende beim Cloud-Anbieter?
  • Wurden alle Endgeräte mit einem zuverlässigen Basisschutz versehen?

Quellenangaben

BITKOM
BITKOM-Checkliste zur Vertragsgestaltung im Cloud Computing
BIZZWIRE
Datensicherheit und Datenschutz in der Cloud
BSI-A
Basisschutz
BSI-B
In
die Cloud – aber sicher
CEBIS
Cloud Computing für Unternehmen: Wirtschaftlichkeit contra Sicherheit
CIO-A
Bedenken gegen Workplace aus der Cloud
CIO-B
Unbegrenzte Möglichkeiten in der Cloud – und trotzdem sicher?
CIO-C
Was ist was bei der Cloud-Zertifizierung?
CLOUD COMPUTING BLOG
Vor- und Nachteile der Cloud
COMPUTERWOCHE
Cloud-Checklisten für den CIO
GERLACH
Cloud News
IP-INSIDER
Infrastructure-as-a-Service – die Königsklasse des Cloud Computings
TECCHANNEL, IT im Mittelstand
Sieben Tipps für Ihren sicheren Weg in die Cloud
SECURITY INSIDER
Risiken des Cloud Computing mit detaillierter Checkliste umgehen
SELBSTÄNDIG IM NETZ
Risiken in der Cloud – Pro und Contra von Online-Services für Selbständige
WIRTSCHAFTSWOCHE
Stiftung WarentestCloud-Dienste fallen bei Sicherheitstest durch

Foto: © cking – Flickr (CC BY SA 2.0)

Obama panel supports warrant requirement for e-mail, cloud content

Eine Arbeitsgruppe des Weißen Hauses schlägt vor, Daten aus Cloud-Speichern und Email verfassungsmäßig zu schützen. Der Schutz, so ist zu vermuten, wird nur auf US-Bürger angewendet. Wenn der Vorschlag überhaupt den Kongrss in Washington passiert, denn dort gibt es starke Vorbehalte. Abgeordnete schlagen eine „Verjährungsfrist“ von 180 Tagen vor, danach soll der Inhalt nicht mehr schutzwürdig sein.

Kommentar des Datenschutzbeauftragten

Gleichwohl zeigt dieser Vorschlag, dass zwischen Abschluss eines No-Spy-Abkommens und Totalüberwachung à la NSA, GHCQ etc. auch Grautöne existieren.

Zum Artikel: ArsTechnica


Foto: © stokkete- Fotolia.com

4 Tipps für datenschutzgerechtere Cloud-TK-Anlagen

Wenn Telefonanlagen in die Cloud verlagert werden, sind ein paar Punkte mehr zu beachten. Dazu gehören Ausfallsicherheit und Datenschutz. Dieser Beitrag stellt die wesentlichen Aspekte der Sicherheit von Cloud-TK-Anlagen dar und gibt praktische Hinweise zur Einhaltung von Datenschutz und Datensicherheit.

Telefonieren ist einfach

Ich habe mir immer gewünscht, dass mein Computer so leicht zu bedienen ist wie mein Telefon; mein Wunsch ging in Erfüllung: Mein Telefon kann ich jetzt auch nicht mehr bedienen.
Bjarne Stroustrup, Erfinder von C++

Für Menschen vor dem Telefon besteht Telefonieren aus 4 fundamentalen
Schritten.

  • Hörer abnehmen
  • Nummer wählen
  • Sprechen
  • Auflegen

Doch bevor es auf der anderen Seite klingelt, sind einige Systeme, Prozesse und Komponenten beschäftigt. Schauen wir auf den Ablauf aus Sicht der anrufenden Person.

  • Anrufende Person
  • Telefon Ursprung
  • Vermittlungssttelle Ursprung
  • Vermittlungsstelle Ziel
  • Telefon Ziel
  • Angerufene Person

Prinzip eines Telefonat 

Abbildung 1 – Grobübersicht beteiligter Systeme beim Telefonieren

Welche Daten entstehen beim Telefonieren?

Dieser Ablauf beim Telefonieren gibt schon die Antwort auf die Frage vor, welche Daten beim Telefonieren generell anfallen.

  • Ursprungsrufnummer
  • Datum und Uhrzeit des Gesprächsbeginns
  • Zielrufnummer
  • Datum und Uhrzeit des Gesprächsendes

Diese Daten entstehen zu jedem Telefonanruf, ob bewusst oder nicht, ob Festnetzanschluss, Mobilfunkanschluss oder VoIP-Telefon. Anders sieht es aus, wenn eine Telefonanlage (TKA) im Einsatz ist.

Daten in der Telefonanlage

In der Telefonanlage sind weitere Daten gespeicert:

  • Art der Nebenstelle: Normaler Anschluss, Chef-Sekretärin-Anschluss
  • Verarbeitete Medien der Nebenstelle: Sprache, Video, SMS, Email
  • Zugehörigkeit zu Anrufübernahmegruppen
  • Zeitpunkt eines Statuswechsels
  • Zugehörigkeit zu organisatorischen Einheiten des Unternehmens
  • Name der Person an der Nebenstelle
  • Emailadresse der Person
  • Anschlussnummer der Voicebox
  • PIN zum Entsperren der Nebenstelle
  • PIN zum Zugang zu einem Voicemailsystem

Diese Informationen sind bei einer „normalen“ Telefonanlage in Systemen gespeichert, die meist nicht oder in nur sehr begrenztem Umfang von Computern nutzbar sind. Anders sieht es aus, wenn eine
Telefonanlage auf einen Computer „verpflanzt“ wird und erst recht, wenn diese Telefonanlage ins Netz wandert. Dann nämlich liegen beide Datenarten auf einem Server, der rund um die Uhr verfügbar ist. Sowohl die Konfigurationsdaten als auch die Gesprächsmetadaten sind nun nutzbar. Zu den
Nutzern gehören zum einen die Nutzer, die sich zunächst autorisieren müssen, um die Dienste zu nutzen. Zum andern können auch ungebetene Gäste dazu gehören.

In den Konfigurationsdaten sind bereits personenbezogene Daten wie Namen, Emailadresse enthalten. Im Firmenadressbuch, das mit dem Adressbuch der Telefonanlage in Verbindung steht oder abgeglichen wird, sind nicht nur personenbezogene Daten, sondern möglicherweise auch Daten enthalten, die als Firmenwissen zu betrachten sind und nicht jeder Person zugänglich sein sollten. Kontaktdaten von Schlüsselkunden oder Schlüssellieferanten gehören dazu. Es muss somit genau überlegt werden, ob eine Telefonanlage in der Cloud mehr nützt oder mehr schadet.

Datenschutz einer Telefon-Anlage in der Cloud

Verfügbarkeit der Anlage

Herkömmliche Telefonanlagen sind über Primärmultiplexanschlüsse an das öffentliche Telefonnetz angeschlossen. Unternehmen, bei denen telefonische Erreichbarkeit eine große Rolle spielt, haben mehrere davon, die zu mehreren Telefonanlagen führen. Ist die Abhängigkeit vom Telefonnetz besonders groß, werden auch unterschiedliche Telefongesellschaften und Kabelwege gewählt.

Eine Cloud-Lösung hat von Haus aus eine größere Verfügbarkeit. Nun wird die Verbindung in die Cloud noch wichtiger, weil sowohl Daten als auch Sprache über eine einzige Leitung laufen. Je nachdem, wie unternehmenskritisch die Telefonanlage ist, sollte ein zweiter Anschluss – evtl. bei einem weiteren Provider – geschaltet werden.

Datenspeicherung der Konfiguration

Die Konfigurationsdaten der Anlage müssen gesichert werden. Das wird der Anbieter sicher aus reinem Eigeninteresse sicher vornehmen, besser ist es, man fragt nach. Und am besten fragen Sie auch, wo die Daten gespeichert werden, es wäre fatal, wenn die Daten im Ausland lagern und Ihre Datenschutzregeln dort nicht greifen. Noch besser wäre es, wenn der TKA-Anbieter auch einen Vertrag mit dem Speicherer hat.

Gespeicherte Daten müssen verschlüsselt abgelegt werden.

Die Übertragung der Daten zur Cloud-Telefonanlage muss gesichert sein. Der autorisierte Personenkreis muss definiert und verpflichtet werden.

Speicherung von Gesprächsdaten und Telefonbüchern

Gesprächsdaten wie oben beschrieben entstehen nicht nur bei jedem erfolgreichen Telefonat, sondern auch bei jedem Anrufversuch eingehender oder ausgehender Gespräche. Machen Sie sich bewusst:

Wer hat Zugriff auf die Gesprächsdaten?

Zwar zeigt Ihr Telefon nur das Anrufprotokoll Ihres Anschlusses an, aber die Anlage speichert jedes Telefonat aller Nebenstellen. Das Telefon dient ausschließlich zur Anzeige, physisch liegt das Protokoll Servern in der Cloud. Damit sind die Daten von jedem Ort der Welt einsehbar.

Wie sieht das Zugriffskonzept für Verbindungsdaten aus?

Wie wird der Einzelverbindungsnachweis bereitgestellt?

Gibt es Vorkehrungen Privatgespräche so einzuleiten, dass die gewählten Nummern auf dem Gesprächsnachweis verkürzt dargestellt werden?

Zu den Gesprächsdaten gehört auch der Status der einzelnen Telefone. Für Vermittlungsplätze gehört es zur täglichen Aufgabe zu wissen, wer gerade im Haus und erreichbar ist und wer nicht. Alle anderen Mitarbeiter müssen das nicht wissen. Die Daten aus der Telefonanlage könnten zur Verhaltnes- oder Leistungskontrolle genutzt werden, was aus Sicht des Datenschutzes abzulehnen
ist, weil es in das Persönlichkeitsrecht der Arbeitnehmer eingreift. Aus diesen Daten lassen sich leicht Bewertungen der einzelnen Mitarbeiter erstellen. Wer hat wann telefoniert, wie lange? Der Personenkreis mit Zugriff auf diesen Dienst muss fest umrissen werden.

Telefonbüchern sind nun nicht mehr auf einer technisch isolierten TK-Anlage, sondern auf einem Server im Internet. Wer in Ihrem Unternehmen darf darauf zugreifen? Wer darf ändern, lesen und vor allem auch: Wer darf es nicht? Ist der Speicherort genügend gegen Zugang von außen abgesichert.

Manche Systeme bieten eine Blacklist an, diese beinhaltet Telefonnummern von Anrufern, die gar nicht oder nur für eine bestimmte Zeit nicht durchgestellt werden. Auch diese Liste sollte nicht von
jedem Mitarbeiter eingesehen werden können. Es reicht, wenn einige – vielleicht sogar nach dem Vier-Augen-Prinzip – Zugriff auf diese Sperrliste haben, die von diesem Personenkreis gepflegt wird, die von der TK-Anlage dann technisch genutzt wird.

Übrigens: Nicht alle Konkurrenten haben die umfangreichen Möglichkeiten aufgerüsteter staatlicher Dienste. Es lohnt sich auf jeden Fall über zusätzliche Schutzmaßnahmen bei Dateien nachzudenken, seien es nun Verbindungsdaten, Konfigurationsdaten oder Telefonbücher.

Tipp des Datenschutzbeauftragten

Vertraulichkeit der Gespräche

VoIP-Telefonate können sehr viel einfacher angezapft werden als herkömmliche Telefonate. Das ist die schlechte Nachricht. Die gute Nachricht ist, dass sie auch viel einfacher zu sichern sind. Deshalb helfen folgende Fragen weiter.

Welchen Schutz bietet die Anlage vor Vertraulichkeit der Kommunikation?

Können einzelne oder sogar alle Telefonate verschlüsselt werden?

Welche Zusatzausrüstung ist dazu erforderlich?


Links

Fotos

  • Wikimedia, A1 Telekom Austria, cc-by-sa-3.0-at
  • Diethelm Dahms, Alle Rechte vorbehalten

Aber bitte mit Datenschutz – Cloud-Computing in Deutschland Checkliste

Cloud-Computing ist mehr als Dateiablage. In der Wolke sind heute auch Datenbanken und Applikationen zu Hause. Der Vorteil liegt auf der Hand. Alle Unternehmensstandorte können unmittelbar auf die Lösungen zugreifen. Service Level Agreements sichern die Verfügbarkeit vertraglich ab. Der Nachteil ist Cloud-Lösungen liegen zentral und sind angreifbar. Angreifbar ist auch die Unternehmens-IT. Eine klassische Make-Or-Buy-Entscheidung. CIO zeigt die aktuelle Marktsituation und die Meinungen der Analysten und der Evangelisten.

Tipp des Datenschutzbeauftragten

Wer personenbezogene Daten erhebt, verarbeitet oder nutzt, ist für diese Daten verantwortlich. So beschreibt es das Bundesdatenschutzgesetz (BDSG). Diese Verantwortung endet nicht am Übergabepunkt zum Internet. Schauen Sie den Cloud-Anbietern genau auf die Finger. Klären Sie,

  • wo genau die Daten liegen,
  • wer darauf Zugriff hat,
  • wo das Backup liegt
  • welche Verträge zu schließen sind, damit die personenbezogenen Daten nicht im luftleeren Raum bleiben.

Reblog von: Deutsche Cloud-Anbieter punkten mit Datenschutz


Foto: Flickr, cking (CC BY SA 2.0)

Cloud vs NAS

Sollen die Daten in der Cloud liegen oder soll eine Festplatte im Netzwerk die Firmendaten speichern?
Dieser Frage geht Paul Niemeyer in Cloud Storage Reviews nach. Dazu vergleicht er die Kosten für Anschaffung eines NAS-Gerätes mit doppelten Festplatten und die Stromkosten dazu mit einem Cloud-System.

Tipp des Datenschutzbeauftragten

Clouddienste haben Vorteile beim Verteilen von Daten. Im B2B-Bereich kann das problematisch sein. Anderseits bringen Cloud-Dienste Merkmale, die bei einem lokalen NAS erst umständlich eingebaut werden müssen. Der Vergleich von Betriebskosten hilft wenig, ist aber schon ein guter Hinweis.

Reblog von: Cloud Storage or NAS?


Foto: © stokkete- Fotolia.com

Cloud-Speicher im Vergleich

Cloudsider bietet einen umfassenden Überblick verfügbarer Speicher in der Cloud und berücksichtigt dabei private, geschäftliche oder kostenlose Angebote. Die Suche ist etwas schwierig, dafür ist der Überblick sehr umfassend.

Tipp des Datenschutzbeauftragten

  • Ermitteln Sie den Schutzbedarf
  • Ermitteln Sie das Speichervolumen
  • Berechnen Sie die Kosten einer internen Lösung
  • Ermitteln Sie die Risiken einer internen Lösung
  • Treffen Sie die Entscheidung für interne oder externe Datenspeicherung

Zur Webseite: CloudSider, Cloudspeicher


Foto: Flickr, cking (CC BY SA 2.0)