geschrieben von Matthias Pankert/wg, Vice President Product Management Data Protection bei Sophos am 17.02.2012

Die meisten Anbieter von Cloud Storage versprechen Sicherheit, indem sie Kundendaten und die Verbindungen verschlüsseln. Dies ist jedoch eine Sicherheit unter Auflagen, denn die Schlüssel zu den Daten behalten sie weiterhin. Nur so konnte es geschehen, dass bei einem Anbieter die Daten aller Kunden nach einem Software-Update versehentlich einige Stunden lang für jeden zugreifbar im Internet standen. Und auch wenn die Anbieter betonen, dass bei ihnen nicht „jeder“ auf die Schlüssel für die Kundendaten zugreifen kann, so ist es nicht auszuschließen, dass zum Beispiel ein frustrierter und vor der Entlassung stehender Mitarbeiter großen Schaden anrichtet, sei es durch Diebstahl oder Weiterleiten von Daten Dritter.

Server-Standort: unwichtig

Heißer als diese Risiken wird die Möglichkeit diskutiert, dass der Cloud-Anbieter staatlichen Stellen – womit vor allem US-Behörden gemeint sind – Zugriff auf die Daten seiner Kunden gewährt, die er jederzeit entschlüsseln kann. Tatsächlich haben viele Cloud-Dienstleister in diesen Punkten unklare Nutzungsbedingungen. Einige Anbieter haben nach öffentlicher Diskussion ihre Nutzungsbedingungen mittlerweile konkretisiert – im Hinblick auf die Vertraulichkeit der Unternehmensdaten aber zum Negativen.

In diesem Kontext wird oft behauptet, dass die Server der Anbieter in Europa und nicht in den USA stehen sollten, damit sie nicht dem US-amerikanischen Recht unterliegen und vor dem Zugriff von US-Behörden geschützt sind. Und tatsächlich dürften die meisten Server-Farmen und Rechenzentren schon aus technischen Gründen in der Nähe ihrer Kunden stehen. In diesen Fällen wird aber oft übersehen, dass der RZ-Standort beinahe unerheblich ist. So hat Gordon Frazer, der Chef von Microsoft in Großbritannien, freimütig eingeräumt, dass sein Unternehmen US-Behörden aufgrund des Patriot Acts den Zugriff auch auf in Europa gespeicherte Daten gewähren müsse – schließlich habe Microsoft seinen Sitz in den USA. Selbst wenn man sich darum bemühe, könne man nicht einmal garantieren, dass das betroffene Unternehmen überhaupt davon erfährt.

Risiko für externe Angriffe steigt

Zudem steigt bei der Nutzung von Cloud Storage das Risiko externer Angriffe. Zwar sind Daten in der Wolke nicht prinzipiell unsicherer als auf einem eigenen, mit dem Internet verbundenen Unternehmens-Server. Jedoch ist via Cloud ein nach innen gut geschütztes Unternehmen über seine Dienstleister angreifbar. Insbesondere große Cloud-Dienstleister bieten als Datenaggregatoren eine große und lohnende Angriffsfläche. Es drohen Kollateralschäden, bei denen eigene Daten kompromittiert werden.