Sicherheit in der Cloud?
Software-Initiative warnt deutsche Wirtschaft vor allzu sorglosem Umgang mit vertraulichen Unterlagen
Die Software-Initiative Deutschland warnt die deutsche Wirtschaft vor allzu sorglosem Umgang mit vertraulichen Unterlagen. Dazu zählt der Softwareverband in erster Linie Finanzdaten, Vorstandsverträge, technische Dokumentationen, Umweltgutachten und Preislisten mit Großkunden. Gerade bei geschäftskritischen Transaktionen wie Mergers & Acquisitions (M&A) ist die Gefahr nach Angaben von Jan Hoffmeister, SID-Arbeitskreisleiter „Virtueller Datenraum", besonders groß: „In M&A Transaktionen geben Unternehmen freiwilligen Zugang zu kritischen Dokumenten an Dritte, wie zum Beispiel Konkurrenten. Diese haben natürlich ganz andere Interessenslagen", betont der M&A-Experte. Abhilfe verspricht laut Softwareverband der Einsatz virtueller Datenräume, die durch ein streng kontrolliertes Umfeld - wie etwa ein ausgefeiltes Berechtigungskonzept - Sicherheit und Vertraulichkeit für die Online-Betrachtung geschäftskritischer Daten bieten.
Fraunhofer-Studie untersucht Sicherheitsmechanismen von Speicherdiensten
Wie bereitwillig allerdings viele Firmen ihre Daten an Dienstleister mit Sitz und Servern in den USA geben, zeigt eine Studie des Fraunhofer-Instituts für Sichere Informationstechnologie (SIT). Untersucht wurden die Sicherheitsmechanismen von sieben Cloud-Speicherdiensten: Cloud Me, Crash Plan, Dropbox, Mozy, Team Drive, Ubuntu One und Wuala. Die Studie ist nicht nur für Nutzer der getesteten Anbieter hilfreich, sondern auch für Personen oder Unternehmen, die mithilfe der entwickelten Kriterien die Sicherheit anderer Cloud-Speicherdienste einschätzen möchten. Die Testergebnisse der Studie basieren auf der Analyse der Client-Software, Penetrationstests auf Server-Seite fanden hingegen nicht statt. Die Untersuchung fand vom Sommer 2011 bis Januar 2012 statt.
Identifikation typischer Funktionalitäten
In einem ersten Schritt wurden vier typische Funktionalitäten von Cloud-Speicherdiensten identifiziert: die Kopierfunktion, mit der Dienste Teile der lokalen Festplatte einfach in der Cloud spiegeln. Bei Verlust der lokalen Hardware (z. B. bei Diebstahl eines Laptops) lassen sich die Daten aus der Cloud heraus wiederherstellen, die Backup-Funktion, die dazu dient, jede Version einer Datei in der Cloud zu speichern, die Synchronisationsfunktion, die Nutzer in die Lage versetzt, Dateien auf verschiedenen Geräten zu synchronisieren und die Filesharing-Funktion, die oft in Kooperationen mit Projektpartnern eingesetzt wird. Zusätzlich haben die Forscher Funktionen identifiziert, welche die Nutzung der Grundfunktionen optimieren können. Hierzu zählt etwa die Deduplikations-Funktion (Daten, die bereits auf dem Cloud-Server existieren, werden nicht erneut hochgeladen).
Welche Sicherheitsanforderungen müssen erfüllt sein
Im zweiten Schritt wurden Sicherheitsanforderungen aufgestellt. Die fünf wichtigsten Anforderungen und Zielsetzungen dafür sind: Registrierung und Anmeldung, um starke Passwörter sicherzustellen und damit die Herausgabe unnötiger persönlicher Daten zu verhindern, um vor dem Unterschieben von belastenden Daten zu schützen, die Transportsicherheit zum Schutz der Kommunikation zwischen Server und Client-PC, die Verschlüsselung, um Daten vor dem Zugriff der Dienstanbieter zu schützen, sicheres Filesharing, um Dokumente zu schützen, die innerhalb einer geschlossenen Gruppe geteilt werden, optional auch mit Zugang für Nicht-Kunden des Dienstes und sichere Deduplikation, um Datenschutzprobleme zu vermeiden, die bei der Deduplikation entstehen können.
Die Studie kommt zu dem Ergebnis, dass Einzelpersonen oder Unternehmen, die überlegen, einen Cloud-Speicherdienst zu nutzen, prüfen sollten, ob die fraglichen Anbieter die beschriebenen Sicherheitsanforderungen erfüllen. Zusätzlich kann es ratsam sein, mehr als einen Dienst zu nutzen, um die Auswirkungen von Fehlzeiten zu reduzieren. Ein wesentliches Ergebnis der Studie ist, dass alle Provider sich der großen Bedeutung von Datensicherheit und Datenschutz bewusst sind und Schutzmaßnahmen ergriffen haben. Dennoch konnte unter den betrachteten Anbietern keine Lösung gefunden werden, die alle zugrundeliegenden Sicherheitsanforderungen erfüllt.
Rechtliche Überlegungen
Die Studie betrachtet auch rechtliche Anforderungen hinsichtlich einer gesetzeskonformen Nutzung von Cloud-Speicherdiensten. Besonders Unternehmen müssen die rechtlichen Anforderungen beachten und sich bewusst sein, dass der Cloud-Anbieter möglicherweise anderen Anforderungen unterworfen ist. Da es keine internationalen Regelungen gibt, die genügend Datensicherheit und Datenschutz gewährleisten, sollten Unternehmen aus der EU einen Cloud-Anbieter wählen, der im europäischen Wirtschaftsraum beheimatet ist und nicht zu einem Unternehmen aus den USA gehört. Andernfalls können amerikanische Regierungsbehörden auf Grundlage des Patriot Act Zugang zu den gespeicherten Daten erhalten - selbst wenn diese ausschließlich in Europa gespeichert sind.
Datenschutzrechtliche Richtlinien oftmals unbekannt
Ein Grund für den laxen Umgang mit geschäftskritischem Material ist, dass datenschutzrechtliche Richtlinien oft unbekannt sind. Entsprechend verweist das Fraunhofer-Institut darauf, dass bisher noch keine weltweit einheitlichen Datenschutzregelungen festgelegt wurden.
„Das wird bei amerikanischen Anbietern von Speicherdiensten in der Cloud zum Problem, denn sämtliche US-Infrastructure-Dienste unterliegen dem dortigen Heimatschutzrecht. Der Patriot Act besagt, dass amerikanischen Behörden auf Wunsch jederzeit Zugriff auf sämtliche dort gespeicherte Daten gewährleistet werden muss", erläutert Hoffmeister, der neben seiner Verbandstätigkeit bei der SID auch Geschäftsführer beim Saas-Spezialisten Data Room Services ist. „Der mögliche Zugriff durch Dritte auf geschäftskritische Daten ist damit quasi im US-Gesetz geregelt."
Mögliche rechtliche Konsequenzen
Der Immobilienwirtschaftsrechtler Jan Wunschel (Anwaltskanzlei Sibeth) warnt vor möglicherweise schwerwiegenden rechtlichen Konsequenzen, die durch den Zugriff Dritter auf geschäftskritische Daten entstehen können. „Die Palette möglicher Folgen erstreckt sich von Schadensersatzansprüchen bis hin zu der Unwirksamkeit des Kaufvertrages. Ich kann Unternehmen nur empfehlen, Anbieter für virtuelle Datenräume mit Servern in Deutschland oder zumindest innerhalb der EU zu beauftragen, um geplante Transaktionen nicht zu gefährden."
M&A-Experte Hoffmeister beschreibt den virtuellen Datenraum als eine internetbasierte Plattform, die den unterschiedlichen Parteien auf Käufer- und Verkäuferseite parallel zueinander einen sicheren Onlinezugriff auf vertrauliche Dokumente ermöglicht. Im Rahmen der Due Diligence (Sorgfältigkeitsprüfung) analysieren potentielle Käufer im virtuellen Datenraum vertrauliche, transaktionsrelevante Unterlagen wie Verträge, Abrechnungen und Vollmachten, die die wirtschaftlichen, rechtlichen und steuerlichen Verhältnisse des Verkaufsobjekts widerspiegeln. Sicherheit und Vertraulichkeit garantiert ein ausgefeiltes Berechtigungskonzept. Dieses regelt, welche Nutzer zu welcher Zeit welche Dokumente sehen, drucken oder speichern dürfen.
Die komplette Studie des Fraunhofer Instituts steht zum Download hier bereit!