Kein Cloud Bursting ohne Datenschutz

Cloud Bursting optimiert die Nutzung von Cloud-Ressourcen. Der Einsatz muss aber genau geplant werden, um den Datenschutz nicht zu gefährden.

36 Prozent der Unternehmen in Deutschland nutzen Private Clouds, die exklusiv für sie betrieben werden. Die gemeinsam genutzten, meist kostengünstigeren Public Clouds hingegen werden von nur 15 Prozent der befragten Unternehmen in Anspruch genommen, wie der Cloud Monitor 2014 von BITKOM und KPMG zeigt. Die Gründe dafür sind leicht zu erkennen: 77 Prozent der Unternehmen haben Angst vor Angriffen auf sensible Daten, 45 Prozent sind besorgt wegen eines möglichen Datenverlusts und 38 Prozent sind unsicher bezüglich der Rechtslage.

Die guten Erfahrungen mit Cloud Computing machen die Anwenderunternehmen eher mit Private Clouds (83 Prozent) als mit Public Clouds (67 Prozent). Trotzdem sprechen gerade Kostengründe dafür, wann immer möglich auch Public Clouds zu nutzen. Bei der optimierten Verwendung von Cloud-Ressourcen helfen Lösungen im Bereich Cloud Bursting. Diese können auf Wunsch automatisch Cloud-Apps und -Daten in eine Public Cloud verlagern, um zum Beispiel Bedarfsspitzen abzufedern.

Unternehmen sollten allerdings die Richtlinien, nach denen Cloud Bursting erfolgt, nicht ohne den Datenschutz machen.

Empfehlung: Daten mit hohem Schutzbedarf für Cloud Bursting sperren

Wie das Bundesamt für Sicherheit in der Informationstechnik (BSI) ausführlich in den „Sicherheitsempfehlungen für Cloud Computing Anbieter“ darlegt, sind abhängig vom Schutzbedarf der für die Cloud vorgesehenen Daten unterschiedliche Sicherheitsmaßnahmen erforderlich. Die Sicherheit und Vertraulichkeit der Cloud-Daten muss grundsätzlich gewahrt bleiben, ob diese nun in der Private Cloud oder in einer Public Cloud liegen.

Doch gerade Public Clouds stufen die deutschen Aufsichtsbehörden für den Datenschutz als problematisch ein, wenn es um die Einhaltung der Compliance-Anforderungen an die Datenverarbeitung geht, zu denen neben Datenschutz und Informationssicherheit auch Kontrollierbarkeit, Transparenz und Beeinflussbarkeit gehören, wie die „Orientierungshilfe Cloudcomputing“ der Konferenz der Datenschutzbeauftragten des Bundes und der Länder darstellt.

Wenn nicht klar ist, ob der Schutz der Vertraulichkeit in der für Bedarfsspitzen vorgesehenen Public Cloud wirklich dem Niveau entspricht, wie es dem Schutzbedarf der Daten entspricht und die Private Cloud bietet, empfiehlt sich also aus Datenschutzsicht eine Sperrung der schutzbedürftigen Daten für Cloud Bursting. Voraussetzung für Cloud Bursting ist, dass sämtliche Cloud-Daten klassifiziert und einem Schutzbedarf zugeordnet werden. Die besonders sensiblen Cloud-Daten benötigen dann eine Kennzeichnung, damit sie vom Cloud Bursting ausgenommen werden.

An Verfügbarkeit und Integrität der Cloud-Daten denken

Neben der Vertraulichkeit dürfen auch die Integrität und die Verfügbarkeit der Cloud-Daten nicht dadurch gefährdet werden, dass sie mittels Cloud Bursting von der Private Cloud in eine Public Cloud übertragen werden. Bei der Sicherstellung der Verfügbarkeit geht es nicht nur darum, dass ein Datenverlust ausgeschlossen werden muss. Die Cloud-Daten müssen auch dann verfügbar sein, wenn sie dem Erhebungszweck entsprechend für die Datenverarbeitung benötigt werden. Es sollte also vor dem Cloud Bursting klar sein, ob die betroffenen Daten bei Bedarf auch für entsprechend befugte Anwendungen und Nutzer erreichbar sind.

Besonders geschäftskritische Apps unter Kontrolle behalten

Werden ganze Anwendungen beim Cloud Bursting ausgelagert bzw. von anderer Stelle bezogen, so kann auch dies zu Problemen bei der Verfügbarkeit, Integrität und Vertraulichkeit personenbezogener Daten führen. Die Sicherheit der neuen oder ausgelagerten Cloud-App muss weiterhin dem Schutzbedarf entsprechen, auch bei einem temporären Umzug in eine Public Cloud. Besonders geschäftskritische Anwendungen sollten von einer Auslagerung ausgenommen werden, wenn die Cloud-Sicherheit nicht zuverlässig gewährleistet ist.

Funktionen des Cloud-Management-Systems prüfen

Cloud Bursting macht insbesondere dann Sinn, wenn ein Cloud-Management-System automatisch auf den dynamischen Bedarf an Cloud-Ressourcen reagiert und nicht jede einzelne Verlagerung vom Administrator übergenommen werden muss. Hier sollten Anwenderunternehmen genau prüfen, welche Richtlinien sich für Cloud Bursting in welcher Form definieren lassen. Zu klären ist, ob Sie Daten mit hohem Schutzbedarf markieren und für eine Auslagerung sperren können und ob sich kritische Apps ebenfalls mit einem „Sperrvermerk“ für Cloud Bursting versehen lassen.

Mit unkritischen Daten sollte zudem getestet werden, ob die Richtlinien auch tatsächlich vom Cloud-Management-System befolgt werden. Eine regelmäßige Kontrolle des erfolgten Cloud Bursting sollte selbstverständlich sein. Vor der Kostensenkung durch Cloud Bursting steht also ein interner Aufwand, der aber für einen zuverlässigen Datenschutz unabdingbar ist. Würde das Cloud Bursting zu einer Datenpanne, zu Datenverlust oder zu Problemen bei geschäftskritischen Anwendungen führen, käme dies in jedem Fall teurer.

Passend zum Thema können Sie auch unser kostenloses eHandbook „Grundlagen für den Datenschutz in der Cloud“ downloaden.

Artikel wurde zuletzt im April 2014 aktualisiert

Pro+

Premium-Inhalte

Weitere Pro+ Premium-Inhalte und andere Mitglieder-Angebote, finden Sie hier.

Erfahren Sie mehr über Tiered-Storage

Diskussion starten

Schicken Sie mir eine Nachricht bei Kommentaren anderer Mitglieder.

Mit dem Absenden dieser Daten erklären Sie sich bereit, E-Mails von TechTarget und seinen Partnern zu erhalten. Wenn Ihr Wohnsitz außerhalb der Vereinigten Staaten ist, geben Sie uns hiermit Ihre Erlaubnis, Ihre persönlichen Daten zu übertragen und in den Vereinigten Staaten zu verarbeiten. Datenschutz

Bitte erstellen Sie einen Usernamen, um einen Kommentar abzugeben.

- GOOGLE-ANZEIGEN

SearchSecurity.de

SearchNetworking.de

SearchEnterpriseSoftware.de

SearchDataCenter.de

Close