Sicherheit in der Cloud: Ein paar Hinweise für SaaS-Lösungen

6. November 2014, 11:59 Uhr | Hintergrund, Technik

Die Cloud wächst. Cloud Computing ist gerade für den Mittelstand eine Chance, im Internet Kundschaft zu erreichen. In unserer EPOS Studie sind um die 60 Prozent der vertretenen Lösungen ein Software-as-a-Service (SaaS), dies entweder ausschließlich oder als Option. Die Sicherheit in der Cloud ist allerdings ein Thema, das meiner Meinung nach die Lösungsanbieter noch besser kommunizieren sollten. Und wer SaaS-Lösungen und andere as-a-Services (PaaS, IaaS) in seinen Auswahlprozess einbezieht, sollte dies ebenfalls berücksichtigen. Dies gilt sowohl für B2B als auch B2C als eigene Zielgruppen-Ausrichtung. Viele Privatleute sind durch die Cloud-Diskussion, Stichworte NSA, Hacker und Datendiebstahl, sensibilisiert. Und Unternehmenskunden legen immer mehr Wert auf Einhaltung von Datensicherheitsstandards bei ihren Geschäftspartnern.

Angesichts der Medienaufmerksamkeit finde ich, dass diesem Thema durchaus der entsprechende Raum bei der Darstellung des SaaS-Angebots gewidmet werden soll. Wenn beispielsweise Unternehmen in einem Closed Shop eines Onlineprint-Anbieters interne Druckdokumente einstellen, die dann in der Cloud gehostet werden, ist es durchaus denkbar, dass auch andere sich auf diese Daten Zugriff verschaffen. Die Kunden von SaaS-Lösungen (und deren Endkunden beispielsweise in Onlinedruckshops) sollten über die Sicherheitsaspekte und die dafür getroffenen Maßnahmen richtig aufgeklärt werden. Das sehe leider auf viel zu wenigen Websites der Lösungsanbieter im E-Business Print umgesetzt.

Ein besonderer Aspekt ist dabei der Standort des Cloud-Servers. In vielen Ländern müssen Kunden gar nicht unterrichtet werden, wenn der Staat sich Inhalte auf den Cloud-Servern eines Lösungsanbieters verschafft. In Deutschland ist es grundsätzlich vorgesehen, dass der Kunde davon informiert wird. Aber der Standort alleine kann noch keine Ausschlussentscheidung sein, denn wenn der SaaS-Anbieter trotz eines deutschen Cloud-Standorts eine ausländische Firma ist, kann sein Heimatstaat immer noch versuchen, die Herausgabe von Kundendaten (ob nun Meta- oder Inhaltsdaten) zu erzwingen. Aktuell ist hier beispielsweise Microsoft im Clinch mit staatlichen Stellen in den USA. Mehr Infos zu staatlichen Zugriffsrechten liefert ein Beitrag auf Datenschutz-Nord unter diesem Link.

Wer nun einen Cloud-Service mit deutschen Standort und deutschem Betreiber in Anspruch nehmen will, kann sich beispielsweise bei der Initiative Cloud-Services Made in Germany informieren. In dieser 2010 gegründeten Initiative sind über 100 Unternehmen beteiligt, die folgende Grundsätze befolgen: (1) Das Unternehmen des Cloud Service-Betreibers wurde in Deutschland gegründet und hat dort seinen Hauptsitz. (2) Das Unternehmen schließt mit seinen Cloud Service-Kunden Verträge mit Service Level Agreements (SLA) nach deutschem Recht. (3) Der Gerichtsstand für alle vertraglichen und juristischen Angelegenheiten liegt in Deutschland. (4) Das Unternehmen stellt für Kundenanfragen einen lokal ansässigen, deutschsprachigen Service und Support zur Verfügung.

In der Initiative ist beispielsweise Novadex vertreten, die Firma hat mit ihrer SaaS-Lösung LetterMaschine (übrigens demnächst in EPOS vertreten) in der Anwendung der Eversfrank Gruppe für den Reiseveranstalter FTI gerade den dritten Platz in der Kategorie SaaS beim Best-in-Cloud-Award der Compterwoche gewonnen. Leider ist Novadex der einzige SaaS-Anbieter mit einer Lösung für E-Business Print in der Initiative. Allerdings nutzen viele andere Lösungsanbieter im Bereich E-Business Print selber Partner für das Cloud-Hosting. Als Kunde kann man jedenfalls auch andere SaaS-Anbieter anhand der vier Grundsätze der Initiative prüfen.

Abschließend möchte ich noch auf zwei Dokumente „offizieller Natur“ hinweisen, die der grundsätzlichen Orientierung zum Thema Sicherheit in der Cloud dienen können. Datenschutzbeauftragte aus Bund und Ländern haben eine „Orientierungshilfe – Cloud Computing“ (PDF-Link) herausgegeben, die gerade erst in einer neuen Version erschienen ist. Die Orientierungshilfe wendet sich zwar vornehmlich an Cloud-Anbieter, ist aber für Kunden von SaaS-Lösungen genauso lesenswert. Und auch vom Bundesamt für Sicherheit in der Informationstechnik (BSI) gibt es ein sehr aktuelles Dokument namens „Sichere Nutzung von Cloud-Diensten“ (PDF-Link).

Über den Autor

1 Kommentar

  1. Antworten

    Jan Lukat

    6. November 2014

    Boxcryptor ist eine gute Lösung! Der Sieger des deutschen Gründerpreis 2014 verschlüsselt die Cloud. Gibt mir einfach ein gutes Gefühl wenn ich meine Daten in der Clould sichere! Made in Germany!


Was meinen Sie zu diesem Thema?

Wir freuen uns über Ihren Kommentar.

Schreibe einen Kommentar

* Pflichtangaben; Ihre E-Mail-Adresse wird nicht veröffentlicht.
 

Copyright

Copyright 2015 Bernd Zipper, zipcon consulting GmbH

Archiv