Springe zum Hauptinhalt

2012-01: In die Cloud! In die Cloud! Aber wo soll die sein?

Zu fra­gen, „wo“ denn die Cloud ist, ist die „Al­les­-­in­-­die­-­Clou­d“­-­Jün­ger Blas­phe­mi­e. Denn das tol­le an der Cloud ist ja ge­ra­de, dass sie „im­mer und über­all“ (Ers­te All­ge­mei­ne Ver­un­si­che­rung) ist. Da­bei stimmt das nicht: Am En­de la­den die vir­tu­el­len Ma­schi­nen dann doch wie­der auf „Kis­ten“, als ganz phy­si­ka­li­scher Hard­wa­re, und die muss ja ir­gend­wo ste­hen. Und da­mit spie­len die Si­cher­heits­vor­keh­run­gen des ex­ter­ner Dienst­leis­ter plötz­lich ei­ne wich­ti­ge Rol­le: Denn BDSG §11 ver­weist die Ver­ant­wor­tung klar an den Auf­trag­ge­ber: Der hat zu prü­fen, ob der Auf­trag­neh­mer or­dent­lich ar­bei­tet, zu­ver­läs­sig ist und den Da­ten­schutz ent­häl­t.

Wer al­so mit vol­ler Kon­se­quenz auf die Cloud setz­t, tut gut dar­an, sei­nem An­bie­ter auch un­ter dem Aspekt der In­for­ma­ti­ons­si­cher­heit auf den Zahn füh­len. Hier ei­ni­ge Punk­te, die Sie vor Ver­trags­ab­schluss klä­ren soll­ten.

Kann der An­bie­ter ei­ne Ver­ein­ba­rung zur Auf­trags­da­ten­ver­a­r­bei­tung (nach BDS­G) vor­le­gen? In den nächs­ten zwei Jah­ren kön­nen Sie ein „Oops, ha­ben wir noch nicht, er­stel­len wir aber“ so eben noch ak­zep­tie­ren. Es gibt aber trotz­dem Mi­nus­punk­te. Wer es in zwei Jah­ren nicht kann, dem soll­ten sie den Rü­cken keh­ren.

Hat der ISP einen Da­ten­schutz­be­auf­trag­ten (DS­B)? Ein feh­len­der DSB ist ein har­tes Aus­schluss­kri­te­ri­um. Aber Ab­zü­ge gibt es auch für einen DS­B, der nicht ver­steht, wo­zu Sie die obi­ge Ver­ein­ba­rung be­nö­ti­gen. Es man­gelt die­sem dann of­fen­sicht­lich am Be­wusst­sein, was wich­tig ist.

Wo lie­gen die Da­ten? Nicht je­der ISP hat ein ei­ge­nes Re­chen­zen­trum. Fra­gen Sie des­halb auf je­den Fall nach, wo er denn sei­ne Ser­vices hos­tet. Wenn ich bei ei­nem (deut­schen) SaaS­-­An­bie­ter kei­nen Hin­weis fin­den, wo die Da­ten ge­hos­tet wer­den, wer­de ich skep­tisch. Erst heu­te ha­be ich einen ge­se­hen, der in ei­ner Prä­sen­ta­ti­on voll­mun­dig „P­CI DSS zer­ti­fi­zier­te, hoch­si­che­re Ser­ver“ und „ver­schlüs­sel­te Ba­ck­ups“ ver­spricht, sich im Klein­ge­druck­ten aber vor­be­häl­t, die Da­ten bei „ex­ter­ne[n] Hos­ting­-­Pro­vi­der[n]“ zu spei­chern. Sei­en Sie neu­gie­rig, fra­gen Sie nach. Wer tech­nisch ver­siert ist, kann auch mit Tools wie ns­loo­kup und whois ei­ni­ges an Er­kennt­nis ge­win­nen.

In wel­chem Re­chen­zen­trum ste­hen die – phy­si­ka­li­schen – Ma­schi­nen? Ver­las­sen Sie sich nicht auf die Ver­spre­chun­gen des Dienst­leis­ter­s. Ein Be­such im Re­chen­zen­trum lohnt sich. Ich ha­be schon AS400 in Toi­let­ten oder Kar­tons, Ka­bel­sa­lat und Holz­bö­den im Re­chen­zen­trum ge­se­hen. Wenn sol­che Miss­stän­de noch nicht ein­mal be­sei­tigt wer­den, wenn Kun­den kom­men, soll­ten Sie auf Ab­stand ge­hen. Der Grund­schutz­ka­ta­log „In­fra­s­truk­tur“ gibt hier wert­vol­le Tipp­s.

Kann der An­bie­ter ei­ne Zer­ti­fi­kat nach ISO 27001 vor­wei­sen? Grund­sätz­lich ist die­ses Zer­ti­fi­kats ein gu­tes Zei­chen. Spricht es doch da­für, dass sich der Dienst­leis­ter mit dem The­ma Si­cher­heit aus­ein­an­der­ge­setzt hat. Aber: Die Zer­ti­fi­zie­rung be­legt zwa­r, dass der ISP ein In­for­ma­ti­on Se­cu­ri­ty Ma­nage­ment (ISMS) hat, es ist aber da­mit we­der ge­währ­leis­tet, dass es funk­tio­nier­t, noch dass al­le Maß­nah­men um­ge­setzt sin­d. Ach­ten Sie auch dar­auf, wel­cher Teil des Un­ter­neh­mens über­haupt zer­ti­fi­ziert wur­de. Wei­te­re gu­te Zei­chen sind ein BSI­-­Grund­schutz­zer­ti­fi­kat und Hin­wei­se auf Stan­dard­pro­zes­se et­wa nach ITIL.

Es gibt vie­le An­bie­ter auf dem Mark­t. Die er­höh­te Nach­fra­ge nach Re­chen­zen­trums­ka­pa­zi­tät durch die Cloud hat einen Wett­be­werb aus­ge­löst, der von den Gro­ßen wie Mi­co­ro­soft, Goo­gle, 1&1 oder Ama­zon mit ge­wal­ti­ger Mar­ke­ting­macht ge­führt wird. Das heißt aber noch lan­ge nicht, dass sie mit ei­nem die­ser Gi­gan­ten auf der si­che­ren Sei­te sin­d, re­spek­ti­ve, dass er zu Ih­nen pass­t. Oft ist die bes­se­re Wahl – vor al­lem für Mit­tel­ständ­ler – sich einen gu­ten, be­währ­ten mit­tel­stän­di­schen ISP als Part­ner zu su­chen, der mit Ih­nen auf Au­gen­hö­he dis­ku­tiert und Ih­re Be­dürf­nis­se kennt. Prü­fen Sie al­so, fra­gen Sie – aber neh­men Sie bit­te, bit­te nicht den Nächst­bes­ten – auch nicht wenn er Goo­gle oder Mi­cro­soft heißt.

Wenn Sie Un­ter­stüt­zung bei der Aus­wahl, der Un­ter­su­chung oder den Ge­sprä­chen brau­chen, spre­chen Sie mich an :-)

Portrait von Hartmut Goebel

Hartmut Goebel

Diplom-Informatiker, CISSP, CSSLP, ISO 27001 Lead Implementer

Haben Sie noch Fragen?
Anruf oder Mail genügt:
  +49 871 6606-318
  +49 175 29 78 072
  h.goebel@goebel-consult.de