Risiken und Datenschutz bei Webservices für Organisationen und private Anwender
Es wäre unsinnig eine allgemeine Bewertung der Chancen und Risiken des Cloud Computing als neuer Outsourcing-Option vornehmen zu wollen: Was sich in einem Fall als vorteilhaft und unbedenklich herausstellt, kann in einem anderen Fall nachteilig und riskant sein. Zum besseren Verständnis, worum es dabei geht, bieten wir Ihnen in diesem Beitrag wichtige Basisinformationen. Eine umfassende Behandlung dieser - sehr komplexen - Thematik würde viele hundert Seiten erfordern; für eine nachvollziehbare Einzelfallanalyse ist eine Risikoanalyse nach anerkannten Standards unerläßlich.
Außerdem geben wir Ihnen grundlegende Hinweise, worauf Sie bei der privaten Nutzung von Webservices achten sollten.
Risiken und Datenschutzbelange limitieren Cloud Services noch auf unkritische Anwendungen
Man kann nicht oft genug daran erinnern, dass Cloud Computing nichts anderes als eine Internet-Anwendung darstellt: Auf der einen Seite gibt es "Server", auf der anderen Seite "Clients", die über einen Browser mit den Servern verbunden werden. Die Internetserver sind weder vom Himmel gefallen, noch befinden sie sich in irgenwelchen "Wolken". Die Internetserver gehören irgendjemand, haben ihre physischen Standorte und müssen laufend gewartet werden, um permanent verfügbar zu sein. Und sie sind so sicher oder unsicher, wie das jeweils angewendete Sicherheitskonzept und seine laufende Umsetzung es zuläßt.
War es in den Anfängen des Internets nur möglich, Daten auf den Browsern zu lesen, so konnten später auch Daten des Internetbenutzer auf den Intenetservern entgegengenommen, verarbeitet und gespeichert werden. Provider wie Web.de und GMX boten in Folge dieser Entwicklung bereits sehr früh "Webservices" an. Da diese in einer attraktiven Minimalform für den Nutzer kostenlos waren (da werbefinanziert), erfreuen sich diese Webservices bis heute einer großen Beliebtheit. Ein Sicherheitsthema waren solche Services lange Zeit nicht, denn sie wurden in erster in Linie privat genutzt.
Organisationen dagegen lagerten ihre Daten nahezu ausschließlich auf eigenen Servern und bauten eigene "Rechenzentren" auf, die hohen Sicherheitsanforderungen entsprachen. Das galt auch für eMails: Für den eMail-Verkehr benötigte man zwar einen externen Provider, auf dessen Servern wurden die eMails aber nicht dauerhaft gespeichert: Die eMail-Server der Provider wurden in der Regel nur als Empfangs- und Versandkontenpunkt verwendet. Die eigentliche Zugangskontrolle, Speicherung, Verwaltung und Langzeit-Archivierung wurde mit organisationseigenen eMail-Servern und per lokalen eMail-Programmen vorgenommen (z.B. Lotus und Outlook) . Die Abhängigkeit von Mail-Providern betraf deswegen nur die Verfügbarkeit und Funktionsfähigkeit des Knotenpunktes, nicht die laufende Datenhaltung und Datensicherung.
Im Unterschied dazu wurden beim privaten eMail-Verkehr von vielen Nutzern keine eigenen eMail-Programme verwendet, sondern Mail per Internet-Browser genutzt. Das hatte den Vorteil, dass man z.B. auch in der Firma oder über einen Computer des Hotels seine privaten Mails einsehen oder bearbeiten konnte. Man mußte sich auch nicht um die Datensicherung kümmern. Das lernte man per Doing schätzen. Es funktionierte einfach gut - und zuverlässig, weil die Provider eine Hochverfügbarkeit und erstklassige Datensicherung (kein Datenverlust bei Festplattendefekt usw) sicherstellten. In Folge wurde an Privatkunden auch das Angebot der Provider gerne angenommen, auf den Internet-Servern nicht nur eMails, sondern auch Dokumente, Fotos und Videos zu speichern. Dabei erhielten die einzelnen Nutzer keinen kompletten Server für ihre Daten, sondern einen zugewiesen Speicherbereich innerhalb der Infrarstruktur des Providers: einen "virtuellen Speicher". Nach heutigem Sprachgebrauch war dies alles schon "Cloud Computing" in den Formen "Software as a Service" (SaaS) und "Infrastructure as a Service" (IaaS). Da dieses Cloud Computing reibungslos funktionierte und von privaten Nutzern in stets wachsender Zahl angenommen wurde, war es naheliegend Provider-Kunden auch komplexere Anwendungen wie z.B. Textverarbeitung oder Tabellenkalkulation online anzubieten. In Folge wurde immer weitere sinnvolle Online-Anwendungen entdeckt.
Es gibt mittlerweile fast nichts mehr, was nicht auch per "Webservice" erledigt werden kann (inkl. Telefonieren, Faxen, Videokonferenzen). Und: Inzwischen sind Daten und Anwendungen, die online verfügbar sind, auch per Wifi oder UMTS verbundene Minicomputer wie Smartphones und Tablets nutzbar. Das hochentwicklete Cloud Computing ist damit eine Idealform der elektronischen Datenverarbeitung geworden.
Wieso sollten dann nicht auch Organisationen das Cloud Compting umfassend nutzen? Sie könnten sich auf diese Weise eine Menge IT-Aufwand ersparen und sich ganz auf ihre Kernkomptenzen konzentrieren. Und für die Provider wäre dies ein Riesen-Zusatzgeschäft.
Hinsichtlich der Produktivitätsteigerungen und der Anwendungsoptionen (alles ist technisch machbar) ist die Frage schnell beantwortet: Wenn das Cloud Computing so viele Probleme löst und geradezu als Idealform der elektronischen Datenverarbeitung erscheint, dann wäre es unsinnig, wenn Organisationen diesen Weg nicht einschlagen würden.
Erhebliche Bedenken ergeben sich allerdings aus anderen Perspektiven:
- Der Cloud Hype läuft aktuell darauf hinaus, dass das Virtual Private Network mehr oder weniger ausgeklammert wird. Dies ergibt sich aus den Geschäftsinteressen der Anbieter: Vermietung rechnet sich für sie langfristig besser als Verkauf. Die betriebswirtschaftliche Strategie der Webservice-Anbieter ignoriert aber, dass es Unternehmen und Institutionen gibt, die ausgeprägte eigene Kontroll-, Unabhängigkeits- und Eigentumsbedürfnisse haben.
- Nach Bewertung einiger Experten ist die IT-Sicherheit auf gemieteten virtuellen Servern eine höchst fragwürdige Angelegenheit.
- Mangelnde gesetzliche Regelungen der Datensicherheit für ein umfassendes Outsourcing nach dem Modell des Cloud Computing.
Die Problematik einer Unterbewertung des VPN haben wir hier in einem eigenen Beitrag erläutert.
Die Bedenken von Experten zur IT-Sicherheit können Sie in einer Zusammenfassenden Darstellung der Cloud Security Alliance (CSA) und im Arbeitspapier "Cloud Computing: Sicherheit und Datenschutz" der Universität Potsdam nachlesen.
Zur Thematik des Datenschutzes ist zu sagen, dass eine Gesetzgebung, die den Chancen und Risiken des Cloud Computing auch nur halbwegs gerecht wird, nicht vorhanden ist. Folge ist, dass der Datenschutz der wachsenden Anzahl privater Anwender unzureichend bleibt und viele Organisationen das Cloud Computing gar nicht nutzen können, ohne mit dem Gesetz in Konflikt zu geraten. Die dringliche Gesetzesanpassung ist freilich nicht von heute auf morgen möglich, weil das Cloud Computing Regularien erfordert, die in Umfang und Niveau den Regulierungsstandards von Bereichen wie Pharma, Lebensmittel, Waffen und Gelddruck in nichts nachstehen. Hierzu gehört unter anderem, dass risikostrategisch nachhaltige Standards für Datenschutz- und Datensicherungsmaßnahmen festgelegt werden müssen, die internationale Standards berücksichtigen müssen und deren Einhaltung nachgewiesen werden muss. Ohne solche Regulierungen bleibt die Idee der Industrialisierung der IT auf Basis von Nutzungsgebühren (analog der Stromversorgung: IT-Dienstleistungen aus der Steckdose) nur in unkritischen Anwendungsbereichen von Organisationen realisierbar.
Auch Bemühungen des Bundesamtes für Informationssicherheit zur der Klärung der erforderlichen Mindestanforderungen für das Cloud Computing in Sachen IT-Sicherheit befinden sich noch in der Entwurfsphase (Entwurf 1 als PDF).
Für viele Organisationen in Europa wird es bis auf weiteres aus rechtlichen Gründen schlichtweg nicht möglich sein, die Vorteile des Cloud Computing jenseits eines Virtual Private Network (VPN) zu nutzen. Und bis dahin bleiben Datenschutz und Datensicherheit auch bei privaten Anwendungen des Cloud Computing mehr oder weniger "Vertrauenssache" und damit - zumindest potentiell - eine riskante Sache. Durch Beachtung der folgenden Hinweise können die wichtigsten Risiken einer privaten Nutzung von Webservice-Angeboten erkannt und minimiert werden:
Risikobezogene Hinweise für die private Cloud Nutzung
Um eine Vorstellung davon zu erhalten, welche Webservices unproblematisch sind und welche eher als kritisch zu bewerten sind, ist zu prüfen, welche Bedeutung der Verfügbarkeit und dem Schutz von eigenen Daten und Anwendungen überhaupt tatsächlich zukommt. Für Unternehmen und Institutionen läßt sich das nur auf Basis von Risikoanalysen nachvollziehbar bestimmen, da hier eine Fülle interner und externer Aspekte zu berücksichtigen ist, wozu auch bereits bestehende Richltlinien, Gesetze und internationale Vereinbarungen gehören. Ohne eine umfassende Risikoanalyse würden Fachgremien, Entscheider, Eigentümer und Investoren keine zuverlässige Bewertungsgrundlage in der Hand haben.
Die folgenden Hinweise sind daher ausschließlich als Orientierungshilfe für die private Nutzung von Webservices zu verstehen. Bei der Speicherung von eigenen privaten Daten auf vituellen Servern fällt die Kritikalität in der Regel weitaus geringer aus als bei den Daten von Organisationen, die auch Daten von bzw. über Dritte verwalten und dabei allerlei Gesetze und Vorschrifte zu beachten haben. Es gehört zur Freiheit des Bürgers und liegt allein in seiner Verantwortung, mit seinen eigenen privaten Daten zu tun, was er will.
Die folgenden Hinweise sind als Anregung zu verstehen, sich mit dem Thema IT-Sicherheit bezüglich der privaten Nutzung von Webservice-Angeboten näher zu befassen, stellen es aber keineswegs umfassend dar. Es handelt sind jedoch um Kernpunkte, die auch in professionellen Risikoanalysen - u.a. in den vom Bundesamt für Sicherheit in der Informationstechnik (BSI) herausgegebenen Empfehlungen - eine fundamentale Rolle spielen.
Benutzername und Passwort für Ihr Webservice-Konto
Um die eigene Datenverwaltung zu erleichtern, ist es bei immer mehr Providern üblich geworden, für den Benutzernamen eine eMail-Adresse zu verwenden. Ein evtl. Versuch Ihr Zugangskonto zu knacken wird dadurch aber ebenfalls erleichtert, wenn Ihre Mailadresse eine einfache Zusammensetzung Ihres Namen darstellt wie z.B.:
Peter Mustermann
- petermustermann@.....
- p.mustermann@...
- pmustermann@....
Wenn Sie eine solche namensbezogene Mail-Adresse beibehalten wollen oder nicht vermeiden können, sollten Sie die Länge des Passwortes auf 12 Zeichen oder mehr vergrößern.
Informatiionen zur Passwort-Sicherheit finden Sie beim Bundesamt für Sicherheit in der Informationstechnik (BSI).
Wie hoch ist der Wert meiner Daten für Dritte?
Es ist ein Riesenunterschied, ob Lieschen Müller ihre privaten Mails einem Online-Maildienst anvertraut oder ob der Präsident der USA dort Korresponzen über Staatsgeheimnisse speichert. Dies liegt vor allem daran, dass es in der Regel niemand gibt, der sich den Aufwand leisten will und kann, Lieschen Müllers "GMX"- oder "Google-Konto" zu knacken. Beim Präsident der Vereinigten Staaten sieht das ganz anders aus.
Die Mails eines normalen Bürgers sind auf einem Webservice-Konto sogar besser aufgehoben als auf dem eigenen Rechner, weil Provider für eine laufende Datensicherung sorgen. Das Gleiche gilt für Daten anderer Art, z.B. Dokumente und Fotos, die auf einem Provider-Server gespeichert werden.
Welchen Schaden erleiden Sie bei unerlaubtem Datenzugriff?
Dem Wert Ihrer Informationen für potentielle Angreifer steht der Schaden gegenüber, der Ihnen entstehen könnte, wenn bestimmte Informationen in falsche Hände gelangen. Die Einschätzung Ihres Schadens ist daher ein wichtiger Maßstab für die Erfordernisse Ihrer Datensicherheit. Typische Beispiele für besonders sicherheitskritische Daten sind Ihre Passwörter und Bankzugangsdaten (vor allem TANs). Aber es gehören auch Informationen (inkl. Fotos oder Videos) dazu, die Ihren Ruf schädigen können oder aufgrund derer man Sie laufend ärgern oder sogar expressen könnte. Je größer Ihr zu erwartender Schaden sein könnte, desto höher ist der "Vertraulichkeitswert" bestimmter Informationen anzusetzen:
Hohe Vertraulichkeit sicherstellen, wo sie wirklich wichtig ist
Versenden und speichern Sie Daten, die einen hohen Vertraulichkeitswert haben, nur verschlüsselt. Die Dateien von MS Word, MS Excel und vieler anderer Programme können Sie direkt so abspeichern, dass sie nur nach Passworteingabe geöffnet werden können. Außerdem gibt es Verschlüsselungprogramme mit denen Sie Dateien, Ordner und Festplatten-Partitionen verschlüsseln können. Mehr Informationen zu Verschlüsselungstechniken finden Sie auf der Serviceseite des Bundesamtes für Sicherheit in der Informationstechnik: BSI für Bürger
Webservice-Angebote, die eine Verschlüsselung von Daten nach Verfahren Ihrer Wahl nicht ermöglichen, sollten Sie für Daten mit Ihrer Meinung nach hohem Vertraulichkeitsgrad nicht verwenden. Sich auf ein Verprechen zu verlassen, dass der Provider selbst für eine optimale Verschlüsselung sorgt, läuft auf blindes Vertrauen hinaus, solange die Verschlüssung beim Provider nicht nach gesetzlich vorgeschriebenen Verfahren erfolgt und von staatlichen Aufssichtsbehörden kontrolliert wird.
Ein oft unterbewerteter möglicher Schwachpunkt im Sicherheitskonzept von Providern können auch die eingesetzten Mitarbeiter sein. Ohne Kontrolle des Sicherheitskonzeptes und seiner Umsetzung durch externe Prüfer bleibt es für Kunden von Webservices völlig im Dunkeln, ob Provider-Mitarbeiter mit hohen Administrationsrechten Möglichkeiten haben, Ihre Daten zu sichten und zu kopieren
Bewertung des eigenen Schadens bei evtl. Datenverlust
Große Provider bieten Ihnen virtuellen Speicherplatz in hervorragend gesicherten, modernen Rechnenzentren mit ausgereiften Datensicherungsverfahren. Der physische Erhalt Ihrer Daten ist dort in der Regel x-fach besser sichergestellt, als Sie es selbst ohne RAID-System und permanente Datenarchivierung leisten können.
Datenverlust durch Festplattendefekte oder ähnliches sind daher bei großen Providern höchst unwahrscheinlich. Das ist nach unserem Kenntnisstand deswegen auch nie ein Thema gewesen, das Schlagzeilen machte.
Trotzdem sollten Sie das Restrisiko nicht aus den Augen verlieren. Überlegen Sie sich deshalb, welche Mails, Fotos, Dokumente etc. auf Dauer unbedingt erhalten werden sollten. Von diesen Daten sollten Sie für den worst case eine zusätzliche Kopie erstellen.
Auch für eine Einschätzung des nötigen eigenen Datensicherungsaufwandes ist die Schadensbewertung ein bewährter Maßstab: Stellen Sie fest, welche Schäden Ihnen beruflich, finanziell und zeitlich (Neuerstellungsaufwand bei Texten, Tabellen usw) entstehen würden, wenn Ihnen Daten abhanden kommen. Hierbei sollten Sie auch "emotionale Schäden" nicht vergessen.
Eigene Verfügbarkeitserfordernisse überprüfen
Die modernen Rechenzentren haben meist eine Verfügbarkeit von 98%. Im Falle eines Stromausfalls stellt eine Notfallstromversorgung den Betrieb des Rechnenzentrums sicher.
Trotzdem bleiben Restrisiken, die Sie bei Ihren Entscheidungen berücksichtigen sollten. So ist nicht gänzlich auszuschließen, dass ein Rechnenzentrum durch Terrorangriffe oder eine Naturkatastrophe längere Zeit ausfällt. In einem solchen Fall sind Ihre Daten dann für mehrere Tage, Wochen oder Monate online nicht verfügbar.
Viele der Rechenzentren befinden sich im Ausland, z.B. in den USA. Die Verfügbarkeit Ihrer Daten und Anwendungen ist daher auch stets davon abhängig, dass der Datentransfer über die ganze Strecke von Ihrem Computer bis zum Rechenzentrums Ihres virtuellen Servers funktioniert.
Stellen Sie fest, welche Ihrer Daten und Anwendungen unbedingt immer verfügbar sein müssen. Auch solche Daten sollten Sie lokal sichern und die zur ihrer Bearbeitung erforderlichen Anwendungsprogramme auch offline (also ohne Internet-Verbindung) einsetzen können.
Aufzeichnung & Auswertung Ihres Benutzerverhaltens durch Webservice-Provider: OK für Sie?
Sie sollten sich dessen bewußt, dass die Server der Provider alle Bewegungen aufzeichnen. Die Aufzeichnungen werden häufig dazu verwendet, Verbraucher-Profile zu erstellen, die u.a. dafür genutzt werden, gezielt solche Werbeanzeigen und Angebote auf Ihrern Zugangsseiten einzublenden, die nach Hoffnung der Marktexperten am besten zu Ihren Bedürfnissen passen. Aber auch, wenn Sie kostenpflichtige, werbefreie Webservices nutzen, kann eine Auswertung Ihres Benutzerverhaltens erfolgen. Als Privatperson haben Sie keinen direkten Einfluss darauf, solange die Gesetzgebung die Belange des Verbrauchers beim Cloud Computing noch nicht besser reguliert. Sie sollten dies gelassen zur Kenntnis nehmen und eine bewußte Entscheidung fällen, ob eine Auswertung Ihres Benutzerverhaltens für Sie akzeptabel ist oder nicht.
Da die Diskussion bezüglich der Datenspeicherung und kommerziellen Auswertung von Benutzerdaten auch unter Experten kontrovers geführt ist, halten wir es für unangebracht , diesbezüglich eine andere Empfehlung auszusprechen als diese: Entscheiden Sie nach Ihrem gesunden Menschenverstand - und vor allem so, dass sie dabei ein gutes Gefühl haben.