Der Begriff Cloud ist in aller Munde. Inzwischen ist es schwierig, eine IT-Dienstleistung in Anspruch zu nehmen, ohne dass Daten irgendwo in einer Cloud gespeichert werden. Neben der immer beliebteren Nutzung von Cloud-Diensten im privaten Umfeld, nutzen inzwischen auch Unternehmen immer mehr Dienste aus der Cloud.

Unsere Kunden beschäftigen sich und meist auch uns, mit folgenden Fragen:

Wie sicher sind die Dienstleistungen aus den Clouds heute? Wo werden die Daten gespeichert? Was ist, wenn der Cloud-Provider gehackt wird? Viele dieser Fragen sind nicht einfach zu beantworten. Die Einsicht unserer Auditoren auf eine Cloud-Dienstleistung ist stark beschränkt. Im Rahmen eines Audits kann die Konfiguration aus Sicht des Kunden beurteilt werden. Bei einem Penetrationstest können allfällige, von aussen sichtbare Schwachstellen eruiert werden. Doch hat der Cloud-Provider seine IT-Infrastruktur, womit mehrere Kunden gleichzeitig abgedeckt werden, im Griff?

In diesem ersten Teil erfahren Sie einige Grundlagen zum Thema Cloud. Vielleicht ist es nur eine Repetition für Sie. Ich empfehle Ihnen, dass Sie insbesondere mit dem Inhalt des Kapitels Verantwortlichkeiten vertraut sein sollten.

Hinweis: Für die Blog-Artikel wurde der wissenschaftliche Teil der Masterarbeit (Literaturrecherche) sowie die Diskussion (eigene Interpretation des Autors) vermischt bzw. Zusammengefasst. Der ursprüngliche Charakter des wissenschaftlichen Schreibens ging somit verloren.

Allgemeines

Das NIST (National Institute of Standards and Technology) definiert den Begriff Cloud Computing auf eine einfach verständliche Art. Sie beschreibt die wesentlichen Merkmale, die ein Cloud-Dienstleister aufweisen muss, wie Cloud-Dienste bereitgestellt werden und auf welche Art und Weise die Dienstleistung gehostet werden sollte.

Definition NIST:

«Cloud Computing ist ein Modell für den allgegenwärtigen, komfortablen Netzwerkzugriff nach Bedarf auf einen gemeinsamen Pool konfigurierbarer Computerressourcen (z.B. Netzwerke, Server, Speicher, Anwendungen und Dienste), die mit minimalem Verwaltungsaufwand oder Handeln eines Service-Providers schnell bereitgestellt und freigegeben werden können. Dieses Cloud-Modell besteht aus fünf wesentlichen Merkmalen, drei Service-Modellen und vier Verarbeitungs-Modellen.» (1)

Folgende Tabelle beschreibt die fünf wesentlichen Merkmale:

Merkmal

Beschreibung

Selbstbedienung nach Bedarf

Ein Verbraucher kann selbständig Rechenkapazitäten bereitstellen, wie z.B. Serverzeit und Netzwerkspeicher. Dies erfolgt je nach Bedarf automatisch und ohne Interaktion mit dem Service-Provider.

Breitband-Netzwerkzugriff

Die Funktionen sind über das Netzwerk verfügbar und können über standardisierte Mechanismen, die die Nutzung durch heterogene Thin- oder Thick-Client-Plattformen fördern (z.B., Handys, Tablets, Laptops und Workstations), verwendet werden.

Ressourcen-Skalierung

Die Computerressourcen des Anbieters werden gebündelt, um mehrere Verbraucher zu bedienen. Die Nutzung eines Multi-Tenant-Modells mit unterschiedlichen physischen und virtuellen Ressourcen, welche dynamisch und nach Kundenwunsch zugeordnet werden können. Der Kunde hat in der Regel keine Kontrolle oder Kenntnis über den genauen Standort der zur Verfügung gestellten Ressourcen. Er kann aber einen Standort auf einer höheren Ebene gegebenenfalls wählen (z.B. Land, Staat oder Rechenzentrum). Beispiele für Ressourcen sind Speicherplatz, Rechenleistung, Arbeitsspeicher und Netzwerkbandbreite.

Rapide Flexibilität

Ressourcen können in einigen Fällen flexibel bereitgestellt und freigegeben werden, in manchen Fällen auch automatisch, um schnell und bedarfsgerecht nach aussen und innen zu skalieren. Die Möglichkeiten für die Bereitstellung scheinen oft unbegrenzt zu sein. Die Ressourcen können jederzeit und in beliebiger Menge bereitgestellt werden.

Messbarer Service

Cloud-Systeme steuern und optimieren die Ressourcennutzung automatisch anhand einer Messung der Nutzung der Dienste (z. B. Speicherung, Verarbeitung, Bandbreite und aktive Benutzerkonten). Der Ressourcenverbrauch kann überwacht, gesteuert und rapportiert werden, was sowohl für den Anbieter als auch für den Verbraucher des genutzten Dienstes Transparenz schafft.

Folgende Tabelle beschreibt die drei klassischen Service-Modelle:

Service-Modell

Beschreibung

SaaS (Software as a Service)

SaaS ist die Fähigkeit, dem Kunden Anwendungen des Providers zur Verfügung zu stellen, die auf seiner Cloud-Infrastruktur bereitgestellt werden. Die Anwendungen sind von verschiedenen Client-Geräten aus über eine Thin-Client-Schnittstelle, wie z.B. einen Webbrowser (z.B. webbasierter E-Mail-Client), oder eine Programmoberfläche zugänglich. Der Kunde verwaltet oder kontrolliert nicht die darunter liegende Cloud-Infrastruktur (dazu gehören u.a. Netzwerk, Server, Betriebssystem und Speicherplatz). Der Provider kann auch einzelne Anwendungsmöglichkeiten einschränken. Eine Ausnahme bilden benutzerspezifische Konfigurationseinstellungen der SaaS-Anwendung.

PaaS (Platform as a Service)

Die dem Kunden zur Verfügung gestellte Fähigkeit besteht darin, auf der Cloud-Infrastruktur vom Kunden erstellte oder erworbene Anwendungen bereitzustellen. Diese wurden unter Verwendung von Programmiersprachen, Bibliotheken, Diensten und Tools erstellt, welche vom Anbieter unterstützt werden. Der Kunde verwaltet oder kontrolliert nicht die darunter liegende Cloud-Infrastruktur (dazu gehören u.a. Netzwerk, Server, Betriebssysteme oder Speicher). Der Kunde hat die Kontrolle über die bereitgestellten Anwendungen und möglicherweise auch über Konfigurationseinstellungen für das Bereitstellen der Anwendungs-Umgebung.

IaaS (Infrastructure as a Service)

Bei IaaS werden dem Kunden Speicher-, Netzwerk- und andere grundlegende Computerressourcen zur Verfügung gestellt. Der Kunde ist in der Lage, beliebige Software einzusetzen und auszuführen, die Betriebssysteme und Anwendungen umfassen kann. Der Kunde verwaltet oder kontrolliert nicht die zugrunde liegende Cloud-Infrastruktur, sondern hat die Kontrolle über Betriebssysteme, Speicher und eingesetzte Anwendungen und möglicherweise nur eine eingeschränkte Kontrolle über ausgewählte Netzwerkkomponenten (z. B. Firewalls eines Hosts).

Folgende Tabelle beschreibt die vier Verarbeitungs-Modelle:

Verarbeitungs-Modell

Beschreibung

Private Cloud

Die Cloud-Infrastruktur ist für die ausschliessliche Nutzung durch eine einzige Organisation mit mehreren Kunden (z.B. Geschäftseinheiten) vorgesehen. Sie kann im Besitz der Organisation, eines Dritten oder einer Kombination davon sein, und sich in oder ausserhalb der Räumlichkeiten der Organisation befinden.

Community Cloud

Die Cloud-Infrastruktur ist für die ausschliessliche Nutzung durch eine bestimmte Gemeinschaft von Kunden aus Organisationen vorgesehen, die gemeinsame Anliegen haben (z.B. Aufgaben, Sicherheitsanforderungen, Richtlinien und Compliance-Aspekte). Sie kann im Besitz einer oder mehrerer Organisationen in der Gemeinschaft, eines Dritten oder einer Kombination davon sein, und sich in oder ausserhalb der Räumlichkeiten befinden.

Public Cloud

Die Cloud-Infrastruktur ist für die offene Nutzung durch die Allgemeinheit vorgesehen. Sie kann einem Unternehmen, einer akademischen oder staatlichen Organisation oder einer Kombination davon gehören oder durch eine solche verwaltet oder betrieben werden. Sie wird in den Räumlichkeiten des Cloud-Providers betrieben.

Hybrid Cloud

Die Cloud-Infrastruktur besteht aus zwei oder mehreren unterschiedlichen Cloud-Infrastrukturen (Privat, Community oder Public). Diese bilden zwar einzelne Einheiten, sind aber durch eine standardisierte oder proprietäre Technologie miteinander verbunden. Dies ermöglicht die Portierung von Daten- und Anwendungen (z.B. Cloud-Bursting, d.h. Lastausgleich zwischen Clouds).

Die unterschiedlichen Service-Modelle bieten je nach Betrachtung für den Cloud-Nutzer unterschiedliche Vor- und Nachteile. Folgende Zusammenfassung soll darüber einen Überblick verschaffen.

Service-Modell

Vorteile

Nachteile

Software as a Service

•Der Cloud-Nutzer muss sich um die Wartung der Infrastruktur nicht sorgen. Diese Arbeiten werden im Hintergrund vom Cloud-Provider durchgeführt.
•Der Cloud-Nutzer kann neue und innovative Produkte verwenden.
•Die Lizenzgebühren für die Software sind meist im Preis schon inbegriffen.
•Die Dienste sind skalierbar, es können auch mehr Ressourcen dazu gemietet werden.

•Der Cloud-Nutzer hat keine Einsicht in die Infrastruktur.
•Es werden Daten von mehreren Kunden auf derselben Applikation betrieben.
•Werden die Daten verschlüsselt abgespeichert, hat der Cloud-Provider meist trotzdem Zugriff auf die Daten.
•Die wiederkehrenden Kosten sind hoch.

Platform as a Service

•Der Cloud-Nutzer muss sich um die Wartung des Betriebssystems nicht sorgen. Diese Arbeiten werden im Hintergrund vom Cloud-Provider durchgeführt.
•Je nach Applikation kann der Cloud-Nutzer eine eigene Verschlüsselung implementieren. Bei Datenbanken beispielsweise können Felder verschlüsselt werden.

•Der Cloud-Nutzer muss die Applikationen selber warten und sicherstellen, dass sie nach «Best Practice» ausgeführt wird. Dieses Know-how muss entweder vorhanden sein oder eingekauft werden.
•Es werden mehrere Kunden auf demselben Betriebssystem betrieben.
•Kosten für Lizenzen müssen eventuell zusätzlich bezahlt werden.

Infrastructure as a Service

•Der Cloud-Nutzer kann das Betriebssystem selber managen. Er kann eigene Sicherheitsmassnahmen implementieren (Server Hardening).
•Der Cloud-Nutzer kann eigene Massnahmen zur Verschlüsselung implementieren (beispielsweise Verschlüsselung der virtuellen Festplatte).
•Die Vermischung von unterschiedlichen Kundendaten ist somit schwieriger.

•Falls das Managen der Infrastruktur nicht das Kerngeschäft des Cloud-Nutzers ist, muss das Know-how eingekauft werden.
•Die Lizenzkosten für Betriebssystem und Anwendungen fallen zusätzlich an.
•Es werden mehrere Kunden auf derselben Hardware ausgeführt.
•Möglicherweise ist diese Bereitstellungsmethode teurer, da der Cloud-Provider eine dedizierte virtuelle Maschine betreiben muss.

In den letzten Jahren tauchten neue Dienstleistungen, Begriffe und Arten der Bereitstellung in der Cloud auf. Folgende Modelle sind ebenfalls erwähnenswert.

CaaS (Container as a Service) ist eine relativ neue Methode, um Dienste bereitzustellen. CaaS liegt mit dem Service-Modell zwischen IaaS und PaaS. Wie der Name schon sagt, geht es um eine Container-basierte Bereitstellung eines Dienstes. In einem CaaS-Container können beispielsweise Dienste wie DHCP oder DNS betrieben werden (2). Der Container ist eine Art virtuelle Maschine, welche einen bestimmten Dienst bereitstellt. Der Vorteil eines Containers ist, dass er sehr wenig Speicher benötigt und isoliert betrieben wird. Bekannte Plattformen für die Container-basierte Bereitstellung sind Docker, DC/OS und Kubernetes. Bietet ein Cloud-Provider ein Hosting solcher Container an wird von CaaS gesprochen (3).

Ein relativ neuer Begriff ist XaaS (Everything as a Service bzw. Anything as a Service), welcher den Ansatz beschreibt, „alles“ als Service zur Verfügung zu stellen und zu konsumieren.» Das X fasst als Platzhalter, alle möglichen Service-Modelle (SaaS, PaaS und IaaS) in einem Begriff zusammen. Das Bundesamt für Sicherheit in der Informatik definiert den Begriff folgendermassen: «Der Begriff "as a Service" wird noch für eine Vielzahl weiterer Angebote benutzt, wie z. B. für «Security as a Service», «BP as a Service» (Business Process), «Storage as a Service», so dass häufig auch von "XaaS" geredet wird, also "irgendwas als Dienstleistung“» (4).

Der Begriff «SPI-Modell» ist ebenfalls geläufig. Dabei handelt es sich um ein Akronym aus den am häufigsten verwendeten Service-Modellen SaaS, PaaS und IaaS (5).

Verantwortlichkeiten

Die folgende Grafik veranschaulicht, wer für die funktionellen Komponenten einer Infrastruktur bei den jeweiligen Service-Modellen die Verantwortung trägt. Wird die Infrastruktur On-Premises (d.h. in den eigenen Räumlichkeiten) betrieben, liegt die Verantwortung in der Regel beim Inhaber der Infrastruktur. Beim Cloud Computing verschiebt sich die Verantwortlichkeit. Es wird auch nicht mehr vom Inhaber gesprochen, sondern vom Subscriber (Abonnenten). Der Provider der Cloud Infrastruktur vermietet somit einen Teil seiner Infrastruktur an einen Kunden, wobei die Hardware immer im Besitz des Providers bleibt (6)

cloud blog 1 1

On-Premises bedeutet, dass die gesamte Infrastruktur in Obhut des Nutzers ist. Die Infrastruktur befindet sich vor Ort. Bei IaaS befindet sich die gesamte Hardware nicht mehr beim Nutzer, sondern im Rechenzentrum des Service-Providers. Bei diesem Modell unterhält der Provider alle Komponenten bis und mit dem Hypervisor. Das Betriebssystem und die darauf installierten Anwendungen (inklusive Daten) werden vom Nutzer bewirtschaftet. Bei PaaS verschiebt sich die Verantwortung weiter zum Provider, welcher nun auch für das Betriebssystem und die Zwischenanwendungen (auch Middleware genannt, dies stellt die Kommunikation zwischen Anwendungen sicher) verantwortlich ist. Mit Runtime wird definiert, in welcher Programmiersprache die Applikation erstellt werden muss. Der Nutzer ist für die Applikation sowie für die Daten verantwortlich. Beim Service-Modell SaaS werden auch die letzten beiden Bereiche dem Service-Provider überlassen. Wichtig dabei ist, dass die Verantwortung und die Firmendaten nicht an den Service-Provider übergehen. Der Nutzer lässt zwar seine Daten vom Provider bearbeiten, die Verantwortung der IT-Sicherheit kann aber nicht ausgegliedert werden.

Full Cloud Approach

Mit einem Full Cloud Approach ist gemeint, dass alle IT-Services eines Unternehmens aus der Cloud bezogen werden. Welches Service-Modell dafür gewählt muss jeder für sich selbst entscheiden. Grundsätzlich kann aber gesagt werden, dass beim Modell SaaS der der Aufwand für den Unterhalt des Services am niedrigsten ist. Denn bei IaaS muss man sich auch um die Wartung des Betriebssystems, sowie um die installierten Applikationen kümmern.

Theoretisch ist jede Ressource, welche auf einem Server betrieben wird, vom Standort unabhängig. Dies ermöglicht die Kommunikation über TCP/IP (Transmission Control Protocol/Internet Protocol) und andere Protokolle. Remote-Zugriffe und VPN (Virtual Private Network) erlauben eine sichere Kommunikation rund um den Globus. Damit ist der Begriff Cloud mit dem «allgegenwärtigen, komfortablen Netzwerkzugriff» eigentlich schon geboren. Das definiert aber auch, was für den Zugriff auf die Cloud im Minimum benötigt wird. Es ist die Rede vom Netzwerkzugriff über das Internet. Ein Unternehmen benötigt somit im Minimum einen Internetzugang. Dabei spielt es aber keine Rolle, ob der Internetzugang im Gebäude des Unternehmens oder über eine Hotspotverbindung mit dem Smartphone ermöglicht wird. Der Endbenutzer soll über den einfachsten Weg immer direkt mit der Cloud-Dienstleistung kommunizieren können. Um den Full Cloud Approach zu erfüllen wird also immer ein Internetanschluss sowie ein Endgerät vorausgesetzt. Beim Endgerät kann es sich um ein beliebiges Endgerät handeln, da es zu den wesentlichen Merkmalen einer Cloud-Dienstleistung gehört. Die Infrastruktur kann, es spielt technisch keine Rolle, im Serverraum des Unternehmens oder in der Cloud betrieben werden (1).

Die Versorgung des Endbenutzers, wozu sein Endgerät und die Firewall des Unternehmens zählen, müssen folglich irgendwo vor Ort als Hardware vorhanden sein. Natürlich muss eine Firewall auch innerhalb der Cloud-Infrastruktur vorhanden sein, um die Dienste dort vor Angriffen aus dem Internet zu schützen. Aber auch die Endgeräte des Unternehmens sind zu schützen. Hier besteht die Möglichkeit, die Firewall-Dienstleistung als Managed-Firewall zu beziehen. In dieser Konstellation gibt der Kunde dem Betreiber der Firewall die geforderten Kommunikationswege bekannt und der Betreiber konfiguriert und überwacht die Firewall.

Ein Client kann ebenfalls über eine Cloud-Dienstleistung verwaltet werden. Hier existieren unzählige Möglichkeiten. Theoretisch kann jede MDM-Lösung (Mobile Device Management) auch in der Cloud auf einem Server betrieben werden. Eine solche Dienstleistung kann auch als SaaS-Lösung eingekauft werden. Die Clients können dann bequem über eine Webseite verwaltet werden. Diverse Hersteller von MDM-Lösungen bieten ihre Dienstleistungen auch über einen Cloud-Dienst an und können dies beispielsweise bei einem Windows Client-Betreibsystem einpflegen.

Rechtliches

Wagt ein Schweizer Unternehmen den Schritt in die Cloud, muss vorgängig geprüft werden, ob alle rechtlichen Voraussetzungen erfüllt werden können. Grundsätzlich kommt ein Unternehmen mit diversen Gesetzen in Berührung. Im Bundesgesetz über den Datenschutz (DSG) wird der Umgang mit Personendaten geregelt. Dies bezieht sich vor allem auf die Vertraulichkeit der Daten. Im schweizerischen Obligationenrecht (OR) ist beispielsweise die Buchführungspflicht relevant, da sie eine Aufbewahrung der Geschäftsbücher von 10 Jahren verlangt (Art. 958f OR). Hierbei ist also die Verfügbarkeit ein wichtiges Thema. In der Geschäftsbücherverordnung (GeBüV) wird ausserdem verlangt, dass die Echtheit und Unverfälschbarkeit (Integrität) der Geschäftsbücher sichergestellt werden muss. Wenn Personendaten bearbeitet werden, muss beim Gedanken, die Daten in die Cloud zu speichern, nicht die Notbremse gezogen werden. Wichtig ist, dass das Datenschutzgesetz eingehalten wird. Das heisst, Personendaten müssen durch technische und organisatorische Massnahmen vor unbefugtem Bearbeiten geschützt werden (Art. 7 DSG). Diese Massnahmen werden in der Verordnung zum Bundesgesetz über den Datenschutz (Art. 8 und Art. 9 VDSG) genauer definiert. Weiter ist definiert, dass die Bearbeitung besonders schützenswerter Personendaten protokolliert werden muss. Die Aufbewahrungspflicht der Protokolle beträgt ein Jahr (Art. 10 ff. VDSG). Bei Personendaten in der Cloud ist zusätzlich die grenzüberschreitende Bekanntgabe (Art. 6 ff. DSG) zu beachten. Personendaten dürfen im Ausland gespeichert werden, sofern im Zielland eine angemessene Gesetzgebung existiert. Hierfür kann die Staatenliste des EDÖB (Eidgenössischer Datenschutz- und Öffentlichkeitsbeauftragter) konsultiert werden (7). Fehlt eine angemessene Gesetzgebung, kann mit dem Cloud-Provider in einem Vertrag vereinbart werden, wie er den Schutz der Daten gewährleisten muss (Art. 6 Abs. 2 DSG). Momentan ist eine Revision des Schweizer Datenschutzgesetzes aufgrund der neuen Datenschutz-Grundverordnung in der Europäischen Union im Gange. Es gab viele Verzögerungen und es droht sogar die Gefahr, dass die Schweiz gegen das Schengen-Abkommen verstösst (8). Um zukünftig rechtliche Anforderungen zu erfüllen, macht es Sinn, bereits heute die DSGVO der Europäischen Union zu beachten (siehe nächsten Abschnitt). Unternehmen, die buchführungspflichtig sind, müssen die Geschäftsbücher mindestens 10 Jahre ordnungsgemäss aufbewahren (Art. 958f OR). Geschäftsbücher müssen ausserdem in unveränderbarer Form abgespeichert werden (d.h. geschützt vor Löschung und Veränderung) oder es müssen technische Verfahren zur Anwendung kommen, welche einen veränderten oder gelöschten Datensatz nachweisbar machen (Art. 9 ff GeBüV). Je nach Branche können auch andere Verordnungen von Bedeutung sein. Beispielsweise müssen Banken ein Prüfprogramm der Finanzmarktaufsicht (FINMA) bestehen. Die Prüfpunkte zur Informatik enthalten auf 16 Seiten diverse Massnahmen für eine bankenkonforme Infrastruktur. Das Element «IT-Outsourcing und Lieferantenmanagement» enthält diverse Punkte, welche auch in den Bereich Cloud fallen (9).

Viele Schweizer Firmen müssen die Datenschutz-Grundverordnung der Europäischen Union einhalten. Dies beispielsweise, wenn Waren oder Dienstleistungen in der Europäischen Union angeboten werden oder wenn Online-Verhalten von EU-Bürgern aufgezeichnet werden. Für diese Firmen bedeutet dies, dass sogenannte technische und organisatorische Massnahmen (TOM) umgesetzt werden müssen. Dazu gehören beispielweise die Sicherstellung des Schutzbedarfs, die Verschlüsselung von Daten und ein Verfahren zur Datenwiederherstellung. Weiter muss sichergestellt werden, dass bei einem Datenleck die Behörden innerhalb einer bestimmten Frist informiert werden müssen (10).

Bekannte Cloud-Dienste werden von Firmen mit Sitz in den USA angeboten. Die USA haben deshalb den CLOUD-Act (Clarifying Lawful Overseas Use of Data Act) verabschiedet. Damit soll sichergestellt werden, dass die Behörden der USA auf Daten, die in Rechenzentren der Cloud-Provider im Ausland gespeichert werden, Zugriff haben. Dies wird von den Providern auch verlangt, wenn die Gesetze des Landes, in dem die Daten gespeichert sind, dies nicht erlauben. Dies steht klar im Widerspruch zur DSGVO, da Daten nicht an Dritte weitergegeben werden dürfen. Theoretisch dürfen Unternehmen, welche die DSGVO einhalten müssen, Daten nicht in die Hände eines US-Unternehmens geben (11)

Fazit

Aus technischer Sicht kann gesagt werden, dass eine Migration aller IT-Dienste für KMUs realisierbar ist. Denn der Serverraum kann On-Premises im Unternehmen betrieben werden, oder die Dienstleistung kann bei einem Cloud-Provider eingekauft werden. Ein Unternehmen muss aber zwingend über eine ausreichend dimensionierte Internetverbindung verfügen, um sich mit dem Rechenzentrum in der Cloud zu verbinden. Je nach Anforderungen an die Verfügbarkeit ist ein redundanter Internetanschluss empfehlenswert. Die Schwierigkeit liegt darin, eine Grenze zu definieren, ab wann von einem Full Cloud Approach gesprochen. Dies kann und muss jedes Unternehmen für sich selbst entscheiden. Je nach Anforderungen des Unternehmens kann die Grenze variieren. Aus technischer Sicht lassen sich alle Komponenten einer IT-Infrastruktur in der Cloud betreiben, beziehungswiese managen. Dienste, die standortunabhängig sind, können sich physisch an einem anderen Standort befinden. Endgeräte des Nutzers oder aber auch Firewalls und andere Netzwerkkomponenten können über eine Dienstleistung in der Cloud verwaltet werden. Schliesslich muss jedes Unternehmen die vorgeschlagenen Phasen der Cloud-Nutzung durchlaufen, um festzustellen, welche Dienste in der Cloud betrieben werden können. Über die Phasen erfahren Sie im dritten Teil der Blog-Reihe mehr.

Aus rechtlicher Sicht spricht nichts gegen den Einsatz der Cloud. Es existieren keine Gesetze, welche die Nutzung von Cloud-Diensten untersagen. Trotzdem muss sich der Cloud-Nutzer mit dieser Thematik auseinandersetzen. Auch wenn der Cloud-Dienstleister garantiert, dass gewisse Anforderungen erfüllt werden, ist schlussendlich der Cloud-Nutzer der, der für einen unsachgemässen Umgang mit seinen Daten haftet. Rechtliche Anforderungen können mit technischen Massnahmen erfüllt werden. Um zu verifizieren, ob der Cloud-Dienstleister die Anforderungen erfüllt, muss sich der Nutzer auf entsprechende Zertifizierungen verlassen. Welche Zertifizierungen für die Cloud-Nutzung relevant sind erfahren Sie ebenfalls in dieser Blog-Reihe Woche.

Eine Problematik wird bei den grossen Cloud-Dienstleistern mit Sitz in den USA gesehen. Der «CLOUD-Act» der US-Behörden führt dazu, dass Daten auch im Ausland eingesehen werden können. In diesem Zusammenhang hat der Cloud-Dienstleister Microsoft in Irland gespeicherte Daten an die US-Behörden weitergegeben. Dies widerspricht den in der Schweiz und der Europäischen Union aktuell geltenden Datenschutzgesetzen.

Nächste Woche erfahren Sie, welche Risiken und Chancen Sie auf dem Weg in die Cloud zu beachten haben. Es ist wichtig, dass Sie die Risiken kennen sonst handeln sie leichtsinnig. Dies gilt aber auch für die Chancen, welche eine Cloud-Dienstleistung mit sich bringen kann.

Quellen

(1) Mell, P. M. & Grance, T. (2011). The NIST definition of cloud computing. Zugriff am 14.07.2018. Verfügbar unter https://nvlpubs.nist.gov/nistpubs/Legacy/SP/nistspecialpublication800-145.pdf

(2) 1&1 Digital Guide. (2018). Container-as-a-Service – CaaS-Anbieter im Vergleich. Verfügbar unter https://hosting.1und1.de/digitalguide/server/knowhow/caas-container-as-a-service-anbieter-im-vergleich/

(3) Anderson, C. (2015). Docker. Zugriff am 16.07.2018. Verfügbar unter https://ieeexplore.ieee.org/stamp/stamp.jsp?tp=&arnumber=7093032

(4) Bundesamt für Sicherheit in der Informationstechnik. (2018b). Cloud Computing Grundlagen. Zugriff am 17.08.2018. Verfügbar unter https://www.bsi.bund.de/DE/Themen/DigitaleGesellschaft/CloudComputing/Grundlagen/Grundlagen_node.html

(5) Rouse, M. (2014). SPI-Modell (SaaS, PaaS, IaaS). Zugriff am 18.08.2018. Verfügbar unter https://www.searchdatacenter.de/definition/SPI-Modell-SaaS-PaaS-IaaS

(6) Chou, Y. (2010). Cloud Computing Primer for IT Pros. Zugriff am 16.07.2018. Verfügbar unter https://blogs.technet.microsoft.com/yungchou/2010/11/15/cloud-computing-primer-for-it-pros/

(7) Eidgenössischer Datenschutz- und Öffentlichkeitsbeauftragter. (2017). Stand des Datenschutzes weltweit. Zugriff am 26.08.2018. Verfügbar unter https://www.edoeb.admin.ch/dam/edoeb/de/dokumente/2017/04/staatenliste.pdf.download.pdf/staatenliste.pdf

(8) Grau, C. (2018). Neues Schweizer Datenschutzgesetz kommt erst Ende 2019. Zugriff am 22.09.2018. Verfügbar unter https://www.netzwoche.ch/news/2018-06-13/neues-schweizer-datenschutzgesetz-kommt-erst-ende-2019

(9) Finma. (2018). Prüfprogramm – Minimale Prüfungshandlungen (FEbruar 2018). Verfügbar unter https://www.finma.ch/de/~/media/finma/dokumente/dokumentencenter/myfinma/2ueberwachung/pruefwesen-banken/pruefpunkte-zur-informatik.docx?la=de

(10) Boegelein, L. (2018). TOM Datenschutz. Sicherheitsmaßnahmen nach DSGVO. Zugriff am 31.08.2018. Verfügbar unter https://it-service.network/blog/2018/04/03/tom-datenschutz-toms-dsgvo/

(11) Speth, M. (2018). Datenschutz-Grundverordnung (DSGVO) und US Cloud Act. EU-DSGVO und Schweizer Unternehmen. Verfügbar unter https://vshn.ch/blog/datenschutz-grundverordnung-dsgvo-und-us-cloud-act/

Informationen zum Autor
Antonio Kulhanek
Autor: Antonio Kulhanek
Nach meinem Studium an der STFW erhielt ich die Möglichkeit bei goSecurity als Junior Security Consultant einzusteigen. Das war im Jahre 2013. Manchmal staune ich selbst über den Wissens- und Erfahrungsschatz, den ich bis heute aufbauen konnte. Neben meiner heutigen Funktion als Security Consultant bin ich als CIO für unsere interne IT-Infrastruktur verantwortlich. Genau deshalb kann ich unsere Kunden optimal und praxisnah beraten. Ich weiss was es bedeutet, eine IT-Infrastruktur sicher, kostenoptimiert und auf die Business-Prozesse ausgerichtet zu betreiben. Gebündelt kann ich mein Fachwissen und meine Erfahrung als Referent unseres Kurses goTraining Information Security for CIO (IS4CIO) weitergeben. Die Sicherheit Ihrer IT optimal auf Ihre Businessanforderungen auszurichten, ist nicht nur mein Beruf, es ist meine Leidenschaft.