Die Cloud – Eine kleine Übersicht

Ob Firma, Einzelunternehmer oder Privatperson – Cloud-Dienste sind ein Bestandteil unserer digitalen Welt. Angefangen bei dem Backup Ihres Apple iPhones in der iCloud, dem vorinstallierten OneDrive in Microsofts Windows oder der Verwendung von WeTransfer um große Daten zu übertragen bis hin zu komplexen Cloud Computing Angeboten wie Amazon Web Services (AWS), Google Cloud Platform (GCP), IBM Cloud, Oracle Cloud und Microsoft Azure.
Kleiner Spoiler: Sie interessieren sich vermutlich mehr für Cloud Storage als für Cloud-Computing 😀.

Neben der Sicherheit Ihrer Daten müssen Sie bei der Verwendung von Cloud-Diensten auch ein besonderes Augenmerk auf den Datenschutz legen – bedenken Sie Datensicherheit ist nicht gleich Datenschutz.

Cloud Computing

Der in der Öffentlichkeit bzw. im privaten Umfeld unbekanntere Teil der Cloud-Technologie, aber gleichzeitig im unternehmerischen Umfeld hoch interessant. Im Cloud-Computing werden IT-Ressourcen (Rechenleistung, Datenspeicher, Anwendungen etc.) On-Demand zur Verfügung gestellt und meist in einem Subscription-Modell vermietet. Der Vorteil ist die sofortige Verfügbarkeit der Ressourcen ohne dass die IT monatelange Vorbereitungen treffen muss und dann im schlimmsten Fall bei Nichtnutzung der angeschafften Ressourcen auf hohen Wartungs und Instandhaltungskosten sitzen bleibt.

Um den Bogen zur Cybersecurity zu schlagen führen wir hier den Begriff der Cloud-Security ein. Durch die großen etablierten Strukturen von Weltkonzernen wie Amazon, Microsoft oder Google sind die Systeme grundsätzlich sicherer als alles, was Sie im eigenen Rechenzentrum in der Firma aufbauen könnten. Auf der anderen Seite sind diese Systeme bei den großen Weltkonzernen natürlich auch ein interessanteres Ziel. Die größte Sicherheitslücke sind in der Regel vom Anwender falsch vorgenommene Konfigurationen, welche meist aus Unwissenheit geschehen.

Beim Cloud Computing gibt es verschiedene Liefermodelle, die die Servicemodelle zur Verfügung stellen. Das Liefermodell ist also die Art von Maschine. Egal welche Art von Maschine genutzt wird kann jedes Servicemodell (Produkt) bereitgestellt werden.

Servicemodelle

• Infrastructure as a Service (IaaS)
• Platform as a Service (PaaS)
• Software as a Service (SaaS)
• Function as a Service (FaaS)

Liefermodelle

• Public Cloud – die öffentliche Rechnerwolke
• Private Cloud – die private Rechnerwolke
• Hybrid Cloud – die hybride Rechnerwolke
• Community Cloud – die gemeinschaftliche Rechnerwolke
• zzgl. Mischformen

Weitere leicht verständliche Informationen finden Sie unter:

• https://net-developers.de/2022/12/27/cloud-computing-alle-service-und-liefermodelle-im-ueberblick/
• https://de.wikipedia.org/wiki/Cloud_Computing

Cloud Storage

Bitte bedenken Sie auch den Datenschutz bei Cloud-Dienstleistungen, da Sie zwangsläufig Daten an Dritte weitergeben. Diese sind gegebenenfalls nicht ausreichend anonymisiert und enthalten damit personenbezogene Daten, welche nach DSGVO geschützt werden müssen. Besonders kritisch wird es, wenn die Daten an Server außerhalb der EU übertragen werden (EU-US Privacy Shield).

Die Cloud im privaten Umfeld

Kommen wir zu dem was der Laie mit Cloud in Verbindung bringt. Im privaten Umfeld sollte man nicht bedenkenlos einfach jedes Angebot nutzen, welches im Internet kursiert. Jedoch ist die Nutzung der großen Anbieter wie Microsoft, Google etc. meist risikoarm, solange es sich um private Daten handelt, welche nicht Urheberrechtlich geschützt (z.B. Ton- und Videoaufnahmen) sind oder illegal (z.B. bestimmte pornografische oder verfassungsfeindliche Inhalte) sind. Der Privatnutzer muss sich also relativ wenig Gedanken machen um die Nutzung solcher Dienste, weil auch der Verlust oder die Veröffentlichung der Daten wenig Schaden anrichten würden. Wir empfehlen immer so wenige Dienste wie nötig zu verwenden (Redundanz reduzieren). Die meisten Dienste sind Systemübergreifend nutzbar und so können Sie auch die iCloud auf Ihrem Windows Rechner nutzen und müssen hier nicht auf Microsofts OneDrive ausweichen.

Die Cloud im Unternehmen

Im gewerblichen Umfeld wird es schwieriger und hier haben Unternehmen eine gesteigerte Verantwortung für Datensicherheit und Datenschutz. So ist zum Beispiel die iCloud ursprünglich nicht für Unternehmen konzipiert worden. Es gibt zwar einen Business-Manager-Vertrag, der hier Abhilfe schaffen soll, aber die Passagen zur Auftragsverarbeitung stehen teilweise im Widerspruch zur DSGVO. Stichwort ist hier u.a. das EU-US Privacy Shield.
Beispiel: Sie haben ein MacBook von der Firma und zwangsläufig ein Apple-Konto. Für kurze Notizen verwenden Sie die Notizen App und tragen hier Gesprächsnotizen und Kontaktdaten ein. Die Notizen App synchronisiert sich aber im Hintergrund mit der iCloud und damit geben Sie personenbezogene Daten an Dritte weiter.

Jeder Angestellte hat eine Pflicht sich an die Vorgaben des Unternehmens zu halten und ist ggf. haftbar für die Missachtung dieser Richtlinien. Jedoch haben viele Unternehmen keine Richtlinien und die Haftung kann dann nur beim Unternehmen liegen. Es kann nicht die Aufgabe der Sekretärin oder des Sekretärs sein die Datensicherheit und den Datenschutz des Unternehmens individuell zu erarbeiten und umzusetzen. Dies liegt in der Verantwortung der Unternehmensführung hier Konzepte zu erarbeiten und diese der Belegschaft zu vermitteln und die Einhaltung der Richtlinien zu kontrollieren.

Beispiel: Immer wieder bekommen wir Daten (auch inkl. Personenbezogener Daten) per WeTransfer zugestellt, weil diese zu groß sind für die E-Mail Kommunikation. Der Absender nutzt meist ein privates Konto ohne Datenbearbeitungsvereinbarung mit WeTransfer, was im Konflikt mit der DSGVO steht. Zudem werden Daten teilweise auf Servern in den USA gespeichert. Wir gehen zudem davon aus, dass in den meisten Fällen das Unternehmen keine Ahnung hat, dass WeTransfer verwendet wird.

Jetzt haben wir aber nicht nur Großkonzerne mit eigener IT, Datenschützern und eigens entwickelten Infrastrukturen zur Datenverwaltung in der Welt. Was soll der kleine Einzelunternehmer mit unter 10 Angestellten nur machen? Der Bedarf an digitalen Lösungen zur Teamarbeit, gerade in Zeiten von Home-Office, liegt auch beim kleinen Schreinerei-Betrieb, Architekten-Büro oder der Arztpraxis vor. Eine neue Stelle für Konzeption, Verwaltung und Kontrolle der Datenverarbeitung zu schaffen ist aus finanzieller Sicht keine Option. Ebensowenig kann dieser Sektor unreguliert bleiben, weil die Strafen oder der mögliche wirtschaftliche Schaden ebenfalls eine Bedrohung für das Unternehmen sein kann.

Die Lösung kann es nur sein einen externen Dienstleister dauerhaft zu beauftragen, welcher ein Konzept erstellt auf Basis der vorhanden technischen Infrastruktur und die Mitarbeiter als auch die Geschäftsführung schult im korrekten Umgang und für Rückfragen zur Verfügung steht.

Eine Liste welche Services zu empfehlen sind ist auf Grund des Umfangs und der individuellen Erfordernisse in diesem Artikel nicht möglich. Gerade in Bezug auf Sicherheit und Datenschutz wird es schnell sehr komplex. Wir können hier nur ein paar Punkte vorstellen, auf die Sie achten sollten:

• Liegt der Server der Dienstleistung in der EU, bestenfalls sogar in Deutschland?
• Kann ein Auftragsverarbeitungs-Vertrag (AV-Vertrag) mit dem Anbieter geschlossen werden?
• Führt eine einfache Internet-Recherche zur Dienstleistung zu Zweifeln im Bereich Datenschutz und -sicherheit?
• Ist der Anbieter in der Vergangenheit gehackt worden und wie groß war der Schaden?
• Ist der Anbieter seriös? Jeder kann mit kleinsten Mitteln einen Server betreiben und eine Cloud installieren, aber die Sicherheit bleibt häufig auf der Strecke.
• Handelt es sich um einen Anbieter einer Leistung oder nur um einen Vermittler, der die Dienste von Anbietern weiterverkauft? Mit wem schließen Sie den Vertrag?
• Ist der Preis vergleichbar mit anderen Anbietern? Wenn es zu günstig oder teuer wird ist in beiden Fällen Vorsicht geboten.
• Im Zweifel fragen Sie immer einen vertrauensvollen Experten! Die Beratungskosten sind immer noch viel geringer als ein möglicher Schaden.