Datensicherheit in der Cloud. Geht das?

Cloud-Daten sicher löschen

Wo lagern Ihre Unternehmensdaten?
Wie werden sie verarbeitet?
Und wie wieder gelöscht?
Unsere Daten sind überall und nirgends. Dank Cloud-Computing haben wir die Möglichkeit, von überall und mit verschiedenen Geräten auf unsere Daten zuzugreifen. Ein Klick und sie sind mit anderen Benutzern geteilt.
Was aber, wenn wir sensible Daten löschen wollen? Geht das überhaupt noch?
Um die Antwort vorweg zu nehmen: es geht nur noch unter bestimmten Voraussetzungen.
Nicht nur beim Löschen, sondern generell bei der Datensicherheit in der Cloud ist eine klare Sicht auf den gesamten Datenzyklus entscheidend – vom Schreiben und Erfassen über das Halten und die Backups bis zur etwaigen Löschung.

Daten klassifizieren

Jeder muss sich Gedanken machen, wie stark seine Daten zu schützen sind. Schon vor dem Start eines Cloud-Computing- oder Outsourcing-Projektes müssen die Anforderungen an die Daten definiert sein.
Die IT benutzt dafür Begriffe wie Vertraulichkeit, Verfügbarkeit und Integrität:
– Mit der Vertraulichkeit sollen der Empfängerkreis und die Weitergabe geregelt werden.
– Die Verfügbarkeit definiert, über welchen Zeitraum pro Tag, Woche, Monat oder Jahr die Daten dem Anwender zur Verfügung stehen sollen.
– Die Integrität stellt die Anforderungen an die technischen Systeme zur Erkennung von Veränderungen der Daten. Diese Anforderungen festzulegen ist die Voraussetzung für die technische Umsetzung der Datenhaltung.

Übertragen und verarbeiten

Vor dem Speichern müssen Daten erfasst, übertragen und gegebenenfalls verarbeitet werden. Damit die Daten beim Erfassen nicht in die falschen Hände geraten, muss dies auf einem sicheren Rechner in einer sicheren Umgebung geschehen. Das bedingt mindestens eine starke Authentisierung am Arbeitsplatz des Verfassers sowie in der betreffenden Anwendung. In der Regel ist auch die physische Anwesenheit an einem Ort – zum Beispiel dem Büro definiert.
Die Übertragung der Daten zum Server-System kann auf verschiedene Arten geschützt werden. Zum Beispiel lassen sich dedizierte Leitungen zwischen Büro und Rechenzentrum mit darin integrierter Verschlüsselung (VPN) verwenden.
Zwischen Browser und Anwendung wird zudem TLS (Transport Layer Security), vormals SSL) verwendet. TLS erschwert es potenziellen Mitlesern, Daten bei der Übertragung mitzulesen. Im Rechenzentrum angekommen werden die Daten verarbeitet oder einfach abgelegt. Doch auch dieser Schritt erfordert höchste Aufmerksamkeit. Werden beispielsweise Daten vor der sicheren Speicherung in einer Datenbank zu einem PDF verarbeitet, dann entstehen dabei Logfiles. Diese Logfiles können selbst auch Inhalte bzw. Daten enthalten. Für eine sichere Datenverarbeitung gilt also: Die Logdateien einer Anwendung müssen denselben Anforderungen unterliegen wie die eigentlichen Daten.

Daten lagern

Die größte Herausforderung liegt in der Lagerung oder Speicherung der Daten. Daten können als Rohdaten in einem Dateisystem lagern oder als Einträge in einer Datenbank.
Wer den Anspruch stellt, dass Systemad-inistratoren Rohdaten oder Datenbankinhalte nicht lesen dürfen, muss bei der Verarbeitungssoftware entsprechende Mechanismen implementieren. So werden Daten vor dem Schreiben verschlüsselt und beim Lesen entschlüsselt.
Wer sicher gehen will, legt auch fest, wie die Daten auf den Disk-Speichersystemen zu liegen haben. Es empfiehlt sich, Daten auf pro Anwendung dedizierten Disk zu speichern sodass für Performance und Sicherheit der Daten spezielle Maßnahmen ergriffen werden können.
Dedizierte Daten-Disks ermöglichen zudem eine zusätzliche Verschlüsselung. Sollten sie in falsche Hände geraten, können daraus keine Daten extrahiert werden. Sicherheitsmaßnahmen können jedoch auch zu Abstrichen bei der Verfügbarkeit führen, wenn kein durchdachtes Schlüsselmanagement besteht. Der Zugriff auf den Schlüssel muss auf möglichst wenige Personen beschränkt sein.

Backup & Restore

Daten müssen auch als Backup gesichert werden, also in einem vom primären Standort der Daten getrennten Lokalität und auf einem vom primären Datenträger getrennten Medium.
Auch hier kommen die bereits beschriebenen Techniken zur sicheren Übertragung zum Einsatz. Die Daten werden idealerweise vor der Übertragung auf das Back-Up-Medium des Quellsystems verschlüsselt. Auf dem Sicherungsmedium befinden sich somit unlesbare Daten beziehungsweise Daten, die nur mit dem auf dem Quellsystem bekannten Schlüssel gelesen werden können. Die Verfügbarkeit ist im Fall einer Recovery oder Business
Continiuty aber auch dann nur gegeben, wenn der Kunde über den entsprechenden Schlüssel verfügt und die typengleichen Back-Up-Restore-Software benutzt.

Das Löschen von Daten

Das Recht auf „Vergessenwerden“ brachte Google dazu, auf Geheiß gewisse Daten nicht mehr anzuzeigen. Die Daten selbst werden dabei aber nicht gelöscht, sie erscheinen einfach nicht mehr in den Suchresultaten.
Auch für einen Hoster gibt es nicht mehr nur das eine Löschen. Werden Daten auf dem primären System gelöscht, stehen diese zumindest während der definierten Backup-Aufbewahrungszeit für die Wiedererstellung bereit. Das heißt die Löschung auf den Backup-Medien geschieht mit einer gewissen Verzögerung. Stellt jedoch ein Projekt die
Anforderung, dass nach Einstellung des Betriebs sämtliche Daten beim Hoster komplett gelöscht sein müssen, impliziert das technische Maßnahmen. Eine davon sind pro Kunden dedizierte Medien. Nur dann können die Daten definitiv vernichtet werden, technisch und je nach Sicherheitsstufe auch mechanisch: im Schredder.

Klare Vorstellung – klare Vorgaben

Wenn in einem Projekt sensible Daten entstehen oder verarbeitet werden, müssen die Anforderungen an sie explizit formuliert werden. Erst aus einer solchen Definition lassen sich technische Implementierungen ableiten, die die Daten entsprechend schützen. Alle Daten mit denselben Auflagen zu versehen führt zu hohen Kosten und Abhängigkeiten von Dienstleistungsanbietern.

Die Verschlüsselung von Daten beim Hoster ist eine sinnvolle Möglichkeit den Zugriff einzuschränken. Wichtiger aber ist die klare Vorstellung oder Vorgabe, wo die Daten effektiv lagern, wer Zugriff auf sie hat und mit welchen Maßnahmen sie vor Veränderung geschützt werden. Dies wiederum bedingt eine uneingeschränkte Transparenz des Hosting-Anbieters in Technik und Prozessen.

Text stammt von „Kaspar Geiser, COM! 06/16“