Freitag, 6. Dezember 2019

Sicherheit beim Cloud Computing "Der Kunde sitzt am kürzeren Hebel"

Wolkige Versprechen: Cloud Provider müssen besser überprüfbar sein, fordert Sicherheitsspezialist Christoph Reich

Christoph Reich arbeitet daran, die Cloud sicherer zu machen. Der Leiter des Cloud Research Centers in Furtwangen glaubt, dass Provider in Zukunft individuellere Verträge mit ihren Kunden abschließen müssen - und viel genauer Rechenschaft ablegen müssen, was mit deren Daten passiert.

mm: Herr Professor Reich, Sie arbeiten an der "rechenschaftspflichtigen Cloud". Was muss man sich darunter vorstellen?

Reich: Wir wollen Transparenz in die Cloud bringen. Der Kunde soll viel mehr Informationen haben, als er bisher hat. Er soll sehen können, wer Zugriff auf seine Daten hat und wo sich seine Daten konkret befinden.

mm: Ist das nicht schon Standard? Das Hosting der Daten in Deutschland ist doch gerade ein Verkaufsargument der Cloud-Anbieter

Reich: Es geht darum, eingegangene Verpflichtungen auch sicherzustellen. Wenn etwas schief geht, muss der Provider dem Kunden automatisch Rechenschaft ablegen. Es geht uns dabei um technisch umzusetzende Methoden und Algorithmen.

mm: Wo kann denn etwas schief gehen?

Reich: Ein Merkmal einer Cloud ist ja, dass ein Provider die Daten jederzeit mit Instrumenten anderer Anbieter bearbeiten kann - und auch der kann wiederum outsourcen. Wenn man da keine Regelung trifft, kann es zum Beispiel sein, dass man zwar einen deutschen Anbieter hat, der aber wiederum auf Cloud-Dienste von Amazon Börsen-Chart zeigen zurückgreift. Das kann unter Umständen juristische Konsequenzen haben, wenn etwa ein US-Gesetz wie der Patriot Act den Zugriff auf Daten ohne gerichtlichen Beschluss erlaubt. US-Anbieter sind daran gebunden, auch wenn sie eine Dependance in Europa haben. Und ob andere Dienste im Spiel sind, merkt der Kunde gar nicht, wenn die Cloud nicht rechenschaftspflichtig betrieben wird.

mm: Im Grunde sitzt der Enduser also dem Provider gegenüber immer am kürzeren Hebel, weil er nie sicher sein kann, wie das System aufgebaut ist?

Reich: Genau. Er kann es jedenfalls nicht ohne Weiteres überprüfen. Wir wollen eine Rechenschaftskette aufbauen, die über Providergrenzen hinweg funktioniert. Wenn man die Eigenschaft weitergeben will, dass personenbezogene Daten besonders gut geschützt werden müssen, darf diese Kette ja nicht abreißen, wenn sie an einen anderen Provider weitergegeben werden.

mm: Wie soll das technisch gehen?

Reich: Wir wollen Schnittstellen definieren, die Drittorganisationen die Möglichkeit geben, die Datenströme zu überprüfen.

mm: Wäre damit auch der Bund ein potentieller Kunde? Deutsche Strafverfolgungsbehörden verlangen ja nach einer einheitlichen Schnittstelle, um Cloud-Kommunikationsdaten in Echtzeit überwachen zu können.

Reich: Im Prinzip geht das schon in diese Richtung. Aber eine gerichtlich verwertbare Nachprüfbarkeit sieht noch mal ganz anders aus. Wenn man beweissichere Daten aufnehmen will, braucht man spezielle Speicher dafür, die sehr teuer sind. Wir wollen nur dem Kunden die Möglichkeit geben, visualisiert zu bekommen, wo seine Daten liegen.

Seite 1 von 2

© manager magazin 2013
Alle Rechte vorbehalten
Vervielfältigung nur mit Genehmigung