171
Leitfäden
43
der BITKOM, EuroCloud, ENISA und des Bundesamts für
Sicherheit in der Informationstechnik (BSI) erläutert.
Schutzniveau der Daten definieren
Bei der Erzeugung oder beim Transfer der Daten in die Cloud muss der
Anwender seine Daten klassifizieren (z.B. Sicherheitslevel normal, hoch, sehr
hoch) sowie ihren Schutzbedarf analysieren und damit festlegen, welche
Daten bei einem Cloud‐Anbieter auf welche Weise gespeichert und
übertragen werden dürfen. Dies kann z.B. die Verwendung bestimmter
kryptografischer Verfahren oder ein ausgeklügeltes Rechtekonzept für den
Zugriff auf bestimmte Informationen umfassen.
Sichere Speicherung der Daten in der Cloud
Bei der Speicherung der Daten spielt die Verschlüsselung mit
unterschiedlichen Algorithmen und Schlüssellängen eine zentrale Rolle. Es
gilt grundsätzlich die Regel: Je stärker das Verschlüsselungsverfahren, desto
sicherer sind die Daten. Die Stärke der Verschlüsselung muss aber von Zeit
zu Zeit überprüft und angepasst werden. Auch die Unversehrtheit der
Zertifikatskette von S/MIME‐Zertifikaten sollte angesichts der „Snowden‐
Veröffentlichungen“ in das Zentrum unserer Aufmerksamkeit gerückt
werden.
Bei allen Vorteilen durch Verschlüsselung ist die Verwaltung der Schlüssel
eine Herausforderung, die dem Cloud‐Dienstenutzer zufällt. Ein Verlust von
Schlüsseln bedeutet gleichzeitig den Verlust verschlüsselter Daten. Ein
Kompromittieren der Schlüssel bedeutet eine Gefährdung der Sicherheit der
Daten. Darüber hinaus ist die Verarbeitung der verschlüsselten Daten noch
nicht in der Praxis gelöst. An der praktikablen Verwendung der
homomorphen Verschlüsselung wird zurzeit geforscht. Bis dahin bleibt es
bei der Methode, dass die Daten für die Weiterverarbeitung entschlüsselt
werden.
43
BITKOM‐Leitfaden „Cloud Computing – Evolution in der Technik, Revolution im Business“,
Oktober 2009.
Bitkom‐Leitfaden „Cloud Computing – Was Entscheider wissen müssen“, 20.12.2010.
EuroCloud‐Leitfaden „Recht, Datenschutz & Compliance“, 02.12.2011.
Catteddu, D. and Hogben, G., editors. „Cloud Computing Benefits, Risks and Recommendations
for Information Security“, The European Network and Information Security Agency (ENISA), 2009.
Brunette, G. and Mogull, R., editors. „Security Guidance for Critical Areas of Focus in Cloud
Computing V2.1.“, Cloud Security Alliance, 2009.
BSI‐Eckpunktepapier Sicherheitsempfehlungen für Cloud‐Computing‐Anbieter –
Mindestanforderungen in der Informationssicherheit; Stand Februar 2012.