Skeptiker werden sich bestätigt fühlen: Bei vielen Cloud-Services sind offenbar zusätzliche Maßnahmen erforderlich, um die Datenschutzanforderungen an Cloud-Logging und die Kontrolle des Administrators zu erfüllen. Das ist die Kernaussage des jüngsten Experton-Whitepapers aus der Feder von Oliver Schonschek. Datengrundlage war eine Studie im Auftrag von BalaBit.
Kritisch ist der Datenschutzaspekt für Anwenderunternehmen deshalb, weil die Verantwortung für den Schutz personenbezogener Daten sich nicht an den Anbieter delegieren lässt, sondern laut Bundesdatenschutzgesetz (§11 BDSG) beim Auftraggeber verbleibt. Die deutschen Aufsichtsbehörden erwarten BDSG-gemäß, dass sich der Cloud-Nutzer von den Sicherheitsmaßnahmen des Cloud-Anbieters überzeugt. Viele Provider versäumen es jedoch, ihren (potenziellen) Kunden die erforderlichen Informationen und Werkzeuge dafür zur Verfügung zu stellen oder ihnen zumindest entsprechende Lösungen zu empfehlen.
Genau solche Lösungen, die eine regelmäßige Überwachung der technischen und organisatorischen Maßnahmen des Cloud-Providers durch den Cloud-Nutzer ermöglichen, sichtet das Experton-Whitepaper „Cloud-Protokollierung und Privileged Access Management (PAM) als Grundbestandteil der Cloud-Sicherheit“; dabei geht es besonders auf die BalaBit Shell Control Box und die syslog-ng Store Box ein. BalaBit Shell Control Box dient der Kontrolle und dem Monitoring privilegierter Aktivitäten, wie sie ein Cloud-Administrator ausübt. BalaBit syslog-ng Store Box ermöglicht ein umfassendes Log-Management. Daraus ziehen nicht nur Cloud-Kunden einen Compliance-Vorteil, sondern auch die Cloud-Provider erhalten Unterstützung. Warum, erklärt Oliver Schonschek so:
„Cloud-Anbieter können ihren Kunden mit den BalaBit-Lösungen Shell Control Box (SCB) und syslog-ng Store Box spezielle Überwachungsdienste anbieten oder empfehlen, die dabei helfen, die Sorgen um einen Kontrollverlust bei Cloud Computing zu minimieren. Damit fällt ein wesentlicher Hemmschuh für den weiteren Einsatz von Cloud-Services und es steht ein deutlicher Mehrwert für die Marktpositionierung des Cloud-Providers zur Verfügung.“
Der Vergleich der Lösungen ergibt im Weiteren, dass eine ganze Reihe von Überwachungsdiensten z.B. keineswegs anbieterunabhängig arbeitet. Und die jeweiligen Services der Provider selbst funktionieren natürlich nur mit den Cloud-Diensten des jeweiligen Providers. Benötigt werden aber eine manipulationssichere Cloud-Protokollierung und eine vom Anbieter unabhängige PAM-Kontrolle des Cloud-Administrators (Privileged Access Management). Denn für jede Verarbeitung personenbezogener Daten sieht das deutsche BDSG die sogenannte Eingabekontrolle vor, auch bei Cloud Computing. Ziel der Eingabekontrolle ist, dass nachträglich überprüft und festgestellt werden kann, ob und von wem personenbezogene Daten in Datenverarbeitungssystemen eingegeben, verändert oder entfernt worden sind.
Das Experton-Whitepaper „Cloud-Protokollierung und Privileged Access Management (PAM) als Grundbestandteil der Cloud-Sicherheit“ kann man per Mail an clientservice@experton-group.com kostenfrei anfordern. (Quelle: Experton Group/red)
