AWS, Microsoft, IBM: Wie steht es um die Transparenz beim Cloud-Standort?

Cloud-Anbieter ermöglichen zunehmend eine Festlegung des Verarbeitungsstandortes auf den EU/EWR-Raum oder bieten Clouds aus deutschen Rechenzentren.

Deutsche Unternehmen, die Cloud Computing nutzen, dürfen sich nicht mit der Information zufrieden geben, dass ihre...

Daten irgendwo in der Cloud liegen. Auch wenn viele Cloud-Nutzer die IT aus der Wolke genauso einfach und flexibel beziehen wollen wie den Strom aus der Steckdose, muss bei Cloud-Services die Herkunft geklärt werden. Der Cloud-Datenschutz macht hierzu klare Vorgaben.

Die Entschließung des Düsseldorfer Kreises der Aufsichtsbehörden für den Datenschutz im nichtöffentlichen Bereich fordert insbesondere:

  • Eine transparente, detaillierte und eindeutige vertragliche Regelungen zum Ort der Datenverarbeitung und zur Benachrichtigung über eventuelle Ortswechsel.
  • Die Umsetzung der abgestimmten Sicherheits- und Datenschutzmaßnahmen auf Seiten von Cloud-Anbieter und Cloud-Anwender auch hinsichtlich des vereinbarten Cloud-Standortes.
  • Aktuelle und aussagekräftige Nachweise zu Datenschutz und Datensicherheit, wozu auch die Einhaltung des Standortes der Datenverarbeitung gehört.

Cloud-Nutzer müssen deshalb bei ihrer Entscheidung für einen Cloud-Anbieter die Standortfrage stellen und prüfen, wie es um die Transparenz und Kontrolle hinsichtlich des Verarbeitungsortes der Daten in der Cloud steht. Leider helfen nicht alle Datenschutz-Zertifikate bei dieser Klärung.

In dieser Analyse wird bei den drei führenden Cloud-Anbietern diese Standortfrage untersucht. Die Auswahl der drei Cloud-Provider basiert auf einer Marktstudie der Synergy Research Group, die Amazon Web Services (AWS), Microsoft und IBM Softlayer als die Anbieter mit dem weltweit größten Marktanteil bei Cloud Infrastructure Services benennt.

Cloud-Standort bei Amazon Web Services (AWS)

Wenn ein Kunde zum Beispiel seine Daten bei AWS in der Region Frankfurt sichert, werden die Daten diesen Standort nicht verlassen, bis der Kunde dies verfügt, so AWS auf Anfrage. AWS-Kunden können auch ihre Backup- und Archivierungspräferenzen einstellen. 

Wer zum Beispiel Daten in S3 in der Frankfurt Region speichert, kann diese auch dort archivieren und ein Backup erstellen lassen. Kunden können auch über eine Cross-Region Replication mehrere Regionen auswählen, müssen dies aber aktiv tun.

„Natürlich können unsere Kunden immer frei wählen, wo ihre persönlichen Daten gespeichert werden sollen – ob innerhalb oder außerhalb Europas oder innerhalb oder außerhalb Deutschlands“, so Martin Geier, Geschäftsführer AWS Deutschland. „Hat sich der Kunde für eine Möglichkeit entschieden, bewegt AWS die Daten nicht ohne expliziten Auftrag vom Kunden.“

Cloud-Standort bei IBM SoftLayer

IBM bietet in Europa IaaS-Cloud-Rechenzentren in London, Paris, Montpellier, Barcelona, Lissabon, Amsterdam, Frankfurt, Ehningen und Winterthur an. „Wenn der Kunde zum Beispiel seine Daten in Deutschland wissen will, dann wählt er das Rechenzentrum Frankfurt und seine Daten liegen und bleiben dann in Frankfurt“, so Kurt Nikola Rindle, Cloud Portfolio Leader IBM DACH. „Sollte ein Kunde ein Rechenzentrum in einem anderen Land außerhalb Europa benötigen, bieten wir selbstverständlich die passenden EU Model Clauses und ADV-Verträge an.“

Hinsichtlich der Kontrollmöglichkeiten der Cloud-Nutzer bietet IBM seinen Kunden an, über das Nutzerportal auf ihre Infrastruktur zuzugreifen und sie zu überwachen. Darüber hinaus bietet IBM Service Management Lösungen aus der Cloud, mit denen Kunden hybride Strukturen, also zum Beispiel ihre Lösungen in der Cloud übergreifend steuern können.

Cloud-Standort bei Microsoft

Das Microsoft Cloud Compendium „Compliance in der Microsoft Enterprise Cloud“ behandelt unter anderem die Frage nach dem Cloud-Standort. Dort erklärt Microsoft: „Für deutsche Kunden werden standardmäßig die wesentlichen Kundendaten (Core Customer Data) der Microsoft Enterprise Services (Office 365, Microsoft Azure, Dynamics CRM Online, Windows Intune) in den Microsoft Rechenzentren in Dublin und Amsterdam gespeichert. Rechenzentren in anderen EU-Ländern sind Rechenzentren in Deutschland datenschutzrechtlich gleichgestellt.

Microsoft verfolgt bei den Rechenzentren eine an den Regionen orientierte Strategie. Das Land oder die Region des Kunden, das oder die der Administrator bei der erstmaligen Einrichtung der Dienste eingibt, bestimmt den primären Speicherort für die Daten des Kunden.“ Bei der Auswahl Region Nordeuropa findet die Speicherung in Irland statt, bei der Region Westeuropa in den Niederlanden.

Wo sich der sekundäre Speicherort zum Beispiel für Backups befindet, kann von dem Cloud-Nutzer festgelegt werden. Es besteht eine Wahl zwischen dem lokal redundanten Speicher (LRS) und dem geografisch redundanten Speicher (GRS). Bei dem LRS werden die Daten lokal innerhalb der primären Region der Benutzer gespeichert. 

Bei dem GRS werden die Daten in einer sekundären Region mit einer Entfernung von mindestens 400 km zur primären Region, aber in derselben geografischen Region gespeichert. Im Standard ist GRS als Option aktiviert. Nutzer sollten hier die beiden Regionen Nordeuropa und Westeuropa für GRS wählen, wenn höhere Ansprüche an die Ausfallsicherheit bestehen, als LRS dies bieten kann (normale Hardware-Ausfälle).

Microsoft macht zusätzlich diesen Hinweis, den Cloud-Nutzer jeweils konkret hinterfragen sollten. Eine generelle Klärung ist nicht möglich, da eine Abhängigkeit vom jeweiligen Support-Fall besteht: „Die Anforderungen zur Bereitstellung der Dienste können im Einzelfall beinhalten, dass einige Daten Mitarbeitern beziehungsweise Zulieferern von Microsoft außerhalb der primären Speicherregion zugänglich gemacht werden. Darüber hinaus kann es vorkommen, dass sich die Mitarbeiter mit der meisten technischen Erfahrung für die Behandlung spezieller Dienstprobleme an anderen Standorten als am primären Standort befinden, und sie gegebenenfalls Zugriff auf Systeme oder Daten benötigen, um das Problem lösen zu können.“

Fazit

Wie die drei Cloud-Provider beispielhaft zeigen, stehen deutschen Cloud-Nutzern durchaus vertragliche Vereinbarungen und Werkzeuge zur Verfügung, um den Cloud-Standort festzulegen und zu überprüfen. Diese müssen allerdings auch genutzt werden. Im Einzelfall wie zum Beispiel bei speziellen Dienstproblemen können Rückfragen erforderlich sein, von wo Zugriffe auf die Daten erfolgen, wie der genannte Hinweis von Microsoft zeigt.

Wichtig ist:

  • Der Cloud-Anbieter muss vertraglich verpflichtet werden auch sämtliche Unteranbieter – inklusive solchen, die zu Beginn noch nicht bekannt waren – und sämtliche Standorte der Datenzentren, an denen die personenbezogenen Daten verarbeitet werden können, abschließend gegenüber dem Cloud-Nutzer zu benennen.
  • Der Cloud-Anwender muss über die vorgesehenen Standorte der Datenverarbeitung informiert werden, bevor die personenbezogenen Daten dorthin fließen.
  • Der Cloud-Nutzer darf es nicht hinnehmen, wenn der Cloud-Anbieter eine Auskunft zu den Standorten der Datenverarbeitung verweigert.
  • Da man immer von dem Risiko einer Entschlüsselung der Daten ausgehen muss, gilt der Datenschutz auch für verschlüsselte Daten, somit muss auch bei Verschlüsselung der Daten auf den Cloud-Standort geachtet werden.
  • Beachten Sie auch die Hinweise zu Safe Harbor, PATRIOT Act und möglichen staatlichen Zugriffen.

Folgen Sie SearchSecurity.de auch auf Twitter, Google+ und Facebook!

Artikel wurde zuletzt im April 2015 aktualisiert

Pro+

Premium-Inhalte

Weitere Pro+ Premium-Inhalte und andere Mitglieder-Angebote, finden Sie hier.

Erfahren Sie mehr über Datensicherheit und Cloud-Computing

5 Kommentare

Älteste Beiträge 

Passwort vergessen?

Kein Problem! Tragen Sie Ihre E-Mail-Adresse unten ein. Wir werden Ihnen eine E-Mail mit Ihrem Passwort schicken.

Ihr Passwort wurde an die folgende E-Mail-Adresse gesendet::

- GOOGLE-ANZEIGEN

SearchStorage.de

SearchNetworking.de

SearchEnterpriseSoftware.de

SearchDataCenter.de

Close