Cloud Computing und Datenschutz

Inhalt

1. Einleitung

2. Cloud Computing
2.1. Begriffserklärung
2.2. Organisationsformen Cloud Computing
a) Public Cloud
b) Private Cloud
c) Hybrid Cloud
2.3. Verschiedene technische Konzepte - Cloud Computing
a) Infrastructure as a Service (IaaS)
b) Platform as a Service (PaaS)
c) Software as a Service (SaaS)

3. Datenschutz und Cloud Computing (BDSG, Probleme im Ausland)
3.1. Risiken mit Datensicherheit beim Cloud Computing
3.2. Anforderung an den Datenschutz (BDSG)
a) Vertrag zur Auftragsdatenverarbeitung (ADV)
b) Datenübermittlung außerhalb der EU/ EWR, speziell in die USA

4. Nutzen und Chancen von Cloud Computing

5. Probleme und Nachteile von Cloud Computing

6. Zusammenfassung und Ausblick

7. Literaturverzeichnis

8. Abbildungsverzeichnis

1. Einleitung

Der Begriff Cloud Computing ist derzeit in der Informationstechnik allgegenwärtig und gleichzeitig auch nicht mehr wegzudenken. Hinter dem Begriff stecken zahlreiche Interpretationen, jedoch keine standardisierte oder gar einheitliche Definition. Grundsätzlich verkörpert Cloud Computing die Bereitstellung und Nutzung von IT-Infrastruktur, was auch derzeit von immer mehr Unternehmen genutzt wird.^[1]

Diese Trendwende in der IT Branche haben sich bisher zahlreiche Firmen wie beispielsweise Amazon, Google oder Microsoft zu Nutze gemacht und stellen dabei Ihre Cloud-Dienste, für verschiedenste Anwendungen an Einzelpersonen oder Unternehmen zur Verfügung. Der Wandel wird immer mehr sichtbar, denn Cloud-Dienste stehen für Mobilität.^[2]

Mit diesem aktuellen Thema setzt sich diese Arbeit intensiv auseinander und klärt hier zunächst den Begriff „Cloud Computing“, um im Anschluss auf die damit verbundenen Organisationsformen und Konzepte der verschiedenen Anbieter eingehen zu können. Anhand von Beispielen macht diese Ausarbeitung einerseits deutlich, welche Vorteile und Vereinfachungen das Cloud Computing mit sich bringt, andererseits werden auch die Gefahren und Auswirkungen dieser Technik kritisch betrachtet. In den nächsten Jahren soll Cloud Computing mit immer weiter steigenden Umsatzerträgen verbunden sein, was auch der allgemeine Trend, etwas zu leasen anstatt zu kaufen bestätigt. Dadurch müssen die Unternehmen nicht mehr in die notwendigen Ressourcen investieren, sondern können diese über Dienstleister mieten. Doch neben all den positiven Aspekten eröffnen sich dem Benutzer auch einige wesentliche Fragen. Wie sicher sind unsere Daten? Werden wir über das Internet ausspioniert? Was kostet Cloud Computing wirklich?^[3]

Die Klärung dieser oben genannten Fragen zum Thema Datensicherheit, soll ebenso ein Gegenstand dieser Untersuchung sein. Dabei wird sich die Arbeit in Punkto Datenschutz schwerpunktmäßig mit den Anforderungen des Bundesdatenschutzgesetzes und dessen Schwierigkeiten im Ausland auseinander setzen und die entstehenden Probleme aufzeigen.

2. Cloud Computing

2.1. Begriffserklärung

Wie in der Einführung bereits erwähnt, gibt es keine konkrete Definition von Cloud Computing. Der Begriff „Cloud“ soll dabei andeuten, dass die Dienste von einem anderen Anbieter im Internet erbracht werden.^[4] Direkt übersetzt bedeutet es „Datenverarbeitung in einer Wolke“, was jedoch nur bedingt Erkenntnisse liefert. Deshalb wird durch die Funktionsweise der Begriff näher erläutert. Bislang speichert der Großteil der Computer-Nutzer seine Daten lokal auf internen oder externen Festplatten sowie auf Servern, die sich in den eigenen Wohn- bzw. Geschäftsräumen befinden. Ausnahmen hiervon sind schon heutzutage E-Mail-Accounts und Websites. Durch das Cloud Computing werden Dokumente, Fotos, Videos, etc. – anders als bisher – nicht mehr auf dem heimischen Rechner abgelegt, sondern auf einer Vielzahl von Servern, die über das Internet verteilt sind.

„Der Begriff „Cloud Computing“ wurde zum ersten Mal 1997 benutzt. Er bezieht sich insbesondere auf die Idee, Rechenarbeit nicht an einem bestimmten, bekannten Ort durchzuführen, sondern aus der Ferne zu steuern.“^[5]

Die grundlegenden Konzepte und generellen Ziele dieses Dienstes sind derzeit unbestritten, denn Cloud Computing nutzt Virtualisierung und das moderne Web, um IT-Ressourcen verschiedenster Art (also Applikationen, Plattform-, Infrastrukturleistungen, usw.) als elektronisch verfügbare Dienste dynamisch bereitzustellen. „Die Dienste sollen dabei von mehreren Konsumenten verlässlich und skalierbar nutzbar sein, d. h. sowohl auf Abruf als auch nach Bedarf verfügbar sein.“^[6] Dies wird durch den variablen Umfang von Cloud-Diensten erst möglich. Unternehmen betreiben Tausende oder Zehntausende Server, was heißt, dass der Bedarf eines Kunden immer gestillt werden kann, wie groß er auch sein mag und wie schnell er auch anfällt. Am wichtigsten sind aber Geschwindigkeit und Kosten. Arbeitet man mit Cloud-Systemen, entstehen einem selbst keine Kosten dafür, sie immer „up to date“ zu halten oder Netzwerke und Software zusammenzustellen. Darüber hinaus muss man kein Kapital einsetzen, um den vollen Umfang von Hard- und Software zu kaufen, sondern zahlt nur für den Level des Dienstes und dessen Zeit, in der er benötigt wird. Aus diesem Grund wird das Cloud Computing manchmal mit „Rechnen nach Verbrauch“ bezeichnet, weil das temporäre Anbieten von Computer-Systemen so zu einer Dienstleistung wie die Gas- oder Stromversorgung wird.^[7]

2.2. Organisationsformen Cloud Computing

Die Organisationsformen lassen sich in drei verschiedene Systeme unterscheiden, welche in der nebenstehenden Abbildung dargestellt sind.

Es wird dabei zwischen Public Cloud, Private Cloud und Hybrid Cloud unter-schieden, wobei letzteres eine Mischform der ersten beiden Organisationsformen darstellt.

a) Public Cloud

Eine Public Cloud befindet sich im Eigentum eines Dienstleisters und wird von diesem auch betrieben. Folglich gehören die Anbieter und die potenziellen Benutzer nicht derselben organisatorischen Einheit an und können von einer beliebigen Zahl von Cloud Anwendern benutzt werden. Viele prominente Beispiele wie Amazon Web Services, Salesforce.com, SAP „Business ByDesign“, Office 365 oder Google „Apps for Business“ werden in dieser Form angeboten.^[8]

b) Private Cloud

Eine Private Cloud ist im Gegensatz dazu eine unternehmensindividuelle Cloud, die oft von einem Unternehmen selbst betrieben wird. Deshalb ist der Zugang meistens beschränkt auf Mitarbeiter, eventuell auch auf Lieferanten und Kunden.^[9] Dieser erfolgt in der Regel über ein Intranet bzw. eine Virtual Private Network-Verbindung. Durch VPN wird dem Anwender von jeden Ort ein sicherer Zugriff auf seine privaten Daten gewährt, indem die Internetverbindung verschlüsselt wird, um so einen virtuellen Tunnel zwischen Netzwerkkarte und VPN-Server aufzubauen.^[10]

Im Unterschied zu öffentlichen Clouds sind Private Clouds bei Netzbandbreite und Verfügbarkeit nicht eingeschränkt und bieten zudem einen besseren Ausfallschutz. Auch Sicherheitsrisiken werden im Gegensatz zu Public Clouds deutlich gemindert.^[11]

c) Hybrid Cloud

In Szenarien, in denen Dienste aus der Public Cloud, Private Cloud und traditioneller IT-Umgebung zusammen benutzt werden, spricht man von einer Hybrid Cloud. Dazu werden bestimmte Funktionalitäten oder Lastspitzen in die Public Cloud ausgelagert, während der Regelbetrieb weiter über die privaten Ressourcen erfolgt. Grundsätzlich sollte man aber dabei sehr kritisch abwägen, welche Funktionen oder Daten ausgelagert werden dürfen.^[12]

2.3. Verschiedene technische Konzepte - Cloud Computing

Bei Cloud Computing geht es nicht mehr darum, Rechner, Speicher, Entwicklungs-umgebungen oder gar ganze Anwendungen zu besitzen, sondern als Service zu nutzen.^[13] Cloud Computing wird in folgende drei Servicemodelle unterteilt (Abb. 2), die sich dahingehend unterscheiden, welcher Anteil des Betriebs und der Administration vom Dienst-leister bzw. vom Kunden übernommen wird.

a) Infrastructure as a Service (IaaS)

Die unterste Ebene stellt Services für den Aufbau einer Infrastruktur zur Verfügung. Dem Kunden werden dabei fundamentale Verbrauchsressourcen wie Rechen-, Speicher- oder Netzkapazität zur Verfügung gestellt, was eine Auslagerung der materiellen Infrastruktur zur Folge hat. Die Zuordnung zu einem Service sowie auch die Freigabe nach der Nutzung, erfolgt dabei durch den Nutzer. Für die ständige Verfügbarkeit der benötigten Hardware- bzw. Netzkapazitäten hat der jeweilige Dienstleister Sorge zu tragen.^[14] Ein bekannter Service auf der Ebene IaaS ist die Amazon Elastic Compute Cloud (EC2), eine zentrale Cloud-Plattform für skalierbare Rechenkapazität.^[15]

b) Platform as a Service (PaaS)

Diese zweite Ebene wendet sich an Softwarearchitekten oder Anwendungsentwickler und stellt Plattformen zur Verfügung um Anwendungen zu entwickeln oder auf die Anforderungen des Unternehmens anzupassen. Mit Hilfe dieser Services wird die Entwicklung von Anwendungen nicht nur vereinfacht, sondern auch beschleunigt. Somit können bei kurzzeitigem Bedarf sehr hohe Rechenleistungen abgerufen werden, ohne dass teure Ressourcen vorgehalten werden müssen. Beispiele für Services auf der Ebene PaaS sind Azure von Microsoft und App Engine von Google. Im ERP Umfeld gibt es für SAP Business ByDesign ein entsprechendes Angebot mit Namen SAP Business ByDesign Studio.^[16]

c) Software as a Service (SaaS)

Anwendungen stellen die oberste Schicht dar und bauen logisch auf alle vorhergehenden Schichten auf, was auch in Abbildung 2 verdeutlicht wird. Software as a Service ist ein Geschäftsmodell, bei dem nicht länger die Software-Anwendung an den Kunden verkauft wird, sondern er diese als Dienstleistung gegen Entgelt zur Verfügung gestellt bekommt. Folglich werden Software sowie IT-Infrastruktur bei einem externen Dienstleister betrieben , was dem Anwender erlaubt, eine kostengünstige Hardware im Unternehmen zu verwenden und gleichzeitig jedoch von der vollen Rechnerpower und Speicherkapazität eines Rechenzentrums zu profitieren.^[17] Weiterhin ist erwähnenswert, dass dabei die User gleichzeitig auf dieselben Daten zugreifen und dadurch miteinander kollaborieren können. Beispiele für SaaS Anwendung sind SAP Business ByDesign, Office 365 von Microsoft und Google Apps for Business.^[18]

[...]

^[1] Vgl. Braun, Christian et al., Cloud Computing, Informatik im Fokus, 2. Aufl., Springer-Verlag Berlin Heidelberg 2011, S. 1.

^[2] Vgl. Freytag, Carl, 50 Schlüsselideen- Digitale Kultur, Übersetzung der engl. Ausgabe: 50 Digital Ideas You Really Need to Know von Tom Chatfield, hrsg. v. Quercus Editions Ltd (UK) 2011, S. 164-165.

^[3] Vgl. Barton, Thomas, E-Business mit Cloud Computing, IT-Professional, Springer Fachmedien Wiesbaden 2014, S. 1-2.

^[4] Vgl. Braun, Christian et al., Cloud Computing, Informatik im Fokus, 2. Aufl., Springer-Verlag Berlin Heidelberg 2011, S. 1.

^[5] Freytag, Carl, 50 Schlüsselideen- Digitale Kultur, Übersetzung der engl. Ausgabe: 50 Digital Ideas You Really Need to Know von Tom Chatfield, hrsg. v. Quercus Editions Ltd (UK) 2011, S.164.

^[6] Braun, Christian et al., Cloud Computing, Informatik im Fokus, 2. Aufl., Springer-Verlag Berlin Heidelberg 2011, S. 4.

^[7] Vgl. Freytag, Carl, 50 Schlüsselideen- Digitale Kultur, Übersetzung der engl. Ausgabe: 50 Digital Ideas You Really Need to Know von Tom Chatfield, hrsg. v. Quercus Editions Ltd (UK) 2011, S. 165.

^[8] Vgl. Barton, Thomas, E-Business mit Cloud Computing, IT-Professional, Springer Fachmedien Wiesbaden 2014, S. 45.

^[9] Vgl. Barton, Thomas, (FN8), S. 45-46.

^[10] Vgl. Websecuritas, Was ist VPN?, unter: https://www.websecuritas.com/was-ist-vpn/

^[11] Vgl. Manhart, Klaus, Organisationsformen von Clouds, Private, Public und Hybride Clouds, Hrsg. IDG Business Media GmbH München, Artikel vom 29.09.2009, unter: https://www.computerwoche.de/a/organisationsformen-von-clouds,1906429

^[12] Vgl. Braun, Christian et al., Cloud Computing, Informatik im Fokus, 2. Aufl., Springer-Verlag Berlin Heidelberg 2011, S. 29.

^[13] Vgl. Barton, Thomas, E-Business mit Cloud Computing, IT-Professional, Springer Fachmedien Wiesbaden 2014, S. 44.

^[14] Vgl. Barton, Thomas, E-Business mit Cloud Computing, IT-Professional, Springer Fachmedien Wiesbaden 2014, S. 44.

^[15] Vgl. Masiero, Manuel, Cloud Computing im Überblick, Drei Ebenen von „as a Service“, Hrsg. Tom's Hardware Guide, Artikel vom 21.02.2011, Seite 3, unter: http://www.tomshardware.de/cloud-saas-iaas-paas,testberichte-240731-3.html

^[16] Vgl. Barton, Thomas, (FN14), S. 44.

^[17] Vgl. Tezel, Tino, Cloud Computing: SaaS, PaaS & Iaas einfach erklärt, Hrsg. intersoft consulting services AG, Artikel vom 08.01.2016, unter: https://www.datenschutzbeauftragter-info.de/die-cloud-saas-paas-und-iaas-einfach-erklaert/

^[18] Vgl. Barton, Thomas, E-Business mit Cloud Computing, IT-Professional, Springer Fachmedien Wiesbaden 2014, S. 44.