Wer haftet bei Datenmissbrauch in der Cloud?

Es ist immer wieder erstaunlich zu hören, dass IaaS-Provider (Infrastructure-as-a-Service) irrtümlicherweise für diejenigen gehalten werden, die die Sicherheit in der öffentlichen Cloud gewährleisten. Ein Artikel von Todd Thiemann, Senior Director Data Protection bei Trend Micro.

Die IaaS-Provider sorgen sicherlich für eine ordentliche Grundsicherheit (physische Sicherheit, Perimeter-Firewalls, Load Balancing und möglicherweise Intrusion Detection beziehungsweise Prevention). Manche IaaS-Anbieter streben danach, sich durch bessere Sicherheit von der Konkurrenz abzusetzen, doch die meisten konzentrieren sich auf eine aggressive Preispolitik und werben mit der Flexibilität, die das Konzept im Vergleich zum On-Premise-Datencenter verspricht.

Auch wenn IaaS-Anbieter versuchen, eine sichere Umgebung zu liefern, so liegt die Verantwortung für die Sicherheit bei den Unternehmen, die den Dienst nutzen. Diese Tatsache stellt übrigens Amazon Web Services in den Kundenvereinbarungen klar fest und weist jegliche Garantie für die Sicherheit der Inhalte in der eigenen Cloud von sich.

Dies ist keine Ausnahme. Alle IaaS-Provider schließen die Gewährleistung der Sicherheit aus, die über die physische Security sowie Basis-Perimeter-Sicherheit der genutzten Computerumgebung hinaus geht. Der Grund dafür liegt wahrscheinlich darin, dass die meisten IaaS-Anbieter (75 Prozent laut IDC) in den USA ansässig sind, wo Klagen an der Tagesordnung sind.

Bis dato ist noch kein IaaS-bezogener Datenmissbrauch bekannt geworden. Distributed Denial of Service (DDoS) und verlorene Daten gab es, doch keinen Missbrauch von kritischen Informationen. Doch angesichts der Vorteile, die Nutzer von Applikationen in der Cloud erwarten, kommen immer mehr geschäftskritische Daten in die Cloud – und ist es nur eine Frage der Zeit, bis es zum ersten Missbrauchsvorfall kommt.