Cloud-Daten sicher löschen

Unsere Daten sind überall und nirgends. Dank Cloud-Computing haben wir die Möglichkeit, von überallher und mit verschiedenen Geräten auf unsere Daten zuzugreifen. Ein Klick – und sie sind mit anderen Benutzern geteilt. Was aber, wenn wir sensible Daten löschen wollen? Geht das überhaupt noch?

Um die Antwort vorwegzunehmen: Es geht nur noch unter bestimmten Voraussetzungen. Nicht nur beim Löschen, sondern generell bei der Datensicherheit in der Cloud ist eine klare Sicht auf den gesamten Datenzyklus entscheidend – vom Schreiben und Erfassen über das Halten und die Backups bis zur etwaigen Löschung.

Jeder muss sich Gedanken machen, wie stark seine Daten zu schützen sind – für jeden Geschäftsfall neu. Schon vor dem Start eines Cloud-Computing- oder Outsourcing-Projekts müssen die Anforderungen an die Daten definiert sein. Die IT benutzt dafür die Begriffe Vertraulichkeit, Verfügbarkeit und Integrität.

Vor dem Speichern müssen Daten erfasst, übertragen und gegebenenfalls verarbeitet werden.

Damit die Daten beim Erfassen nicht in falsche Hände geraten, muss dies auf einem sicheren Rechner in einer sicheren Umgebung geschehen. Das wiederum bedingt mindestens eine starke Authentisierung am Arbeitsgerät des Verfassers sowie in der betreffenden Anwendung, zum Beispiel dem Content-Management-System. In der Regel ist auch die physische Anwesenheit an einem Ort – zum Beispiel dem Büro – definiert.

Die Übertragung der Daten zum Server-System kann auf verschiedene Arten geschützt werden. Zum Beispiel lassen sich dedizierte Leitungen zwischen Büro und Rechenzentrum mit darin integrierter Verschlüsselung (VPN) verwenden. Zwischen Browser und Anwendung wird zudem TLS (Transport Layer Security, vormals SSL) verwendet. TLS erschwert es potenziellen Mitlesern, Daten bei der Übertragung mitzulesen. Im Rechenzentrum angekommen werden die Daten verarbeitet oder einfach abgelegt.

Doch auch dieser Schritt erfordert höchste Aufmerksamkeit. Werden beispielsweise Daten vor der sicheren Speicherung in einer Datenbank zu einem PDF verarbeitet, dann entstehen dabei Logfiles. Diese Logfiles können selbst auch In- halte beziehungsweise Daten enthalten. Für eine sichere Datenverarbeitung gilt also: Die Logdateien einer Anwendung müssen denselben Anforderungen unterliegen wie die eigentlichen Daten.

Die größte Herausforderung besteht in der Lagerung oder Speicherung der Daten. Daten können als Rohdaten in einem Dateisystem lagern oder als Einträge in einer Datenbank. Wer nun den Anspruch stellt, dass Systemadministratoren Rohdaten oder Datenbankinhalte nicht lesen dürfen, muss bei der Verarbeitungssoftware entsprechende Mechanismen implementieren. So werden Daten vor dem Schreiben verschlüsselt und beim Lesen entschlüsselt.

Wer auf Nummer sicher gehen will, legt auch fest, wie die Daten auf den Disk-Speichersystemen zu liegen haben. Es empfiehlt sich, Daten auf pro Anwendung dedizierten Disks zu speichern. Dies hat den Vorteil, dass für Performance und Sicherheit der Daten spezifische Maßnahmen ergriffen werden können.

Dedizierte Daten-Disks ermöglichen zudem eine zusätzliche Verschlüsselung. Sollten sie in falsche Hände geraten, können daraus keine Daten extrahiert werden. Sicherheitsmaßnahmen können jedoch auch zu Abstrichen bei der Verfügbarkeit führen, wenn kein durchdachtes Schlüsselmanagement besteht. Der Zugriff auf den Schlüssel muss auf möglichst wenige Personen beschränkt sein. Liegt dieser beispielsweise beim Kunden, so muss auch der Hoster morgens um 3 Uhr darauf zugreifen können, um beispielsweise ein System neu zu starten. Natürlich gibt es dafür technische Lösungen. Schlüsselsysteme bringen aber weitere Abhängigkeiten mit sich, die die Verfügbarkeit gefährden können.

Daten müssen auch als Backup gesichert werden, also in einer vom primären Standort der Daten getrennten Lokalität und auf einem vom primären Datenträger getrennten Medium. Auch hier kommen die bereits beschriebenen Techniken zur sicheren Übertragung zum Einsatz. Die Daten werden idealerweise vor der Übertragung auf das Backup-Medium des Quellsystems verschlüsselt.

Auf dem Sicherungsmedium befinden sich somit unlesbare Daten beziehungsweise. Daten, die nur mit dem auf dem Quellsystem bekannten Schlüssel gelesen werden können. Die Verfügbarkeit ist im Fall einer Disaster Recovery oder Business Continuity aber auch dann nur gegeben, wenn der Kunde über den entsprechenden Schlüssel verfügt und die typengleiche Backup-Restore-Software benutzt.

In Zeiten der Cloud ist das Löschen von Daten kaum mehr möglich. Natürlich ist oft von dem „Recht auf Vergessenwerden“ die Rede, das Google dazu brachte, auf Geheiß gewisse Daten nicht mehr anzuzeigen. Die Daten selbst werden dabei aber nicht gelöscht, sie erscheinen einfach nicht mehr in den Suchresultaten.

Auch für einen Hoster gibt es nicht das eine Löschen. Werden Daten auf dem primären System gelöscht, stehen diese zumindest während der definierten Backup-Aufbewahrungszeit für die Wiederherstellung bereit. Das heißt, die Löschung auf den Backup-Medien geschieht mit einer entsprechenden Verzögerung. Stellt jedoch ein Projekt die Anforderung, dass nach Einstellung des Betriebs sämtliche Daten beim Hoster komplett gelöscht sein müssen, impliziert dies technische Maßnahmen. Eine davon sind pro Kunde dedizierte Medien. Nur dann können die Daten definitiv vernichtet werden, technisch und je nach Sicherheitsstufe auch mechanisch: im Schredder.

Wenn in einem Projekt sensible Daten entstehen oder verarbeitet werden, müssen die Anforderungen an sie explizit formuliert werden. Erst aus einer solchen Definition lassen sich technische Implementierungen ableiten, die die Daten entsprechend schützen. Alle Daten mit denselben Auflagen zu versehen führt zu hohen Kosten und Abhängigkeiten von Dienstleistungsanbietern.

Die Verschlüsselung von Daten beim Hoster ist eine sinnvolle Möglichkeit, den Zugriff einzuschränken. Wichtiger ist aber die klare Vorstellung oder Vorgabe, wo die Daten effektiv lagern, wer Zugriff zu sie hat und mit welchen Maßnahmen sie vor Veränderung geschützt werden. Dies wiederum bedingt eine uneingeschränkte Transparenz des Hosting-Anbieters in Technik und Prozessen.

Dieser Artikel wurde von Kaspar Geiser verfasst, Geschäftsleiter des Hosting-Anbieters Aspectra AG.