Deshalb müsse es eine Selbstverständlichkeit sein, dass Performance-Monitoring-Tools von Drittanbietern eingesetzt werden können, um den Kunden eine Möglichkeit der Überprüfung an die Hand zu geben. Zwar bezieht sich die Yankee-Untersuchung vorrangig auf den amerikanischen Markt, aber eine Fraunhofer-Studie aus Deutschland kommt zu ähnlichen Ergebnissen. Werner Streitberger und Angelika Ruppel vom Fraunhofer-Institut für Sichere Informationstechnologie (SIT) in Garching bei München haben die Internetseiten von Cloud-Providern durchforstet und deren Whitepaper ausgewertet. Gegenstand der Studie " Cloud Computing Cloud Computing Sicherheit - Schutzziele. Cloud computing sicherheit schutzziele taxonomie marktübersicht theory. Taxonomie. Marktübersicht" waren sowohl Infrastruktur-Anbieter als auch Anwendungsdienste wie etwa Google Apps. Alles zu Cloud Computing auf Artikel als PDF downloaden
Das Gleiche gilt für den Import von Daten. Weitere nützliche Hinweise, worauf zu achten ist, geben die zehn Punkte des § 11 BDSG. Wo ist das Rechenzentrum? Bei der Wahl des Anbieters ist es sinnvoll, dass die Daten im europäischen Rechtsraum liegen oder – wenn es sich um ein amerikanisches Unternehmen handelt – dass es sich zumindest dem Safe-Harbor -Prinzipien verpflichtet hat. Der Hintergrund ist, dass in den USA ein anderes Verhältnis zum Datenschutz als in Europa herrscht. Cloud computing sicherheit schutzziele taxonomie marktübersicht model. Um dennoch den Datenverkehr zwischen europäischen und US-amerikanischen Unternehmen aufrecht zu erhalten, wurde diese Vereinbarung getroffen – die allerdings offenbar oft genug verletzt wird. Amerikanische Firmen, die dem Safe Harbor Abkommen beitreten, verpflichten sich jedenfalls förmlich, bestimmte Standards beim Datenschutz einzuhalten und tragen sich dazu auf einer Liste im US-Handelsministerium ein. Update: Cloud Computing nach Safe Harbor – Der Europäische Gerichtshofs hat mit Urteil vom 6. Oktober 2015 die bisherige Safe-Harbor-Praxis gekippt: Persönliche Daten europäischer Internet-Nutzer seien in den USA nicht ausreichend vor dem Zugriff durch Behörden geschützt.
Eine erste Handreichung in Cloud-Sicherheitsfragen ist der Leitfaden des Bundesamts für Sicherheit in der Informationstechnik (BSI), an dem sich Anwender und Anbieter orientieren können. Er soll das Vertrauen in die Technologie stärken, indem er Mindestanforderungen an Cloud-Computing-Anbieter formuliert. Mittlerweile gibt es beim BSI das Eckpunktepapier als PDF zum Herunterladen. Wichtige Punkte sind, dass Betreiber einer Cloud-Computing-Plattform ein wirksames ISMS (Information Security Management System), bevorzugt nach ISO 27001, umsetzen, dass die Plattformen eine verlässliche Trennung der Mandanten gewährleistet und dass sie über ein Notfallmanagement, basierend auf etablierten Standards wie BS 25999 oder BSI-Standard 100-4, verfügen muss. Außerdem muss der Anbieter offenlegen, an welchen Standorten er Daten und Anwendungen speichert oder verarbeitet und wie dort der Zugriff durch Dritte geregelt ist. Ungenaue rechtliche Regelungen, Schwammige SLAs - Yankee Group zu Verträgen mit Cloud-Providern: Schwammige SLAs, unmessbar und unsicher - cio.de. Des Weiteren müssen Cloud-Dienste so gestaltet sein, dass der Cloud-Nutzer seine Daten jederzeit aus der Cloud wieder exportieren kann, wozu die Daten in einem anbieterunabhängigen Format gespeichert sein müssen oder in ein solches umgewandelt werden können.