Cloud und externe IT-Dienste

Die Meisten nutzen privat Cloud-Dienste bekannter Anbieter, selbst wenn sie sich dessen nicht bewusst sind. Schnell greift man auch im betrieblichen Umfeld aus Bequemlichkeit auf diese Dienste zurück.

Man muss sich jedoch im Klaren sein, dass die Nutzung von Cloud-Diensten Risiken mit sich bringt und rechtlichen Einschränkungen unterliegt.

Risiken

Zu den Risiken für Nutzer*innen gehören (Quelle: Sichere Nutzung der Cloud):

  • Identitätsdiebstahl bzw. Missbrauch von Accounts
  • Verlust der Kontrolle über die Daten und Anwendungen
  • Verletzung geltender Vorgaben und Richtlinien (z. B. Datenschutzanforderungen)
  • Sicherheit der Endgeräte, mit denen die Cloud-Dienste verwendet werden
  • Daten können über das Netz abgefangen und ausgespäht werden

Rechtliche Bedenken

Personenbezogene Daten anderer dürfen nicht ohne Rechtsgrundlage oder Einwilligung an Dritte weitergegeben werden (LDSG §4). Durch Abtretung von Nutzungsrechten sind aber auch die Speicherung von Forschungsdaten/-Ergebnissen in der Cloud rechtlich bedenklich.

Online-Speicher wie Google Drive, Microsoft Onedrive oder auch Dropbox dürfen daher nicht für die Klartextspeicherung von bspw. Teilnehmerlisten, Notenlisten, Bewertungen, etc verwendet werden.

Problematisch sind auch andere Dienste, wie Doodle für Terminabsprachen, sog. E-Mail-Sammeldienste und E-Mail-Weiterleitungen, da auch hier personenbezogene Daten anderer an externe Betreiber weitergegeben werden. Zudem verlangen manche Dienste häufig die Herausgabe privater Konto-/Authentifizierungsinformationen, was generell abzulehnen ist.

In einer gemeinsamen Stellungnahme des AK Informationssicherheit und des AK Datenschutz zur Unberechtigten Nutzung externer IT-Dienstleistungen heißt es:

"Eine [...] Nutzung externer [IT-]Dienstleistungen durch Beschäftigte und sonstige in Forschungseinrichtungen tätige Personen ist sowohl aus datenschutzrechtlichen als auch aus IT-sicherheitstechnischen Gründen abzulehnen und gefährdet die Forschungseinrichtung!"

Lösungen

Möchten Sie kommerzielle Online-Speicher (wie Google Drive, Microsoft Onedrive, Dropbox) für sensible Daten verwenden, sollten die Daten vorher verschlüsselt werden, bevor Sie an den Dienstanbieter übertragen werden. Dafür kann eine Dateiverschlüsselung z.B. mit 7zip (zur Anleitung) oder die Verschlüsselung des kompletten Online-Speichers  z.B. mit boxcryptor  in Betracht kommen.

Das KIM, das Land Baden-Württemberg und das Deutsche Forschungsnetzwerk betreiben eigene Cloud-Dienste, die für die meisten Belange ausreichen und rechtlich weitgehend unbedenklich genutzt werden können. Beachten Sie unsere Services zu Datenserver und Cloud.

Weitere Informationen