Die persönliche Nutzung eines Cloudspeicher-Anbieters ist nicht mehr unbedingt neu. Besonders im akademischen Bereich nutzt man genügend Anbieter, um seine universitären Unterlagen nicht im Nirgendwo zu verlieren, wenn das Notebook durchbrennt. Hier und da findet man unter den Kollegen Skeptiker, die das nicht so gerne möchten. Vielleicht das ein oder andere Dokument, gerne, aber die Seminararbeit wird Google nicht geschenkt, die Urlaubsfotos darf Dropbox nicht sehen. Ab wann wir Daten als zu sensibel empfinden, um sie einem Dritten preiszugeben, ist allein schon ein brennheißer Diskussionsansatz. Aber was passiert, wenn Unternehmen überlegen, kritische Daten in der Cloud zu speichern? Oder wenn sich eine Regierung darüber unterhält, ob eine Auslagerung der E-Mail-Programme und -Daten über private Anbieter Sinn hat? (1)
Die wesentlichen Punkte
Sonehara, Echizen und Wohlgemuth beschäftigen sich in ihrem Artikel "Isolation im Cloud-Computing und Mechanismen zum Schutz der Privatsphäre" mit der Vereinbarung der Datenvertraulichkeit mit den grundlegenden Funktionen des Cloud-Computings. Die Autoren sehen in der geschäftlichen Nutzung des Cloud-Computings das Problem, dass kritische Daten durch die Unternehmen nicht der Cloud bzw. den Clouddienstanbietern anvertraut werden, wodurch hier das Potenzial der Kostenreduktion nicht zureichend genutzt wird.
Im Zuge des Artikels werden bestehende Privacy Policy Languages (Stichwort: P3P), Verschlüsselungsschemata und Anonymitäts- und Pseudonymitätsmechanismen (Stichwort: Identitätsmanagement) als Schutzmechanismen von der technischen Seite erklärt.
Als Hauptkern wird allerdings zur Ausreizung des Potenzials mit gleichzeitigem Schutz der Privatsphäre von den Schöpfern die Einführung einer Isolation der Datenverarbeitung vorgeschlagen. Isolation sorgt dafür, dass Clouddienstanbieter die Daten weder sehen können noch wissen, wofür sie eingesetzt werden. Die Autoren schlagen eine "Isolation durch die Definition von autorisierten Kooperationen zwischen Cloud-Nutzern und Cloud-Diensten" vor. Im Konkreten bedeutet dies Folgendes:
Es wird definiert, welche Autorisierungen für welche Datenflüsse zu welchen Geschäftsprozessen stattfinden dürfen. Außerdem wird durch den Cloudnutzer an den Clouddienstanbieter delegiert, welche Zugriffsrechte für welche Daten existieren. Autorisierungen können fallweise erstellt, aber auch widerrufen werden. Autorisierungen, Zugriffsrechte und Obligationen bei der Datennutzung werden vom Einzelnen definiert und an den Anbieter delegiert.
Bei der Delegation von Rechten gibt es folgende Teilnehmer:
- Cloud-Nutzer sind Datenanbieter, wenn sie einem Cloud-Dienst Zugriff gewähren. Sie sind Dateneigentümer und delegieren die Autorisation an den Anbieter.
- Cloud-Dienstanbieter sind Datenkonsumenten, wenn sie die Daten des Nutzers verarbeiten, werden aber zum Datenanbieter, wenn er die Daten eines Nutzers an einen Dritten weitergibt.
- Ein Auditor kontrolliert, dass die gesetzten Regeln zur Datennutzung nicht verletzt werden und identifiziert in diesem Fall den Verursacher.
- Die Certification Authority (kurz: CA) zertifiziert die Identitäten von Nutzer und Anbieter.
... und folgende Anforderungen:
- Der Zugriff auf Daten des Nutzers geschieht dann, wenn der Anbieter entsprechende Berechtigung innehat.
- Die Autorisierung für den Anbieter durch die CA geschieht dann, wenn der Nutzer dazu ausdrücklich das Recht an die CA delegiert hat.
- Nur autorisierte Dienstanbieter haben Zugriff auf die entsprechenden Daten des Nutzers. Zusätzliche Daten dürfen nicht weitergegeben werden.
- Ein Dienstanbieter darf von einem Datum eines Nutzers in das eines anderen nur dann schreiben, wenn der erste Nutzer das Leserecht UND der zweite Nutzer das Schreibrecht an den Dienst delegiert haben.
- Ein Dienstanbieter darf auf die Daten, die der Nutzer bei einem anderen Anbieter hat nur lesen, wenn er das Leserecht dazu hat.
- Wenn ein Dateneigentümer die Autorisierung widerruft, muss der Anbieter die Daten löschen.
- Es muss eine Historie der Datenweitergabe dokumentiert werden.
Der beschriebene State-of-the-Art-Artikel soll verdeutlichen, dass die Kontrolle der eigenen Daten und die Transparenz der Vorgänge deutlich über den bloßen Datenzugriff hinausgeht. Es stellt sich nicht nur für den Privatnutzer die Frage: Was dürfen die (Anbieter) mit meinen Daten machen? Wer darf sie sehen? Wer darf sie ändern? Gehören die Daten noch mir?
Besonders im Cloud-Computing und im Bezug auf unser Thema der Transparenz sind die Wahrung der Privatsphäre, die Funktion der Nutzungskontrolle und die Weitergabe von Daten an Dritte diskussionswürdige Bereiche. Gerade dann, wenn es um die Implementierung des Cloud-Computings in der Wirtschaft oder gar in der Politik geht.
Quellen
Artikelquelle
Sonehara, N., Echizen, I., & Wohlgemuth, S. (2011). Isolation im Cloud-Computing und Mechanismen zum Schutz der Privatsphäre. Wirtschaftsinformatik, 53(3), 151-158. URL (Login erforderlich!): http://han.ubl.jku.at/han/springerlinkdb/link.springer.com/article/10.1007/s11576-011-0274-2 (abgerufen am 15.10.2013)
Weitere Quellen
Quelle 1: Federal Push for ‘Cloud’ Technology Faces Skepticism. NY Times. URL: http://www.nytimes.com/2011/08/22/technology/federal-push-for-cloud-technology-faces-skepticism.html?pagewanted=all&_r=0 (abgerufen am 15.10.2013)
Ich finde das Thema vor allen als Kombination von Webtechnik und Wirtschaft für uns extrem relevant. Ich habe dazu kürzlich einen Artikel (Chow et al. 2009, Controlling Data in the Cloud) gelesen. Dort wird ebenfalls die These vertreten, dass das Potential (v.a. im Geschäftsbereich) der Cloud wegen Transparenzbedenken in der techn. Umsetzung noch bei weitem nicht ausgeschöpft wird. Lösungen wie diese oder auch jene von Chow et al. haben also auch wirtschaftlich großes Potential.
Zum Thema Cloud: es ist denke ich wichtig sich Gedanken darüber zu machen, wo der Sitz des Cloud-Anbieters ist. Gerade bei außereuropäischen Anbietern könnte es wichtig sein, die AGB's (sowie Änderungen) genau zu lesen, um eine Nutzung der eigenen Daten durch den Anbieter zu schützen und nur so wenig Daten wie möglich und so viele wie nötig bei Cloud-Anbietern zu speichern.