173
separate Authentifizierung beim Zugang zu
Schlüsselverwaltungsfunktionen;
Maßnahmen zum Schutz der zwischengespeicherten Schlüssel;
sichere Archivierung und Replizierung von Schlüsseln.
Des Weiteren ist auf Seiten des Cloud‐Providers zu beachten, dass
Mitarbeiter mögliche Rechte nicht missbrauchen und vertraulich mit
Informationen des Kunden umgehen. Nutzer und Administratoren der
Cloud‐Provider sollen nur die Rechte besitzen, die sie zur Erfüllung ihrer
Aufgaben benötigen („Least Privilege Model“), und die kritischen
Administrationstätigkeiten sollen in einem Vier‐Augen‐Prinzip durchgeführt
werden.
Sichere Datenarchivierung
Die logische oder physische Trennung der Kundendaten gilt auch für die
Datenarchivierung, die zudem verschlüsselt vorgenommen werden sollte.
Zudem müssen Mechanismen eingesetzt werden, die die Suche und
Extraktion von Daten zur Erfüllung regulatorischer Vorgaben, eine
sogenannte Forensik, jederzeit ermöglichen.
Sichere Datenlöschung/‐vernichtung
In vielen Fällen ist die dauerhafte Löschung der Daten in der Cloud sehr
wichtig, egal ob das durch gesetzliche Vorgaben vorgeschrieben ist oder der
Cloud‐Anwender dies etwa bei einem Anbieterwechsel wünscht. Dabei
müssen die Daten aus allen Speichermedien inklusive Archivspeicher
vernichtet werden, damit die nachfolgenden virtuellen Maschinen nicht auf
die Datenrückstände zugreifen können. Wurden die zu löschenden Daten
zuvor verschlüsselt, sollten nicht nur die Daten selbst, sondern auch die
Schlüssel gelöscht werden.
Darüber hinaus soll besonders auf eine solide Sicherheitsarchitektur des
Cloud‐Anbieters und sichere Mandantentrennung auf allen
Infrastrukturebenen (Virtualisierung, Netzwerk, Plattform, Anwendung,
Daten) geachtet werden.
Am besten soll das Sicherheitsniveau des Cloud‐Anbieters durch geeignete
Zertifizierungen von anerkannten und zuverlässigen Prüfstellen wie
EuroCloud Star Audit (siehe Abschnitt 3.8.2, Zertifizierungen) nachgewiesen
werden. Solche Prüfstellen übernehmen für den Nutzer eine
Zuverlässigkeitsüberprüfung der Cloud‐Anbieter, indem sie verpflichtende
