Analysen
15. Oktober 2014
AUTOR: Businesscloud.de

Der Tanz mit dem Datenschutz-Wolf

Nach wie vor hat der Wolf ein Image-Problem. Und das nicht erst, seitdem ihm die Gebrüder Grimm im Märchen Rotkäppchen die Rolle des Bösewichts auf den Leib schneiderten: „Großmutter, was hast Du für ein entsetzlich großes Maul? Dass ich Dich besser fressen kann ...“ Selbst heute, in unserer aufgeklärten Internet- und Cloud-Computing-Welt, weckt der Wolf Ängste beim Menschen. Dabei waren laut Wikipedia im Oktober 2014 in ganz Deutschland gerade einmal 34 Wolfsrudel oder –paare ansässig.

2014_10_10_BC_Datenschutz_Aufmacher_R_K_by_paukereks_pixelio.de

Viele potenzielle Cloud-Computing-Nutzer haben Angst vor dem „Datenschutz-Wolf“: Sie fürchten die Aufwendungen, die sie als Kunde von Cloud-Service-Provider bei der Sicherung von Daten betreiben müssen. (Bild: Paukereks / pixelio.de)

Einen „Böser-Wolf“-Effekt hat die Marktforschungs- und Beratungsfirma Experton Group auch bei deutschen Unternehmen ausgemacht, die sich für den Einsatz von Cloud-Computing-Diensten interessieren. Sie fürchten sich gleich vor zwei „Wölfen“: demjenigen, der ihnen die Kontrolle über ihre Daten wegnimmt, wenn sie Cloud-Dienste nutzen, und noch viel mehr einen weiteren Isegrim: einem der in Richterrobe und mit dem Bundesdatenschutzgesetz (BDSG) unter dem Arm daher kommt.

Paragraphen, Paragraphen ...

Laut dem White Paper „Cloud-Protokollierung und Privileged Access Management (PAM) als Grundbestandteil der Cloud-Sicherheit“ der Experton Group fühlen sich viele potenzielle Nutzer von Cloud-Diensten durch die Vielzahl und Komplexität der Datenschutzregelungen überfordert, die mit der Nutzung von Cloud-Diensten verbunden sind. Das gilt vor allem dann, wenn personenbezogene Daten ins Spiel kommen. Wer beispielsweise Kundendaten oder Mitarbeiterinformationen mithilfe der Ressourcen speichert und bearbeitet, die ein Cloud-Service-Provider bereitstellt, sollte sich § 11 des Bundesdatenschutzgesetzes (BDSG) genau ansehen. Denn der besagt, dass er, also der Nutzer, und nicht der Provider für den Schutz der personenbezogenen Daten verantwortlich ist, die in einem Cloud-Rechenzentrum bearbeitet werden. Das schließt mit ein, dass sich der Auftragnehmer beim Provider davon überzeugen muss, ob dieser geeignete Maßnahmen für den Schutz dieser Daten ergreift. In § 11, Absatz 2 des BDSG liest sich das folgendermaßen: „Der Auftraggeber hat sich vor Beginn der Datenverarbeitung und sodann regelmäßig von der Einhaltung der beim Auftragnehmer getroffenen technischen und organisatorischen Maßnahmen zu überzeugen. Das Ergebnis ist zu dokumentieren.“

2014_10_10_BC_Datenschutz_Paragraph11_BMJV

In § 11 des BDSG ist festgelegt, dass der Nutzer von Cloud-Diensten die Verantwortung für personenbezogene Daten nicht einfach an den Cloud-Service-Provider wegdelegieren kann. (Bild: DeJure.org)

Jede Menge Kontrollen ...

Doch so richtig zeigt der Datenschutz-Wolf seine Zähne erst in Verbindung mit weiteren Regelungen, etwa § 9 BDSG. Auf den ersten Blick klingt das Ganze harmlos, speziell für Nutzer von Cloud-Diensten. Denn Anlage zu § 9, Satz 1 zielt in erster Linie auf das Unternehmen ab, das vor Ort die personenbezogenen Daten verarbeitet – den Provider. Speichert ein Unternehmen beispielsweise Kundendaten bei einem Cloud-Service-Provider und verwaltet es diese Informationen mithilfe von Tools, die der Provider bereitstellt, etwa als Software-as-a-Service, ist zunächst der Cloud-Service-Anbieter in der Pflicht. Er muss beispielsweise sicherstellen, dass Unbefugte keinen Zugang zu den Kundendaten haben (Zugriffskontrolle) und solche Informationen bei der Bearbeitung und Übermittlung nicht „abgesaugt“ und widerrechtlich kopiert werden können (Weitergabekontrolle). Von diesen Kontrollfunktionen gibt es eine ganze Reihe, darunter die Zutritts-, Auftrags-, Zugangs- und Verfügbarkeitskontrolle. Darin eingeschlossen sind Sicherungen gegen die Zerstörung von Daten durch versehentliches Löschen oder einen System-Crash.

… aber wie diese in der Praxis umsetzen?

Damit nicht genug: § 31 BDSG schreibt vor, dass Protokolldaten erhoben werden müssen. Sie dienen dem Nachweis, wer wann welche Änderungen an Daten vorgenommen hat und dass alle Sicherheitsmaßnahmen eingehalten wurden. Das schließt auch Aktivitäten mit ein, die in den Bereich Systemverwaltung fallen, etwa das Erstellen von Backups von Datenbeständen. Diese Protokolldaten müssen zudem gegen Manipulation gesichert werden. Die Frage ist allerdings, wie der Kunde eines Cloud-Service-Providers vor diesem Hintergrund die in § 11 BSDG vorgeschriebene Überprüfung vornehmen kann, dass der Provider alle diese Vorgaben auch in der Praxis erfüllt. Etwa regelmäßig eigene Mitarbeiter zum Provider schicken oder sie dort eine Art Dauer-Audit durchführen lassen? Annika Selzer, Mitarbeiterin des Fraunhofer-Instituts für Sichere Informationstechnologien, spricht denn in einem Fachbeitrag zum § 11 BDSG in diesem Zusammenhang von einem „Prüftourismus“. Dieser würde sich in der Tat breit machen. Vor allem dann, wenn ein Unternehmen Cloud-Services unterschiedliche Anbieter nutzt, deren Datacenter in ganz Deutschland oder der EU ansiedelt sind. Heute mal dem Cloud-Rechenzentrum von Pironet NDH in Hamburg und tags drauf kurz in Dublin bei Microsoft vorbeischauen? Das klingt nicht nach „praktikabel“.

Zertifikate, Selbstverpflichtungen – und Monitoring

In der Praxis, so Selzer, haben Cloud-Nutzer neben „Hausbesuchen“ die Möglichkeit, den Beteuerungen ihres Providers Glauben zu schenken, er halte alle Datenschutzvorgaben ein. Eine dritte Option besteht darin, nur auf Service-Provider zurückzugreifen, die gemäß Normen wie ISO 27001, TÜV oder EuroCloud zertifiziert wurden. Leider sind die beiden letztgenannten Optionen keine Gewähr dafür, dass ein Provider die vom BDSG geforderten Kriterien auch erfüllt. Ein beliebter Trick unseriöser Anbieter ist beispielsweise, nur Teilbereiche des Cloud-Data-Centers und des Rechenzentrumsbetriebs von Dritten zertifizieren zu lassen. Trotzdem werben die Service-Provider dann mit „Wir sind zertifiziert“. Andere schwarze Schafe lassen zwar einmal eine komplette Zertifizierung ihrer Cloud-Rechenzentren durchführen, etwa gemäß ISO 27001. Sie „vergessen“ dann jedoch die regelmäßigen jährlichen Audits und die Re-Zertifizierung, die eigentlich alle drei ansteht. Unseriöse Cloud-Unternehmen sparen sich dadurch den damit verbundenen finanziellen und organisatorischen Aufwand. Die Zeche zahlt der Kunde: Er erhält nicht die Leistung, für die er bezahlt, sprich Cloud-Services, die nachweislich Sicherheits- und Compliance-Vorgaben erfüllen. Und er bekommt unter Umständen Probleme, wenn bei einem solchen Service-Anbieter ein Datenleck auftritt.

2014_10_10_BC_Datenschutz_Logging_Balabit

Das Monitoring der Aktivitäten der Nutzer und Verwalter von Cloud-Ressourcen beim Anwender und Service-Provider ist eine Möglichkeit, um die Einhaltung von Datenschutzregelungen zu dokumentieren.

Ein weiterer Lösungsansatz: Monitoring

Die Experton Group plädiert daher für einen anderen Ansatz, der den Anforderungen in puncto Datenschutz gerecht werden soll und gleichzeitig die Spezifika des Cloud-Computing-Modells berücksichtigt. Für Experton ist dies der Einsatz von Monitoring-Systemen. Derartige Systeme machen transparent, welcher IT-Administrator wann welche Aktionen vorgenommen hat: Daten bearbeiten, löschen, sichern et cetera. Das gilt für Mitarbeiter des Cloud-Service-Providers, aber auch für User solcher Dienste, also Kunden. Noch wichtiger: Auch die Aktivitäten von IT-Nutzern mit privilegierten Zugriffsrechten werden erfasst. Dazu zählen Super-User und IT-Administratoren. Dieser Punkt ist deshalb wichtig, weil diese Nutzergruppe über das Wissen und die Möglichkeiten verfügt, verbotene Aktivitäten zu verschleiern. Das schließt auch die Manipulation von Log-Dateien mit ein. Die Nutzer von Cloud-Diensten können so überwachen, was mit ihren Daten passiert und wann welcher Mitarbeiter des Cloud-Service-Providers darauf zugreift. Auch für den Service-Provider hat dieses Modell Vorteile. Denn er kann revisionssicher nachweisen, dass er Compliance-Vorgaben und gesetzliche Regelungen einhält und die Daten des Kunden mit der gebotenen Sorgfalt behandelt. Hinzu kommt ein weiterer Aspekt: Monitoring-Systeme in Verbindung mit einer revisionssicheren Speicherung von Log-Daten machen deutlich, welche IT-Fachleute welche Maßnahmen ergriffen haben. Das ist bei Auftreten von Fehlern wichtig. Denn häufig schieben sich IT-Abteilungen dann gegenseitig die Verantwortung zu, nach dem Motto „Die anderen waren es!“. 2014_10_10_BC_Datenschutz_Trusted-Cloud-Europe-framework

Die EU arbeitet an einem „Framework“, das die Umsetzung von Datenschutz-Regelungen in Cloud-Infrastrukturen erleichtern soll, unter anderem mithilfe von Zertifizierungen und Monitoring. Erst Pilotprojekte sind ab 2015 zu erwarten. (Bild: Europäische Union / Trusted Cloud Europe)

Sicherheit für Nutzer und Anbieter von Cloud-Services

Monitoring ist somit eine Art vertrauensbildende Maßnahme. Der Nutzer von Cloud-Services kann sich damit selbst ein Bild machen, ob der Cloud-Service-Provider die versprochenen Datenschutzmaßnahmen und Service Level Agreements einhält. Der Provider wiederum kann revisionssicher nachweisen, dass er Compliance-Vorschriften und gesetzliche Vorgaben erfüllt.

Seite teilen

Must Reads von anderen Tech-Seiten
silicon.de: Safe-Harbor-Nachfolger – EU-Datenschützer verlangen Nachbesserungen Weiterlesen

 

CANCOM.info: Drei Gründe für die Hybrid Cloud – Das leistet der Cloud-Mix in Unternehmen Weiterlesen

 

Scope Online: Cloud Computing in der Produktion – Drei Mythen über Business Cloud-Lösungen  Weiterlesen

Pressemitteilungen

Nürnberg, im Dezember 2018: VR-Brillen, Roboter, an Computerspiele erinnernde Lernumgebungen – beim Finale des von WorldSkills ... Weiterlesen
Die CANCOM SE hat heute gegenüber dem Vorstand der Pironet AG ihr am 22. August 2018 gemäß § 327a Abs. 1 Satz 1 AktG gestelltes ... Weiterlesen
Köln, den 14. September 2018: Die langjährigen Partner IBM und CANCOM bauen ihr Cloud-Geschäft gemeinsam weiter aus: Der weltweit ... Weiterlesen
Köln, den 28. August 2018: Zu den anspruchsvollsten Prüfstandards für Informationssicherheit und Compliance zählt der ... Weiterlesen