Regelmäßig findet man in Artikeln oder einzelnen Presseerklärungen Aussagen wie „Datenschutz ist größtes Hindernis beim Cloud-Computing“ oder „Cloud-Computing mit Datenschutz nicht vereinbar“. Allein schon aufgrund der Vielfalt der heute dem Cloud-Computing zugerechneten Dienste und der unterschiedlichen Einsatzszenarien sind solche generellen Aussagen eher unangebracht.
von Sven Thomsen
Vielmehr müssen Anwenderinnen und Anwender von cloud-basierten Diensten sich der Herausforderung stellen, solche Dienste mit bewährten Mitteln und erprobten Vorgehensweisen sicher und ordnungsgemäß zu betreiben.
Es zeigt sich, dass beim Cloud-Computing datenschutzspezifische, zusätzliche Risiken betrachtet und angemessenen behandelt werden müssen. Der Großteil der in der aktuellen Diskussion dem Datenschutz zugeschriebenen Hindernisse liegt jedoch im Bereich der Datensicherheit und dem Controlling von Outsourcing.
Im Folgenden werden vor allem Szenarien in den Vordergrund gestellt, die in der häufig anzutreffenden Typisierung wie zum Beispiel der CloudSecurityAlliance einer „Public Cloud“ zuzurechnen sind. Ansätze wie „Private Clouds“ oder „Community Clouds“ sind zwar auch mit spezifischen Risiken versehen, die Behandlung dieser Risiken ist jedoch durch die deutlich besseren inter- oder intra-organisationellen Steuerungsmöglichkeiten im Vergleich zu „Public Clouds“ deutlich einfacher. Die häufig angeführten Probleme im Zusammenhang mit mangelnder Transparenz und dem damit einhergehenden Kontrollverlust sind besonders stark ausgeprägt bei „Public Clouds“.
Verantwortung und Verträge
Grundlage jeglicher professioneller Geschäftsbeziehungen ist der schriftliche Vertrag. Ausnahmen hiervon mögen in Einzelfällen funktionieren, aber Vereinbarungen zu professionellen IT-Dienstleistungen trifft man besser nicht mit dem eher für Viehauktionen geeigneten „kaufmännischen Handschlag“.
Ziel solcher Verträge ist es, die Rechte und Pflichten der jeweiligen Vertragspartner klar und vor allem: messbar darzulegen. Gerade im Krisenfall, also einer mangelhaften Leistung des Anbieters oder bei unzureichender Mitwirkung des Kunden, wird eine konkret messbare Leistungserbringung wichtig.
Potentielle Anwender von cloud-basierten Diensten stehen in der aktuellen Marksituation jedoch vor dem Problem, vom Anbieter gerade keine oder nur äußerst vage Leistungsbeschreibungen oder konkreter: Leistungszusagen zu erhalten. Häufig sind selbst elementare Zusagen zur Verfügbarkeit, wie man sie von „klassischen“ Verträgen im IT-Umfeld kennt, nicht vorhanden.
Diese mangelhaften Leistungszusagen müssen Kunden dann häufig durch eigene, zusätzliche Maßnahmen kompensieren, um ein nachvollziehbares Risikomanagementsystem mit tragbaren Restrisiken aufzubauen.
Die Probleme mit unzureichenden IT-Verträgen sind älter als der Begriff „Cloud-Computing“. Es ist sinnvoll, die bereits bestehenden Lösungen zu betrachten und diese für die neue, spezifische Situation des Cloud-Computing anzupassen.
Der CIO des Bundes hat auf seinen Webseiten viele Werkzeuge und Standardvorgehensweisen zur IT-Planung und –Steuerung zusammengefasst. Für die Vertragsgestaltung finden sich dort mit den Ergänzende Vertragsbedingungen für die Beschaffung von IT-Leistungen (EVB-IT) gute Vorlagen für vertragliche Regelungen, die auch für das Anbieten oder Einkaufen von cloud-basierten IT-Leistungen Anwendung finden können. Interessierte sollten insbesondere die umfangreichen Anlagen und Muster betrachten, die im Rahmen der Entwicklung der EVB-IT entstanden sind.
Viele der Regelungen in den EVB-IT sind bereits geeignet, einen Großteil der gesetzlichen Anforderungen aus dem Bundesdatenschutzgesetz oder den jeweiligen Landesdatenschutzgesetzen in Bezug auf die Datenverarbeitung im Auftrag oder die Datenübermittlung zu erfüllen.
Gerade Anbieter von cloud-basierten Diensten abseits der großen Platzhirsche wie Microsoft, Google oder Amazon sollten sich durch konkrete, nachvollziehbare und messbare vertragliche Regelungen einen Wettbewerbsvorteil verschaffen.
Outsourcing
Die Outsourcing-Welle der 80er- und 90er-Jahre des letzten Jahrtausends hat deutliche Spuren in der IT-Landschaft hinterlassen. Die mit dem Outsourcing verbundenen Risiken und Herausforderungen haben jedoch zu einer ganzen Gruppe von speziellen „Standards Of Good Practice“ in diesem Bereich geführt.
Für deutschsprachige Anwender sehr lesenswert ist der Baustein B1.11 des Grundschutzkatalogs des Bundesamts für Sicherheit in der Informationstechnik. Gemäß der Vorgaben der Standards 100-1 bis 100-3 werden hier für typische Gefährdungen und Einsatzszenarien Maßnahmenempfehlungen ausgesprochen, um eine
akzeptable Risikobehandlung im Bereich des Outsourcings durchzuführen.
Der Baustein kann direkt auch auf die Nutzung von cloud-basierten Diensten angewendet werden und bietet eine strukturierte Vorgehensweise, um einen Großteil der notwendigen technischen und organisatorischen Maßnahmen zu betrachten und ggfs. mit leichten Veränderungen anzuwenden. Neben dem Ausfall von Weitverkehrsnetzen, fehlenden oder unzureichen Test- und Freigabeverfahren und unzureichenden Notfallvorsorgekonzepten werden explizit auch die zu hohe Abhängigkeit von einem Outsourcing-Dienstleister oder auch „weiche Faktoren“ wie die Störung des Betriebsklimas durch ein Outsourcing-Vorhaben thematisiert. Die Maßnahmenempfehlungen sind teilweise sehr detailliert und regeln neben der Erstellung eines IT-Sicherheitskonzepts für das Outsourcing-Vorhaben oder der Vertragsgestaltung mit dem Outsourcing-Dienstleister auch die Vorgehensweisen für eine geordnete Beendigung eines Outsourcing-Dienstleistungsverhältnisses.
Auch ohne die strikte Orientierung an der Grundschutz-Vorgehensweise des BSI bietet der Baustein 1.11 Anbietern und Kunden gute Hinweise und erprobte Vorgehensweisen auch für cloud-basierte Dienstleistungen.
Datensicherheit
Die aktuelle Marktsituation im Bereich des Cloud-Computing ist in Bezug auf konkrete Sicherheitszusagen eher unbefriedigend. Viele Anbieter treffen keine konkreten Aussagen zu den bei ihnen getroffenen technischen und organisatorischen Maßnahmen.
Dies wird noch unverständlicher, wenn man bedenkt, dass für die bei vielen Anbietern von cloud-basierten Diensten im Einsatz befindlichen Standardkomponenten seitens der Hersteller konkrete Sicherheitsvorgaben und –empfehlungen ausgesprochen wurden.
Am Beispiel marktüblicher IaaS-Angebote lässt sich dies leicht nachvollziehen: Kaum ein Anbieter stellt die auf Betriebssystem-Ebene getroffenen Sicherheitsmaßnahmen nachvollziehbar dar. Ein nachvollziehbares Sicherheitsniveau ist in den wenigsten Fällen gegeben. Auch hier verbleibt die Hauptlast in Fragen der IT-Sicherheit beim Anwender und nicht wie eigentlich zu erwarten: beim Anbieter.
Im Bereich des Cloud-Computing müssen sich hier Standard-Vorgehensweisen und –Nachweise zur IT-Sicherheit etablieren. Dies kann unter anderem auch durch Zertifizierungsverfahren erreicht werden. Ein großer, erster Schritt wäre jedoch das Veröffentlichen von nachvollziehbaren Beschreibungen der technischen und organisatorischen Sicherheitsmaßnahmen seitens der Anbieter.
Datenschutz
Über die Anforderungen zur IT-Sicherheit hinaus sind spezifische Anforderungen seitens des Datenschutzes zu erfüllen. Das Grundrecht auf informationelle Selbstbestimmung darf nicht durch die Nutzung ungeeigneter cloud-basierter Angebote beeinträchtigt werden. Wesentliche Voraussetzung hierfür ist, dass auf Seiten der Kunden ein Datenschutzmanagementsystem etabliert wird. Dieses muss durch anlassbezogene und regelmäßige Kontrollen, konkreten Vorgaben zum Umgang mit Datenschutzproblemen und –verstößen und einer generellen Integration in die Unternehmensprozesse für eine geregelte Bearbeitung des Themenbereichs Datenschutz sorgen.
Ein betriebliches oder behördliches Datenschutzmanagement muss vor allem die Umsetzung der Betroffenenrechte in den Vordergrund stellen. Betroffene haben das Recht auf Löschung, Berichtigung oder Sperrung ihrer personenbezogenen Daten. Dieses Recht müssen Anwender auch gegenüber dem Anbieter durchsetzen können.
Auch im Bereich des Cloud-Computing gelten die Grundsätze der Datensparsamkeit und der Zweckbindung bei der Verwendung personenbezogener Daten. Es dürfen nur die nachgewiesen zwingend notwendigen Daten ausschließlich zu dem Zweck verarbeitet werden, zu dem sie auch erhoben wurden.
Die hierfür notwendigen Prozesse sind bereits seit mehreren Jahren etabliert. Die zuständigen Aufsichtsbehörden für Datenschutz stehen potentiellen Anwendern von cloud-basierten Diensten hier beratend, prüfend und bewertend zur Verfügung.
Konkrete, cloud-spezifische Risiken für den Datenschutz ergeben sich bei manchen Angeboten vor allen aus fehlenden, konkreten Zusagen zum Ort der Datenverarbeitung. Während für das Anbieten, Nutzen und Betreiben von cloud-basierten Diensten keine technischen Gründe zur Berücksichtigung territorialer Grenzen bestehen, muss bei der Anwendung des Datenschutzrechts der Ort der Datenverarbeitung stets berücksichtigt werden. Bei weltweit verteiltem Cloud Computing können ohne zusätzliche Zusicherungen zur Lokalität der Datenverarbeitung und -speicherung Anwenderinnen und Anwender nicht entscheiden, ob in den für den genutzten Dienst und den für die Erbringung des Dienstes vorgesehenen Ländern ein angemessenes Datenschutzniveau gewährleistet ist. Eine Anwendung solcher Cloud-Dienste ohne konkrete Ortsvorgaben oder -zusagen zur Verarbeitung personenbezogener Daten ist datenschutzrechtlich nicht zulässig.
Sollen personenbezogene Daten in einem cloud-basierten Dienst verarbeitet werden, so muss für alle Schritte der Datenverarbeitung der konkrete Ort festgelegt werden und feststellbar sein.
Fazit
Cloud-Computing “erbt” in vielen Bereichen bereits bekannte Risiken und Gefährdungen der automatisierten Datenverarbeitung. Für diese Risiken sind jedoch in gängigen (inter-) nationalen Sicherheitsstandards (vgl. ISO27001 , BSI Grundschutz) geeignete Gegenmaßnahmen und Vorgehensweisen zur Risikoanalyse definiert.
Anbieter von cloud-basierten Diensten können hier auf bestehende Vorarbeit und funktionierende Werkzeuge zurückgreifen.
Nutzer von cloud-basierten Diensten sollten vor der Aufnahme einer Datenverarbeitung geeignete Nachweise einer sicheren Datenverarbeitung in Form von Sicherheitskonzepten und detaillierten Prozessbeschreibungen im Sinne eines integrierten Datenschutz- und Sicherheitsmanagements einfordern und als Nachweis in die eigene Sicherheitsdokumentation übernehmen.
Setzt man die bereits bekannten und funktionierenden Prozesse und Maßnahmen um, die auch im Bereich der Datensicherheit und des Datenschutzes bei der „klassischen“ Datenverarbeitung für Konformität mit den datenschutzrechtlichen Vorgaben sorgen, so hat man auch einen Großteil der Datenschutzrisiken gängiger cloud-basierter Dienste im Griff.
Datenschutz wird hierbei nicht zum Verhinderer von Cloud-Computing, sondern vielmehr zum Erfolgsfaktor.
Über Sven Thomsen
Sven Thomsen leitet beim Unabhängigen Landeszentrum für Datenschutz (ULD) in Kiel das technische Referat. Er ist zuständig für den Systemdatenschutz bei der automatisierten Verarbeitung personenbezogener
Daten sowie den technischen Datenschutz in der Telekommunikation und bei Telemedien. Nach einem Studium der Informatik war er zunächst als freier Berater mit Schwerpunkt auf Unix- und Firewallsystemen tätig. Als IT-Projektleiter hat er beim Norddeutschen Rundfunk mehrere Projekte zur Serverkonsolidierung und IT-Sicherheit betreut.
Onlinequellen
http://www.cio.bund.de/cln_093/DE/Home/home_node.html
http://www.cio.bund.de/cln_093/DE/IT-Angebot/IT-Beschaffung/EVB-IT_BVB/evb-it_bvb_node.html
https://www.bsi.bund.de/ContentBSI /grundschutz/kataloge/baust/b01 /b01 01 1 .html
https://www.bsi.bund.de/cln_1 56/DE/Themen/ITGrundschutz/ITGrundschutzStandards/ITGrundschutzStandards_node.html