Datenschutz und Datensicherheit
Ratgeber: Sicheres Cloud Computing
Der rechtliche Rahmen
Eine Verarbeitung der Daten in der Cloud unterliegt speziellen Datenschutz- und Sicherheitsanforderungen, die sich aus nationalen und internationalen Datenschutzvorgaben ableiten lassen. Neben dem Bundesdatenschutzgesetz (BDSG) in Deutschland ist auf europäischer Ebene die sogenannte Datenschutzrichtlinie 95/46/EG anwendbar. Wenn es beispielsweise um einen öffentlich verfügbaren Telekommunikationsdienst wie einen E-Mail-Service geht, gelten innerhalb Deutschlands zusätzlich das Telekommunikationsgesetz (TKG) sowie die Richtlinie 2002/58/EG in der EU allgemein. Darüber hinaus gibt es eine Reihe weiterer Compliance-Anforderungen wie den Sarbanes-Oxley Act (SOX), den Health Insurance Portability and Accounting Act (HIPAA) und den Federal Information Security Management Act (FISMA). Diese Richtlinien müssen Unternehmen erfüllen, wenn sie selbst ihre IT betreiben oder in die Cloud verlagern. Ergo: Die Cloud ändert nichts an der unternehmerischen Verantwortung für die Daten und den Datenschutz, sie kann nicht vertraglich auf einen Dienstleister übertragen werden!
Das BDSG verpflichtet die Unternehmen zur "sorgfältigen Auswahl" des Cloud-Providers und darüber hinaus dazu, alle vorgenommenen Datenschutzmaßnahmen zu überprüfen. Das gestaltet sich in der Praxis wegen der nicht ausreichenden Expertise oft schwierig. Hier helfen Gütesiegel und Zertifizierungen der Cloud-Anbieter respektive -Services durch eine unabhängige Instanz. Zertifikate liefern einen Nachweis über die Erfüllung der Sicherheits-, Compliance- und Datenschutz-Anforderungen. Zu den wichtigsten Zertifikaten mit Cloud-Computing-Bezug zählen:
-
EuroCloud SaaS Star Audit
-
ISO 27001 bzw. ISO 27001 auf Basis von BSI IT-Grundschutz
-
das Europäische Datenschutzgütesiegel EuroPriSe
-
das TÜV-Trusted-Cloud-Zertifikat
- Bitkom, Branchenverband der ITK-Branche
Cloud-Security-Aktivitäten: Cloud-Computing-Leitfaden; IT-Sicherheit und Datenschutz / Relevanz: 3 von 5 Punkten - BSI
Cloud-Security-Aktivitäten: BSI-ESCC (Eckpunktepapier Sicherheitsempfehlungen für Cloud-Computing-Anbieter); IT-Grundschutz-Katalog / Relevanz: 4 von 5 Punkten - CSA, Organisation für Sicherheit im Cloud Computing
Cloud-Security-Aktivitäten: Katalog zu den Sicherheitsbedrohungen im Cloud Computing; Sicherheitsleitfaden für kritische Handlungsfelder in der Cloud; CTP (Cloud Trust Protocol); CSA Security, Trust & Assurance Registry (STAR); Certificate of Cloud Security Knowledge (CCSK); Cloud Trust Protocol (CTP) / Relevanz: 5 von 5 Punkten - ENISA (Europäische Agentur für Netz- und Informationssicherheit)
Cloud-Security-Aktivitäten: Leitfaden zur Informationssicherheit im Cloud Computing; Sicherheit und Zuverlässigkeit in öffentlichen Clouds / Relevanz: 4 von 5 Punkten - EuroCloud Deutschland_eco, europäisches Cloud-Computing- Business-Netzwerk
Cloud-Security-Aktivitäten: Leitfaden Recht, Datenschutz und Compliance; EuroCloud-SA (EuroCloud Star Audit): Zertifikat für Anbieter von Cloud-Diensten / Relevanz: 4 von 5 Punkten - Fraunhofer SIT (Fraunhofer-Institut für Sichere Informationstechnologie)
Cloud-Security-Aktivitäten: Studie zur Cloud-Computing-Sicherheit / Relevanz: 4 von 5 Punkten - NIST (National Institute of Standards and Technology), US-Behörde
Cloud-Security-Aktivitäten: NIST-UC (Cloud Computing Use Cases); SCAP (Security Content Automation Protocol) / Relevanz: 2 von 5 Punkten - Cloud Software Program, Initiative des finnischen Strategie-Centers für Wissenschaft, Technologie und Innovation (20 Unternehmen und acht Forschungsinstitute)
Cloud-Security-Aktivitäten: Schutzmaßnahmen und Sicherheitskonzepte für die finnische Softwareindustrie; Best Practices im Cloud Computing / Relevanz: 3 von 5 Punkten - Secure by Design, Initiative der IBM
Cloud-Security-Aktivitäten: Secure Engineering Framework, eine Anleitung und Checklisten für Softwareentwickler, das Management und die Sicherheitsverantwortlichen / Relevanz: 2 von 5 Punkten - Security Working Group (USA), Federal Cloud Computing Initiative (FCCI)
Cloud-Security-Aktivitäten: Prozesse und Handlungsempfehlungen für den öffentlichen Sektor / Relevanz: 2 von 5 Punkten - ISACA, Berufsverband mit mehr als 95.000 praxisorientierten Information-Systems-(IS-)Fachleuten aus mehr als 160 Ländern
Cloud-Security-Aktivitäten: Praxis-Leitfaden zur Informationssicherheit; Vorträge zu Cloud-Sicherheit / Relevanz: 4 von 5 Punkten - AICPA (American Institute of Certified Public Accountants) mit über 350.000 Mitgliedern in 128 Ländern
Cloud-Security-Aktivitäten: SSAE 16 (Statement on Standards for Attes-tation Engagements No. 16): Zertifikat für Anbieter von Cloud-Diensten / Relevanz: 4 von 5 Punkten - NIFIS (Nationale Initiative für Informations- und Internet-Sicherheit e.V.)
Cloud-Security-Aktivitäten: Konzepte für den Schutz vor Angriffen aus dem Datennetz / Relevanz: 3 von 5 Punkten - Trusted Cloud, Initiative des Bundesministeriums für Wirtschaft und Technologie (BMWi)
Cloud-Security-Aktivitäten: Cloud-Sicherheit und Interoperabilität; Förderprojekte / Relevanz: 5 von 5 Punkten
Selbst-Zertifizierung nach Safe Harbor reicht nicht aus
Allerdings sollte der Anwender nicht blind auf Zertifikate und Gütesiegel vertrauen, sondern genau prüfen, was zertifiziert wurde und welche Gültigkeit ein Zertifikat hat. Empfehlenswert ist, eine Kopie des Zertifikates und des dazugehörigen Evaluationsberichts vom Cloud-Anbieter anzufordern. Das Hauptproblem besteht allerdings darin, dass alle bislang verfügbaren Zertifikate nur eine Betrachtung des aktuellen Zustands darstellen. Sie sind damit lediglich eine Momentaufnahme der Erfüllung technischer und organisatorischer Maßnahmen zum Zeitpunkt der Ausstellung, obwohl sie für ein bis drei Jahre nach der Auditierung gültig sind. Ob die Anforderungen des Zertifikats seit dem Ausstellungszeitpunkt eingehalten wurden, lässt sich selbst von erfahrenen IT-Sicherheitsexperten und Datenschützern nur schwer feststellen. Unter diesem Aspekt ist beispielsweise die kontinuierliche Zertifizierung der Cloud-Angebote ein interessanter Ansatz, den es zu evaluieren gilt.
- Was taugen Cloud-Zertifikate?
Bestehende Sicherheitsstandards wie SAS70 und ISO 27001 können dem Cloud Computing nicht uneingeschränkt gerecht werden, weil sie sich nicht den besonderen Risiken widmen, die sich durch die Cloud-Architektur ergeben. Um Transparenz zu schaffen und Bedenken potenzieller Kunden zu zerstreuen, streben die Cloud-Anbieter vermehrt eine Auditierung durch externe Wirtschaftsprüfungsunternehmen an. Hans Paulini, Architekt und Experte für das Thema Cloud bei Logica in Deutschland hat für uns einige Zertifkate unter die Lupe genommen. Anbei ein Überblick: <br /><br /> <a href="http://www.computerwoche.de/management/cloud-computing/2487626/" target="_blank"> hier geht es zum Beitrag "Was taugen Cloud-Zertifikate?"</a> - Das EuroCloud-Zertifikat
EuroCloud ist ein Zusammenschluss europäischer Cloud-Anbieter. Der deutsche Ableger zertifiziert Unternehmen i nach dem Standard "Euro Cloud SaaS Star Audit". Der etwas sperrige Name beinhaltet eine anspruchsvolle Palette an Prüfungen, die ein Cloud-Anbieter durchlaufen muss. Hierbei wird anhand eines detaillierten Fragenkatalogs die Einhaltung von Sicherheitsrichtlinien bewertet. Das Zertifikat sieht maximal fünf Sterne vor. Wird die Höchstwertung erreicht, kann der Kunde von einem sehr vertrauenswürdigen Cloud-Anbieter ausgehen. - Zertifikat mit Tradition: ISO 27001
Die seit 2005 in der jetzigen Form angebotene Zertifizierung ISO 27001 wird vom Bundesamt für Sicherheit in der Informationstechnik (BSI) erteilt und ist eines der vertrauenswürdigsten Zertifikate im IT-Sektor. Das Audit besteht aus zwei Phasen: Zuerst wird anhand einer Dokumentenprüfung die grundsätzliche Eignung für die Zertifizierung festgestellt, danach folgt eine detaillierte Analyse der Sicherheitsprozesse. In der zweiten Phase werden Prozesse und sicherheitsrelevante Systeme vor Ort in Augenschein genommen. Diese Zertifizierung ist weltweit als Standard anerkannt und damit quasi auch ein Muss für alle Cloud-Anbieter. - In Europa weniger genutzt: SAS 70 vom AICPA
Die Zertifizierung SAS 70 testiert die Kontrolle über die unternehmenseigenen Steuerungsprozesse nach den Vorgaben des American Institute of Certified Public Accountants (AICPA). Die SAS-70-Zertifizierung kann auf zwei Arten erfolgen. Während die Typ-1-Zertifizierung nur eine Beschreibung der Kontrollmechanismen verlangt, werden bei Typ 2 auch die tatsächliche Umsetzung und die Effizienz der Maßnahmen im Unternehmen kontrolliert. In Europa ist diese Art der Zertifizierung nicht sehr bekannt, jedoch können einige der amerikanischen Cloud-Anbieter diese Zertifizierung nachweisen. Der Nachteil von SAS 70 ist, dass die Zertifizierung weder auf IT-Prozesse noch auf die Cloud-Fragestellung ausgerichtet ist. - Nicht ausreichend: Safe Harbour Agreement
Safe Harbour ist eine Datenschutzvereinbarung zwischen der EU und den Vereinigten Staaten, die es europäischen Unternehmen ermöglicht, personenbezogene Daten legal in die USA zu übermitteln. Europäische Rechtsstandards werden von Unternehmen, die sich nach der Safe-Harbour-Regelung zertifizieren, voll akzeptiert und respektiert. Die zugesicherten Rechte in der Praxis durchzusetzen, ist oft problematisch. Der Düsseldorfer Kreis empfiehlt daher eine zusätzliche Erklärung zwischen den Vertragspartnern. Außerdem sollen deutschen Firmen einige Mindestkriterien überprüfen, bevor sie Daten an Safe-Harbor-zertifizierte US-Firmen abgeben. - Der Patriot Act und der Cybersecurity Act
Der Patriot Act erlaubt amerikanischen Geheimdiensten seit 2002 per Gerichtsbeschluss den Zugriff auf abschließend definierte Datenbestände. Seit dem ist immer wieder der Verdacht zu hören, die amerikanische Regierung könne problemlos auf vertrauliche Inhalte ausländischer Unternehmen zugreifen, die ihre Daten bei amerikanischen Cloud-Anbietern speichern oder verarbeiten lassen. Das geht zwar nicht ohne weiteres, zeigt aber ein gewisses Vertrauensproblem auf. Richtig ist, dass sich aufgrund des Patriot Acts der Zugang zu Cloud-Server und Daten nicht vollständig ausschließen lässt, wenn bestimmte Voraussetzungen erfüllt sind. <br /><br /> <a href="http://www.computerwoche.de/management/cloud-computing/2487626/" target="_blank"> hier geht es zum Beitrag "Was taugen Cloud-Zertifikate?"</a>