Cloud Computing nach PRISM
Die NSA-Affäre verschärft Pflichten beim Datenschutz
Im schlimmsten Fall drohen Geschäftsführern und Vorständen Ermittlungen durch den Staatsanwalt und Schadensersatzforderungen, wenn sie nicht ausreichend sicherstellen, dass unberechtigte Dritte nicht auf Unternehmensdaten oder Geschäftsgeheimnisse zugreifen können. Dafür haften sie persönlich.
Besonders geschützt durch das Bundesdatenschutzgesetz sind personenbezogene Daten. Dazu zählen alle Informationen, die Rückschlüsse auf eine bestimmte Person erlauben. Auch wenn Daten erst verknüpft werden müssen, um einen Personenbezug herzustellen, unterfallen sie dem Bundesdatenschutzgesetz. Schon die IP-Adresse reicht aus, weil sie mit einem bestimmten Benutzer verknüpft ist und etwa in Kombination mit den Bestellungen bei einem Onlinehändler Rückschlüsse auf das Einkaufsverhalten zulässt.
Die Anforderungen für das Auslagern von Kontakt-, Adress- oder Geburtsdaten auf externe Speicher, Rechen- und Netzwerkkapazitäten sind hoch. Die Enthüllungen um die Abhöraktionen der amerikanischen Sicherheitsbehörden sollten IT-Verantwortliche zum Anlass nehmen, bei der Auswahl eines Cloud-Anbieters noch genauer hinzusehen.
Als Reaktion auf das Spähprogramm PRISM denken immer mehr Unternehmen darüber nach, deutsche oder europäische Cloud-Anbieter zu beauftragen. Tatsächlich können sie dadurch das Risiko eines Zugriffs ausländischer Behörden minimieren und die datenschutzrechtliche Ausgestaltung vereinfachen. Innerhalb des europäischen Wirtschaftsraums (EWR) sind die Regeln für den Datentransfer mit dem Bundesdatenschutzgesetz vergleichbar. Auch die Schweiz, Kanada, Israel, Argentinien, Australien oder die Kanalinseln haben ein von der Europäischen Union anerkanntes Datenschutzniveau. Sollen Daten etwa nach Indien, China oder in die USA ausgelagert werden, so ist dies nicht ohne weiteres möglich, da diese Länder kein anerkanntes Schutzniveau haben. Ein solches muss für eine datenschutzkonforme Auslagerung zunächst vertraglich oder mit Genehmigung der Aufsichtsbehörden hergestellt werden.
- Datenschutz und Datensicherheit
Saugatuck hat einen Fragenkatalog zur Security im Cloud Computing zusammen gestellt, den Interessenten Ihrem potenziellen Cloud-Provider vorlegen sollten. - Fachliche Anforderungen
Wie kann der Kunde auf seine Daten zugreifen oder diese wiederherzustellen? - Fachliche Anforderungen
Wie wird Sicherung der Daten einschließlich Disaster Recovery gewährleistet? - Fachliche Anforderungen
Wie, in welchem Format und nach welchen Umständen oder Bedingungen werden bei Vertragsende die Daten des Kunden an ihn übergeben? - Die Technik für Datenschutz und -sicherheit
Sind die Rechenzentren uneingeschränkt, rund um die Uhr, physikalisch und auch nach Mehr-Personen-Prinzip gesichert? - Die Technik für Datenschutz und -sicherheit
Ist es sichergestellt, dass das Personal des Providers weder Zugang zu den Benutzerpasswörtern und Berechtigungen des Anwenders hat noch diese einsehen kann? - Die Technik für Datenschutz und -sicherheit
Werden die Vorschriften zu Passwortrichtlinien, Zugriffsbeschränkungen, Anmeldeprotokollierungen, Datenzugriffsmodellen sowie zum Feldebenenzugriff dokumentiert? - Die Technik für Datenschutz und -sicherheit
Werden alle Passwörter verschlüsselt übertragen? - Die Technik für Datenschutz und -sicherheit
Gibt es ein sicheres Session-Key-Management und besteht eine Multi-Tenant-Datenzugriffskontrolle? - Die Technik für Datenschutz und -sicherheit
Werden Sicherheitsverstöße überwacht? Werden Eindringversuche (Intrusion Detection) und sicherheitsrelevante Vorfälle (Security-Event-Management) dokumentiert? - Transaktionen im Internet
Gibt es eine 128-bit SSL-Verschlüsselung für jede Transaktion? - Transaktionen im Internet
Liegen Verisign-Zertifikate vor? - Transaktionen im Internet
Werden Perimeter und Firewalls ständig überwacht? Sind Intrusion Detection sowie vorausschauendes Log-File-Monitoring Standardverfahren? - Sicherheitsmonitoring
Werden erfolgreiche und fehlgeschlagene Logins dokumentiert? - Sicherheitsmonitoring
Werden Eindringversuche (Intrusion Detection) und sicherheitsrelevante Vorfälle (Security-Event-Management) dokumentiert? - Interoperabilität mit On-Premise-Anwendungen
Welchen Einfluss haben Security-Architekturen und -Praktiken des Cloud-Providers auf die lokalen Installationen des Anwenders? - Interoperabilität mit On-Premise-Anwendungen
Legt der Betreiber der Multi-Tenancy- und Cloud-Plattform die verwendeten Techniken und Abläufe für das Data-Partitioning offen und dokumentiert sie? - Gesetzliche Anforderungen
Ist bei Speicherung von personenbezogenen Daten außerhalb der Grenzen des Europäischen Wirtschaftsraumes ein angemessenes Schutzniveau gewährleistet, wie es das Bundesdatenschutzgesetz vorschreibt (Paragraf 4b Absatz 2 Satz 2 BDSG)? - Gesetzliche Anforderungen
Ist es sichergestellt, dass ausschließlich solche Anwender auf Anwendung und deren Daten zugreifen können, die auch dazu berechtigt sind? - Gesetzliche Anforderungen
Können personenbezogenen Daten bei der Verarbeitung, Nutzung und nach Speicherung nicht unbefugt gelesen, kopiert, verändert oder entfernt werden? - Gesetzliche Anforderungen
Lässt sich nachträglich prüfen und feststellen, ob und von wem personenbezogene Daten in Anwendungssystemen eingegeben, verändert oder entfernt worden sind? - Gesetzliche Anforderungen
Können zu unterschiedlichen Zwecken erhobene personenbezogene Daten getrennt verarbeitet werden?
Safe-Harbor-Zertifizierungen bieten nur begrenzt Sicherheit
Eine Ausnahme gilt, wenn sich der Cloud-Provider nach dem Safe-Harbor-Abkommen zwischen Europa und Amerika aus dem Jahr 2000 verpflichtet hat, die Prinzipien des europäischen Datenschutzrechts einzuhalten. Amerikanische Anbieter wie Amazon oder Google bewerben ihre Cloud-Produkte in Europa beispielsweise mit Safe-Harbor-Zertifizierungen. Allerdings ist fraglich, ob der Verweis auf eine sorgfältige Auswahl des Wolkendienstes schon aufgrund der Verpflichtung zum Safe-Harbor-Abkommen einer Compliance-Prüfung standhält. Angesichts der PRISM-Abhöraffäre stellt sich umso drängender die Frage nach der Wirksamkeit dieser Selbstverpflichtung, insbesondere da die Behörden die Einhaltung der Selbstverpflichtung nicht regelmä-ßig kontrollieren.
Die Datenschutzbeauftragten des Bundes und der Länder denken gar darüber nach, grundsätzlich keine Genehmigungen für Datenexporte in die USA zu erteilen und Übermittlungen auf Ba-sis des Safe-Harbor-Abkommens zu untersagen. Dem stehen allerdings große wirtschaftliche Interessen entgegen. Hohe Hür-den wie die Notwendigkeit einer persönlichen Einwilligungserklärung zur Datenverarbeitung in den USA wären die Folge. Ein Transfer würde praktisch unmöglich. Wenn ein Teil der Kunden die Einwilligung nicht erteilt oder später widerruft, könnten die Unternehmen nicht die gesamte Kundendatenbank in die Cloud verlegen - mit entsprechendem Aufwand und Kosten für eine getrennte Verwaltung.
- Der NSA-General versucht sich am Klartext
Auf der Konferenz Blackhat verspricht NSA-Chef Keith Alexander dem Publikum Aufklärung. Übrig bleiben am Ende eine ordentliche Portion Pathos und ein gutes Bauchgefühl für Amerikaner. Bewohner andere Länder erfahren dagegen kaum Neues. - Prism und Tempora – keine große Überraschung
Die Aufregung ist groß. Da erlauben es sich amerikanische und britische Geheimdienste doch glatt, „das Internet“ abzuhören. Die Ausspähprogramme Prism und Tempora haben der Welt gezeigt, was Geheimdienste können und wollen. - Echtzeitüberwachung auch in Deutschland?
Auch in Deutschland ist unter bestimmten Bedingungen die Überwachung der Bürger möglich. Welche Gesetze hierbei greifen, erörtern die beiden Rechtsanwälte Michael Rath und Christian Kuß in einem Gastbeitrag. - Bei uns sind Kundendaten sicher
Das Prism-Projekt der US-Behörden hat einmal mehr gezeigt, wie verletzlich der Datenschutz in weltweit vernetzten IT-Systemen ist. Wir haben bei deutschen und in Deutschland tätigen Providern angefragt, wie sie es mit der Herausgabe von Kundendaten halten. - PRISM wirft Schatten über Sicherheitskonferenz
Anfang August treffen sich IT-Sicherheitsexperten in Las Vegas, um sich dort über die neuesten Schwachstellen und Bedrohungen auszutauschen. Dieses Jahr wurde die Konferenz aber nicht nur vom PRISM-Skandal überschattet - sondern auch von einem Todesfall. - Firmen suchen nach Spähskandal Sicherheit
Ob Microsoft, Apple oder Google - US-Geheimdienste greifen bei amerikanischen Konzernen Nutzerdaten ab. Das beunruhigt nicht nur Privatleute, sondern auch Firmen. Eine Chance für IT-Sicherheit "Made in Germany"? - NSA darf Telefongespräche von US-Bürgern weiter überwachen
Der amerikanische Geheimdienst NSA darf die Telefongespräche von US-Bürgern auch künftig im großen Stil überwachen. - CIO-Verband Voice zieht Konsequenzen aus dem NSA-Programm
Der Anwenderverband Voice ist seinerzeit angetreten, um sich einzumischen. Das tut er nun auch in Sachen PRISM. Voice-Sprecher Thomas Endres fordert die Plattformanbieter auf, zur Aufklärung beizutragen. - NSA-Affäre lässt Vertrauen in die Cloud sinken
Internet-Nutzer sind wegen der NSA-Spähaffäre einer Umfrage zufolge weniger bereit, ihre persönlichen Daten extern in der Cloud kommerzieller Anbieters zu speichern. - SAP-Chef will europäisches Abkommen für Datenverkehr
Die jüngsten Enthüllungen über die Internet-Überwachung durch US-Geheimdienste geben europäischen Cloud-Diensten Rückenwind. Doch SAP-Co-Chef Jim Hagemann Snabe warnt, dass ohne einheitliche Standards nationale Alleingänge drohen. - Haben die USA Merkels Handy überwacht?
Obama hat die Abhörskandale seiner Geheimdienste bisher eher lässig behandelt - und überstanden. Doch jetzt gibt es immer mehr internationalen Druck. Nicht nur Frau Merkel ist irritiert. - Ex-Chef von NSA und CIA ließ sich im Zug belauschen
Als NSA-Chef hatte Michael Hayden das Kommando über den wohl mächtigsten Abhördienst der Welt - jetzt ließ er sich selbst in einem Zug belauschen. - Secusmart-Chef: "Es war Merkels Parteihandy“
Secusmart stellt für die Regierung abhörsichere Handys her. Unsere Schwesterpublikation CIO.de sprach bereits vor der aktuellen Snowden-Enthüllung mit Geschäftsführer Hans-Christoph Quelle. - Telekom arbeitet an Allianz für deutsches Internet
Die Berichte über die NSA-Überwachung könnten das Internet spalten. Die Deutsche Telekom zimmert eine Allianz für ein Netz zusammen, in dem Daten Deutschland oder Europa nicht verlassen sollen. - T-Systems konkretisiert Clean-Pipe-Pläne
Nachdem die Telekom in den Medien für ihre Vorstellungen eines "sicheren deutschen Internets" heftig kritisiert wurde, hat nun zumindest T-Systems seine Clean-Pipe-Pläne für Unternehmenskunden konkretisiert. - CSC ist in die NSA-Falle getappt
Die "Süddeutsche Zeitung" (SZ) stellt eine Verknüpfung zwischen den US-Aufträgen des Spionagedienstes NSA an den IT-Dienstleister CSC und dessen Aktivitäten mit deutschen Behörden her. Belege für Verfehlungen infolge der Verquickung gibt es nicht, aber einen unerhörten Verdacht. - CSC-Spionage: "Absolut undenkbar"
Der IT-Service-Provider CSC steht unter Spionageverdacht. Klaus Plönzke, Gründer des IT-Beratungshauses Ploenzke, aus dem später CSC Deutschland hervorging, hält das im Gespräch mit der COMPUTERWOCHE für abwegig. - Nutzung von Internet-Diensten trotz NSA-Skandal ungebrochen
Internetdienste wie E-Mail erfreuen sich in Deutschland auch nach der Spähaffäre um den US-Geheimdienst NSA ungebrochener Beliebtheit. - Online-Kriminelle rücken im Schatten der NSA-Affäre vor
Während alle Welt über die Enthüllungen zur NSA-Spionage entsetzt ist, sind die Online-Kriminellen aktiv wie eh und je. Die IT-Branche warnt davor, das vor lauter Aufregung über staatliche Überwachung zu vergessen. - Sammelwut der NSA hilft kaum gegen Terrorismus
Nachdem sie 225 Terrorfälle in den USA seit 2001 analysiert hat, kommt die Denkfabrik "New America Foundation" zu dem Schluss, dass die massenhafte Sammlung von Telefongesprächsdaten durch die NSA "keinen erkennbaren Einfluss auf deren Verhinderung" gehabt habe. - CCC-Sprecher: "Verschlüsselt alles!"
Verschlüsselung für Nutzer, Daten-Transparenz für Regierungen und Konzerne - das ist der Weg für das Internet nach Ansicht der Netz-Aktivisten vom Chaos Computer Club. "Wir brauchen Verschlüsselung überall", forderte CCC-Sprecher Frank Rieger am Sonntag bei der Innovationskonferenz DLD in München. - "PRISM hilft, überflüssige Produkte zu verkaufen"
Sicherheitsverantwortliche britischer und amerikanischer Unternehmen sehen die Spionageaktivitäten ihrer Geheimdienste nicht so kritisch wie ihre Kollegen aus deutschen Landen. - Geheimdienste zapfen App-Daten an
Es gibt kaum noch einen Bereich des digitalen Lebens, der nicht von der Datensammelwut des US-Geheimdienstes NSA erfasst wurde. Neuen Enthüllungen zufolge sind auch populäre Apps betroffen - von denen viele mehr Informationen sammeln, als dem Nutzer bewusst ist. - Angry-Birds-Macher weisen Schnüffelvorwürfe zurück
Die Macher von Angry Birds haben sich nun zu den Berichten geäußert, laut denen Geheimdienste die Nutzer der beliebten Spiele-Apps ausspähen. - NSA-Affäre dämpft Nachfrage nach Cloud-Diensten
Das Interesse an Cloud-Diensten in Deutschland hat als Folge der NSA-Spähaffäre einen deutlichen Dämpfer erhalten. Im Vergleich zum Vorjahr ist die Nutzung in Unternehmen nur noch um drei Prozentpunkte angestiegen, teilte der Branchenverband Bitkom mit. - Apple bestreitet Zusammenarbeit mit der NSA
Apple hat nach neuen Enthüllungen über die Fähigkeiten der NSA zum Anzapfen von iPhones eine Kooperation mit dem US-Geheimdienst bestritten. - NSA greift Computer und Netze gezielt an
Der US-Geheimdienst NSA macht offenbar nicht davor halt, Schwachstellen bei Herstellern wie Cisco oder Dell auszunutzen. Zudem veröffentlichte der "Spiegel" einen Katalog von Ausspähtechnik der NSA. Wann und gegen wen dies eingesetzt wurde, bleibt offen. - Ex-BND-Chef: Geheimdienste und Industriespionage
Der frühere Präsident des Bundesnachrichtendienstes August Hanning beleuchtet die Rolle und Bedeutung der Geheimdienste in der Industriespionage. - Leidenschaftlicher Appell von DLR-CIO Popp
"Wehrt euch!" – Mit diesen einfachen Worten lässt sich zusammenfassen, was DLR-CIO Hans-Joachim Popp den Zuhörern zu Industriespionage und NSA mit auf den Weg gab. - NSA will Quantencomputer zum Ausspähen
Nach neusten Gerüchten arbeitet die NSA an einem Quantencomputer arbeitet. Dieser soll auch hochgeschützte Computer von Banken und Regierungen knacken können. - Snowden ruft Internet-Unternehmen zur Verschlüsselung auf
Edward Snowden meldet sich erneut zu Wort: Mithilfe eines Roboters trat der ehemalige Geheimdienstler auf der TED-Konferenz auf. Dort warnte er vor dem Untergraben von Sicherheitsstandards im Internet. Unternehmen müssten ihre Nutzer besser schützen. - Duell der Spione - USA und China ringen um die Cyber-Macht
Neue Enthüllungen stellen die US-Geheimdienste erneut an den Pranger. Deren Ziel: China. Dabei hatte Washington mehrmals Peking als Quelle von Hackerangriffen gebrandmarkt. Aber China könnte den USA trotzdem nur wenig nachstehen. Die Länder liefern sich ein Wettrüsten. - NSA-Skandal schadet der US-Industrie
Große amerikanische IT-Firmen appellieren gemeinsam mit ihrem IT-Verband an die US-Politik, die NSA-Überwachung zu zügeln. Der Vertrauensverlust unter südamerikanischen und europäischen Kunden schade dem Geschäft. - Deutsche Cloud-Anbieter punkten mit Datenschutz
Der NSA-Skandal hat dem Cloud Computing einen Dämpfer versetzt. Insbesondere im Mittelstand ist die Zurückhaltung gegenüber dem Auslagern der Daten weiterhin groß. Unser Reality Check zeigt aber: Deutsche Cloud-Anbieter können angesichts der gewachsenen Bedeutung von Sicherheit und Datenschutz punkten. - Web protestiert gegen NSA-Überwachung
Im Rahmen einer weltweiten Aktion protestieren am Dienstag über 5.300 große und kleine Web-Unternehmen und Organisationen gegen die NSA-Überwachung.
Schwierige Verhandlungsposition für den Mittelstand
Alternativ können Unternehmen Datenexporte in die USA, China oder Indien mit Hilfe der EU-Standardvertragsklauseln für Auftragsdatenverarbeiter legitimieren. Der Nachteil dabei: Diese Standardklauseln dürfen grundsätzlich nicht abgeändert werden, um Schutzwirkung zu entfalten. Kleine und mittlere Unternehmen, die einem großen Cloud-Anbieter gegenüber stehen, stellt dies vor Probleme, wenn dieser es beispielsweise ablehnt, Unterauftragnehmer nur entsprechend den Standardvertragsklauseln zu verpflichten. In diesen Fällen ist es sinnvoller, die Vertragsbedingungen des Anbieters genau auf die individuellen Compliance-Anforderungen zu prüfen und im Zweifel einen anderen Anbieter zu suchen.
Aber Vorsicht: Entscheidend für das Datenschutzniveau ist nicht nur der Sitz des Cloud-Anbieters, sondern auch der Ort der Speicherung. Aufgrund der sehr verschiedenen Konstellationen und Ebenen der Cloud-Dienste von „Software as a Service“ (SaaS) über „Platform as a Service“ (PaaS) bis zu „Infrastructure as a Service“ (IaaS) ist für jeden Wolken-Service eine Einzelfallbetrachtung notwendig. Zu differenzieren ist beispielsweise auch zwischen einer Private Cloud mit einer geschlossenen Umgebung für einen bestimmten Nutzerkreis und einer Public Cloud mit einer über das Internet allgemein zugänglichen Hardware, bei der die Identität der Nutzer aufgrund der allgemeinen Zugänglichkeit nicht feststellbar ist. Eine hybride Cloud kombiniert die beiden Modelle. Dazu zählen auch Community Clouds, die Un-ternehmen einer Branche oder Organisation mit vergleichbaren technischen oder sicherheitsbezogenen Anforderungen teilen.
Im Hinblick auf den Datenschutz ist insbesondere der Ort der Speicherung entscheidend. Es geht um die Frage, ob die ausgelagerten Daten beispielsweise in einer deutschen, europäischen oder außereuropäischen Wolke verarbeitet werden. Doch häufig weiß der Kunde gar nicht, wo seine Daten gerade liegen. Weigert sich der Cloud-Anbieter, über die Wege der Daten zu informieren, ist die Vertrauenswürdigkeit fraglich.