Neun Schritte in die Wolke

Checkliste Sicheres Cloud Computing

Robert Niedermeier ist als Fachanwalt für die Bereiche IT- und TK-Recht bei der Heussen Rechtsanwaltsgesellschaft in München tätig.
Dr. Thomas Mohr arbeitet als Director Services bei der Brainloop AG in München.
An was Unternehmen denken müssen, die sicher, datenschutzkonform und gleichzeitig grenzenlos mit anderen zusammenarbeiten möchten.
So wird die Cloud sicher...
So wird die Cloud sicher...
Foto: mipan, Fotolia.com

Die nachstehende Best-Practice-Checkliste gibt erste Antworten und unterstützt Entscheider bei der Überprüfung der vielfältigen, am Markt gehandelten Lösungen für die Zusammenarbeit in der Cloud. Denn auch im Zeitalter von Internet-Überwachungsprogrammen wie "PRISM" und "Tempora" gibt es Plattformen, die unberührt von Mitlesern der Geheimdienste eine sichere und regelkonforme Arbeitsumgebung für die bereichsübergreifende Zusammenarbeit an vertraulichen Informationen und Dokumenten bieten.

Die Checkliste beruht auf Empfehlungen des Düsseldorfer Kreises aus dem Jahr 2010 und wurde in den vergangenen drei Jahren kontinuierlich an die fortschreitende Entwicklung angepasst.

1. Beteiligte Instanzen

Zunächst müssen Ross und Reiter genannt werden. Hiermit meint man die datenschutzseitigen Verantwortungssphären, die im Vorfeld der Zusammenarbeit mit einem Cloud-Anbieter festzulegen sind. Dabei geht es um Transparenz. Man muss wissen, wer im Spiel ist.

  • Der Datenherr, auch Principal oder Controller genannt, bezeichnet das Unternehmen, welches eine Lösung für die sichere Zusammenarbeit in der Cloud sucht.

  • Als Processor bezeichnet man den Lösungsanbieter einer webbasierten Security-Plattform für den sicheren und regelkonformen Austausch von vertraulichen Projektdaten und Dokumenten.

  • Die Subunternehmen werden vom Lösungsanbieter beauftragt. Hierzu zählt in unserem Beispiel der Servicer Provider, ein zertifiziertes Rechenzentrum, das die Lösung betreibt und Auskunft geben kann, wo die Daten des Datenherrn aufbewahrt werden. Der Datenherr sollte sich die vollständige Liste der Subunternehmen inklusive aller Tochtergesellschaften vom Processor zeigen lassen.

  • Am Cloud Computing sind zahlreiche Parteien beteiligt, genauso wie Daten aus diversen Quellen in der Cloud verarbeitet werden.
    Am Cloud Computing sind zahlreiche Parteien beteiligt, genauso wie Daten aus diversen Quellen in der Cloud verarbeitet werden.
    Foto: natashasha, shutterstock.com

    Die so genannten Third Parties erfüllen eine Aufgabe, die für das Funktionieren der Lösung wesentlich ist. Ein Beispiel: Im Rahmen der zweistufigen Authentifizierung mit Passwort und SMS-TAN für den Zugang zur Plattform wird eine SMS auf das Mobilfunktelefon der Mitarbeiter des Datenherrn geschickt. Zu klären sind folgende Fragen: Wer verschickt diese SMS und bekommt im Vorfeld die Mobilfunknummer? Etwa die NSA? Oder ein Anbieter, den Datenherr und Processor im Vorfeld auf Herz und Nieren prüfen können?

2. Datenkategorien und räumliche Bestimmbarkeit

Hier geht es um die alles entscheidende Frage: Welche Daten gehen in die Cloud, und wo befinden diese sich dann genau? Das mag unerheblich sein, wenn ein Unternehmen nur "langweilige" respektive unkritische Daten wie beispielsweise Firmenname, Adresse, E-Mail und Telefonnummer herausgibt. Sobald aber Daten mit Personenbezug in die Wolke wandern, die beispielsweise Auskunft über den Gesundheitszustand eines Mitarbeiters, das Führungszeugnis oder andere persönliche Eigenschaften geben, ist es laut Bundesdatenschutzgesetz (BDSG) unabdingbar, diese Daten in einer bestimmten, vertraglich festgelegten Region zu speichern und den Aufbewahrungsort jederzeit kurzfristig lokalisieren zu können. Anbieter wie Amazon, Google und Microsoft fallen deshalb durch das Raster für sicheres Cloud Computing: Sie können den Speicherort nicht schnell genug herausfinden und benennen.

3. Kontrollrechte und Audits

Vor dem Gesetz wird der Datenherr so behandelt, als hätte er die sichere Arbeitsumgebung selbst aufgesetzt. Daher liegt es nahe, dass sich der Auftraggeber so gut wie möglich absichert und vor Vertragsabschluss möglichst viel Einblick in die Voraussetzungen und Leistungen des Processors bekommt. Man unterscheidet hier das

  • vollständige Live Audit, bei dem der Datenherr die Lösung live anschaut und Fragen an den Processor und den Subunternehmer stellt

  • das Audit durch schriftliche Selbstauskunft, in dem bis zu 20 Fragen aufgelistet werden, die der Processor beantworten muss

  • den "Structured Walk Through", das heißt die Formulierung von etwa 10-20 Prüfpunkten, die für eine zuverlässige Cloud-Lösung typisch und wesentlich sind

  • und das Audit via Remote Session, bei dem der Datenherr zugeschaltet wird und die Lösung im Online-Meeting vorgeführt bekommt.

4. Datenschutzzuverlässigkeit

Der Düsseldorfer Kreis hat mit seinen Hinweisen zum Cloud Computing die Grundlagen formuliert, die sich in ganz Europa mittlerweile durchgesetzt haben. Diese besagen in Übereinstimmung mit dem BDSG, dass Unternehmen nur Lieferanten beauftragen, die datenschutzseitig zuverlässig sind. Das heißt, der Datenherr kennt

  • den Datenschutzbeauftragen oder die verantwortliche Person für Datenschutz des Processors

  • der Processor hat sein Personal auf das Datengeheimnis verpflichtet

  • atenser Processor führt regelmäßige verpflichtende Schulungen und Trainings durch

  • der Processor besitzt Zertifikate wie beispielsweise ISO 27001, die die Vertrauenswürdigkeit der Lösung attestieren. Diese Zertifikate sollten belegen, dass der Betrieb der Lösung sicher ist und keine Risiken für den operativen Einsatz beim Kunden bestehen.

  • der Processor sollte die Aufsichtsbehörde kennen

  • der Processor sollte eine Erklärung zur Erfüllung gesetzlicher Datenschutzanforderungen abgeben

  • der Processor sollte Hardware ausschließlich von verlässlichen Anbietern beziehen, um die Voraussetzung für eine sichere Cloud zu schaffen

  • der Processor sollte ausschließlich verlässliche Softwarelösungen einsetzen, um die Voraussetzungen für eine sichere Cloud zu schaffen

  • der Processor sollte seine Mitarbeiter vor der Einstellung genau überprüfen.

5. Technische- und organisatorische Maßnahmen (TOMs)

Natürlich interessiert sich der Datenherr beziehungsweise Auftraggeber für die technischen und organisatorischen Maßnahmen (TOMs) seines Processors beziehungsweise Lieferanten. Dazu zählen

  1. Unbefugten den Zutritt zu Datenverarbeitungsanlagen, mit denen personenbezogene Daten verarbeitet oder genutzt werden, zu verwehren (Zutrittskontrolle),

  2. zu verhindern, dass Datenverarbeitungssysteme von Unbefugten genutzt werden können (Zugangskontrolle),

  3. zu gewährleisten, dass die zur Benutzung eines Datenverarbeitungssystems Berechtigten ausschließlich auf die ihrer Zugriffsberechtigung unterliegenden Daten zugreifen können, und dass personenbezogene Daten bei der Verarbeitung, Nutzung und nach der Speicherung nicht unbefugt gelesen, kopiert, verändert oder entfernt werden können (Zugriffskontrolle),

  4. zu gewährleisten, dass personenbezogene Daten bei der elektronischen Übertragung, während ihres Transports oder ihrer Speicherung auf Datenträger nicht unbefugt gelesen, kopiert, verändert oder entfernt werden können, und dass überprüft und festgestellt werden kann, an welche Stellen eine Übermittlung personenbezogener Daten durch Einrichtungen zur Datenübertragung vorgesehen ist (Weitergabekontrolle),

  5. zu gewährleisten, dass nachträglich überprüft und festgestellt werden kann, ob und von wem personenbezogene Daten in Datenverarbeitungssysteme eingegeben, verändert oder entfernt worden sind (Eingabekontrolle),

  6. zu gewährleisten, dass personenbezogene Daten, die im Auftrag verarbeitet werden, nur entsprechend den Weisungen des Auftraggebers verarbeitet werden können (Auftragskontrolle),

  7. zu gewährleisten, dass personenbezogene Daten gegen zufällige Zerstörung oder Verlust geschützt sind (Verfügbarkeitskontrolle),

  8. zu gewährleisten, dass zu unterschiedlichen Zwecken erhobene Daten getrennt verarbeitet werden können.

Weitergehende TOMs gelten bei besonderen, personenbezogenen Daten.

Auf der folgenden Seite lesen Sie alles zu den Punkten 6 bis 9 der Checkliste.