Checkliste Sicheres Cloud Computing

Die nachstehende Best-Practice-Checkliste gibt erste Antworten und unterstützt Entscheider bei der Überprüfung der vielfältigen, am Markt gehandelten Lösungen für die Zusammenarbeit in der Cloud. Denn auch im Zeitalter von Internet-Überwachungsprogrammen wie "PRISM" und "Tempora" gibt es Plattformen, die unberührt von Mitlesern der Geheimdienste eine sichere und regelkonforme Arbeitsumgebung für die bereichsübergreifende Zusammenarbeit an vertraulichen Informationen und Dokumenten bieten.

Die Checkliste beruht auf Empfehlungen des Düsseldorfer Kreises aus dem Jahr 2010 und wurde in den vergangenen drei Jahren kontinuierlich an die fortschreitende Entwicklung angepasst.

1. Beteiligte Instanzen

Zunächst müssen Ross und Reiter genannt werden. Hiermit meint man die datenschutzseitigen Verantwortungssphären, die im Vorfeld der Zusammenarbeit mit einem Cloud-Anbieter festzulegen sind. Dabei geht es um Transparenz. Man muss wissen, wer im Spiel ist.

• Der Datenherr, auch Principal oder Controller genannt, bezeichnet das Unternehmen, welches eine Lösung für die sichere Zusammenarbeit in der Cloud sucht.

• Als Processor bezeichnet man den Lösungsanbieter einer webbasierten Security-Plattform für den sicheren und regelkonformen Austausch von vertraulichen Projektdaten und Dokumenten.

• Die Subunternehmen werden vom Lösungsanbieter beauftragt. Hierzu zählt in unserem Beispiel der Servicer Provider, ein zertifiziertes Rechenzentrum, das die Lösung betreibt und Auskunft geben kann, wo die Daten des Datenherrn aufbewahrt werden. Der Datenherr sollte sich die vollständige Liste der Subunternehmen inklusive aller Tochtergesellschaften vom Processor zeigen lassen.

• Die so genannten Third Parties erfüllen eine Aufgabe, die für das Funktionieren der Lösung wesentlich ist. Ein Beispiel: Im Rahmen der zweistufigen Authentifizierung mit Passwort und SMS-TAN für den Zugang zur Plattform wird eine SMS auf das Mobilfunktelefon der Mitarbeiter des Datenherrn geschickt. Zu klären sind folgende Fragen: Wer verschickt diese SMS und bekommt im Vorfeld die Mobilfunknummer? Etwa die NSA? Oder ein Anbieter, den Datenherr und Processor im Vorfeld auf Herz und Nieren prüfen können?

2. Datenkategorien und räumliche Bestimmbarkeit

Hier geht es um die alles entscheidende Frage: Welche Daten gehen in die Cloud, und wo befinden diese sich dann genau? Das mag unerheblich sein, wenn ein Unternehmen nur "langweilige" respektive unkritische Daten wie beispielsweise Firmenname, Adresse, E-Mail und Telefonnummer herausgibt. Sobald aber Daten mit Personenbezug in die Wolke wandern, die beispielsweise Auskunft über den Gesundheitszustand eines Mitarbeiters, das Führungszeugnis oder andere persönliche Eigenschaften geben, ist es laut Bundesdatenschutzgesetz (BDSG) unabdingbar, diese Daten in einer bestimmten, vertraglich festgelegten Region zu speichern und den Aufbewahrungsort jederzeit kurzfristig lokalisieren zu können. Anbieter wie Amazon, Google und Microsoft fallen deshalb durch das Raster für sicheres Cloud Computing: Sie können den Speicherort nicht schnell genug herausfinden und benennen.

6 Tipps gegen Cloud-Missverständnisse
Viele Investitionen in Private Clouds sind verschwendet. Der Grund: IT-Macher betrachten die Projekte lediglich als Virtualisierung mit anderen Mitteln. Fragt sich, wie CIOs dafür sorgen können, dass ihre Organisation auf echtes Cloud-Computing einschwenkt. Forrester gibt hier sechs Empfehlungen.

1. CIOs tun gut daran, ...
... virtualisierte Umgebungen und Cloud-Lösungen von einander zu trennen. Nicht alle Aufgaben eigenen sich für eine Verlagerung in die Cloud, und wer die Dinge unsystematisch vermischt, kann schnell Chaos anrichten.

2. CIOs sollten jenen Administratoren, ...
... die jede virtualisierte Lösung für Cloud Computing halten, Zugang zu spannenden Public-Cloud-Lösungen verschaffen und das Verständnis für die Unterschiede systematisch fördern, Begeisterung wecken.

3. CIOs sollten ihren Mitarbeitern die Angst davor nehmen, ...
... durch Cloud Computing Nachteile im Job zu erleiden. Denn was soll schlecht daran sein, Anwendungen zu pflegen und zu füttern statt Kapazitäten zu managen?

4. Kluge CIOs ...
... lernen von jenen Fachabteilungen, die bereits auf eigene Faust Cloud-Lösungen aufgebaut haben und diese Lösungen mit ihren Teams diskutieren.

5. Wenn es aus welchen Gründen ...
... auch immer nicht möglich ist, selbst eine Cloud-Umgebung aufzubauen, sollten sich CIOs kurzfristig einen Dienstleister dafür suchen. Dadurch haben sie die Möglichkeit, schnell und niedrigschwellig mit dem Thema zu beginnen.

6. Weiter denken
Nach Ansicht von Forrester liegt die Zukunft in komplexen Platform-as-a-Sevice- und Infrastructure-as-a-Service-Lösungen. Einen Weg zurück, also einen Wiederabstieg von den Wolken, wird es laut Forrester-Analyse nicht geben.

3. Kontrollrechte und Audits

Vor dem Gesetz wird der Datenherr so behandelt, als hätte er die sichere Arbeitsumgebung selbst aufgesetzt. Daher liegt es nahe, dass sich der Auftraggeber so gut wie möglich absichert und vor Vertragsabschluss möglichst viel Einblick in die Voraussetzungen und Leistungen des Processors bekommt. Man unterscheidet hier das

• vollständige Live Audit, bei dem der Datenherr die Lösung live anschaut und Fragen an den Processor und den Subunternehmer stellt

• das Audit durch schriftliche Selbstauskunft, in dem bis zu 20 Fragen aufgelistet werden, die der Processor beantworten muss

• den "Structured Walk Through", das heißt die Formulierung von etwa 10-20 Prüfpunkten, die für eine zuverlässige Cloud-Lösung typisch und wesentlich sind

• und das Audit via Remote Session, bei dem der Datenherr zugeschaltet wird und die Lösung im Online-Meeting vorgeführt bekommt.

4. Datenschutzzuverlässigkeit

Der Düsseldorfer Kreis hat mit seinen Hinweisen zum Cloud Computing die Grundlagen formuliert, die sich in ganz Europa mittlerweile durchgesetzt haben. Diese besagen in Übereinstimmung mit dem BDSG, dass Unternehmen nur Lieferanten beauftragen, die datenschutzseitig zuverlässig sind. Das heißt, der Datenherr kennt

• den Datenschutzbeauftragen oder die verantwortliche Person für Datenschutz des Processors

• der Processor hat sein Personal auf das Datengeheimnis verpflichtet

• atenser Processor führt regelmäßige verpflichtende Schulungen und Trainings durch

• der Processor besitzt Zertifikate wie beispielsweise ISO 27001, die die Vertrauenswürdigkeit der Lösung attestieren. Diese Zertifikate sollten belegen, dass der Betrieb der Lösung sicher ist und keine Risiken für den operativen Einsatz beim Kunden bestehen.

• der Processor sollte die Aufsichtsbehörde kennen

• der Processor sollte eine Erklärung zur Erfüllung gesetzlicher Datenschutzanforderungen abgeben

• der Processor sollte Hardware ausschließlich von verlässlichen Anbietern beziehen, um die Voraussetzung für eine sichere Cloud zu schaffen

• der Processor sollte ausschließlich verlässliche Softwarelösungen einsetzen, um die Voraussetzungen für eine sichere Cloud zu schaffen

• der Processor sollte seine Mitarbeiter vor der Einstellung genau überprüfen.

5. Technische- und organisatorische Maßnahmen (TOMs)

Natürlich interessiert sich der Datenherr beziehungsweise Auftraggeber für die technischen und organisatorischen Maßnahmen (TOMs) seines Processors beziehungsweise Lieferanten. Dazu zählen

1. Unbefugten den Zutritt zu Datenverarbeitungsanlagen, mit denen personenbezogene Daten verarbeitet oder genutzt werden, zu verwehren (Zutrittskontrolle),

2. zu verhindern, dass Datenverarbeitungssysteme von Unbefugten genutzt werden können (Zugangskontrolle),

3. zu gewährleisten, dass die zur Benutzung eines Datenverarbeitungssystems Berechtigten ausschließlich auf die ihrer Zugriffsberechtigung unterliegenden Daten zugreifen können, und dass personenbezogene Daten bei der Verarbeitung, Nutzung und nach der Speicherung nicht unbefugt gelesen, kopiert, verändert oder entfernt werden können (Zugriffskontrolle),

4. zu gewährleisten, dass personenbezogene Daten bei der elektronischen Übertragung, während ihres Transports oder ihrer Speicherung auf Datenträger nicht unbefugt gelesen, kopiert, verändert oder entfernt werden können, und dass überprüft und festgestellt werden kann, an welche Stellen eine Übermittlung personenbezogener Daten durch Einrichtungen zur Datenübertragung vorgesehen ist (Weitergabekontrolle),

5. zu gewährleisten, dass nachträglich überprüft und festgestellt werden kann, ob und von wem personenbezogene Daten in Datenverarbeitungssysteme eingegeben, verändert oder entfernt worden sind (Eingabekontrolle),

6. zu gewährleisten, dass personenbezogene Daten, die im Auftrag verarbeitet werden, nur entsprechend den Weisungen des Auftraggebers verarbeitet werden können (Auftragskontrolle),

7. zu gewährleisten, dass personenbezogene Daten gegen zufällige Zerstörung oder Verlust geschützt sind (Verfügbarkeitskontrolle),

8. zu gewährleisten, dass zu unterschiedlichen Zwecken erhobene Daten getrennt verarbeitet werden können.

Weitergehende TOMs gelten bei besonderen, personenbezogenen Daten.

Auf der folgenden Seite lesen Sie alles zu den Punkten 6 bis 9 der Checkliste.

6. Transparenz und Notification

Das Outsourcing von Dienstleistungen ist automatisch verbunden mit dem Insourcing von Risiko. Sollte sich beispielsweise ein Datenverlust ereignen, muss der professionelle Cloud-Anbieter sicherstellen, dass der Datenherr unverzüglich informiert wird. Auch das Reporting kritischer Ereignisse gehört zu den Obliegenheitspflichten des Processors. Im Idealfall verfügt das vom Processor gewählte Hosting-Center über Melderoutinen, die wenige Stunden nach Bekanntwerden eines Zwischenfalls automatisch Bericht erstatten.

IT-Grundschutz
Die IT-Grundschutz-Kataloge werden vom BSI regelmäßig ergänzt. Noch sind allerdings nicht alle Maßnahmen und Empfehlungen für Cloud Computing enthalten.

RSA Archer: SOX-Compliance
Unternehmen müssen eine Vielzahl von Standards und Compliance-Vorgaben befolgen und die Einhaltung nachweisen, zum Beispiel SOX oder bestimmte EU-Vorgaben. Lösungen wie RSA Archer können dabei helfen.

RSA Archer: Cloud-Standards
Auch für Cloud Computing gibt es zahlreiche Vorgaben und Empfehlungen, zum Beispiel von der Cloud Security Alliance (CSA). Bestimmte Cloud-Standards sind bereits in Lösungen wie RSA Archer abgebildet. Abschließende europäische oder internationale Cloud-Standards sind allerdings noch nicht verabschiedet. Unternehmen sollten deshalb zusätzlich interne Vorgaben zum Cloud Computing definieren.

Verinice: Vorgabenkatalog
Eine Lösung wie Verinice unterstützt insbesondere bei der Umsetzung von IT-Grundschutz, kann aber auch um weitere Compliance-Vorgaben ergänzt werden. So könnte ein Unternehmen auch einen eigenen Vorgabenkatalog zur Nutzung von sozialen Netzwerken hinterlegen.

NogLogic: Policy Management
Interne Richtlinien können bei einer Lösung wie NogaLogic zum Beispiel genau festlegen, was mit unstrukturierten Daten passieren soll, um diese besser zu schützen. Solche internen Policies fassen Vorgaben aus Standards genauer oder ergänzen diese.

7. Datentrennung

In der Vergangenheit führte das Outsourcing von unverschlüsselten Payroll-Daten in die Cloud dazu, dass ein Unternehmen Einblick in die Gehaltsdaten eines anderen Unternehmens bekam. Das darf nicht sein. Oft reicht schon eine Falschverschiebung oder die Nicht-Einhaltung einer Berechtigungsvorgabe, um mehr zu sehen als zulässig. Die Trennungskontrolle gilt als die wichtigste Voraussetzung für sicheres Arbeiten in der Cloud.

8. Datenlöschung

Um die Voraussetzungen für eine funktionierende Trennungskontrolle zu schaffen, muss der Cloud-Anbieter über Löschungsroutinen verfügen, die sicherstellen, dass Speicherplätze nach Ablauf der Nutzung beziehungsweise nach Transfer der Daten an einen anderen Speicherort (mit Copy und Paste) gereinigt werden und keine Restdaten an diesem Ort verbleiben. In jüngster Vergangenheit häuften sich Berichte zu Datenvorfällen, bei denen genau diese Voraussetzungen nicht erfüllt wurden. Beispielsweise stießen neue Nutzer bei der Ablage ihrer Daten in der Cloud auf Urlaubsfotos von Vorbesitzern. In einer Profi-Cloud darf so etwas nicht passieren. Hier wird der Anwender nach der Löschungsroutine mit einer Löschquittung über den Abschluss des Löschvorgangs seiner gespeicherten Daten informiert.

9. Dokumentation

Wenn ein Datenherr einen Vertrag mit einem Cloud-Anbieter schließt, geht er davon aus, dass sich bestimmte Sachverhalte in bestimmter Art und Weise ereignen. Beispielsweise möchte er wissen, wo die Daten seines Unternehmens vorgehalten werden. Ebenfalls von Interesse ist, ob eventuell Datensätze in der Cloud von einem Speicherplatz auf einen anderen verschoben werden, wenn Speicherkapazitäten erschöpft sind und neuer Speicher benötigt wird.

Sowohl die operationellen Abläufe und etwaige Änderungen in der Sphäre des Datenherrn als auch in der Sphäre des Processors sind daher bereits im Vorfeld detailliert zu beschreiben. Dazu zählt auch der Nachweis eines aktiven Meldeverfahrens auf Seiten des Cloud-Anbieters. Dieses bereitet nach wie vor vielen Lieferanten Probleme. Nach Erfüllung dieser Voraussetzungen steht einer ungetrübten Zusammenarbeit zwischen Datenherr und Processor nichts mehr im Wege. (sh)