Datenhoheit in der Cloud

Tipps zum Datenschutz in der Cloud

15.09.2016 von Deema Freij
Ob Public, Private oder Hybride Cloud, personenbezogene Daten werden überall und oft unüberlegt in solchen Datenspeicher abgelegt. Um die Datenhoheit zu gewährleisten und Compliance-Richtlinien zu erfüllen, müssen Sie deshalb einige wichtige Security-Faktoren bei der Entwicklung einer Cloud-Strategie beachten.

Befinden sie sich heute noch auf dem heimischen Computer, sind sie morgen vielleicht schon in Irland oder den USA. Die Rede ist von personenbezogenen Daten. Wir hinterlassen sie überall im Internet: Wenn wir online Geschäfte abwickeln, wenn wir online Beziehungen pflegen oder wenn wir uns online vernetzen. Umso mehr stellt sich die Frage, welche Maßnahmen notwendig sind, um digitale Informationen im Internet und vor allem in der Cloud zu schützen. Regierungen entwickeln zum Thema Datenhoheit zunehmend neue Gesetze und Regulierungen. Unternehmen hingegen müssen selbst auf sichere Technologien und einen sicheren Cloud-Anbieter achten.

Der digitale Wandel hat den Umgang mit personenbezogenen und unternehmenseigenen Daten grundlegend verändert. Der konstante Zugang zu Unternehmensinformationen von jedem Ort und zu jeder Zeit wird heute im beruflichen Alltag vorausgesetzt. Datenschutz und Datensicherheit müssen dabei stets gewährleistet sein. Um die Kontrolle über die Daten zu behalten, ist es für Unternehmen wichtig, ihre aktuelle technologische Infrastruktur und ihre Compliance-Richtlinien zu prüfen und bei Bedarf entsprechend zu optimieren. Bei der Entwicklung ihrer Cloud-Strategie sollten sie daher eine Reihe von relevanten Faktoren beachten.

EU-Datenschutzreform 2016: Die wichtigsten Änderungen
Ein Gesetz für alle
EU-weit gelten die gleichen Datenschutzregeln. Das bedeutet auch eine gestiegene Verantwortung und Haftung für alle, die persönliche Daten verarbeiten.
"Recht auf Vergessen"
Wollen Nutzer ihre Daten nicht weiter verarbeitet sehen, werden diese gelöscht - vorausgesetzt, es spricht aus juristischer Sicht nichts dagegen.
"Opt-in" statt "Opt-out"
Sollen persönliche Daten verabeitet werden, müssen Nutzer aktiv zustimmen (und nicht aktiv widersprechen wie bisher).
Recht auf Transparenz
Nutzer haben ein Recht auf Transparenz - sie dürfen erfahren, welche Daten über sie gesammelt und wie diese verarbeitet werden.
Zugang und Portabilität
Der Zugang zu den bei Dritten über einen selbst gespeicherten Daten soll einfacher möglich sein. Zudem ist die Dartenportabilität zu gewährleisten - also sicherzustellen, dass persönliche Informationen leichter von einem Dienstanbieter zu einem anderen übertragen werden können.
Schnellere Meldung
Tritt ein Datenverlust auf, müssen Unternehmen und Organisationen im Regelfall binnen 24 Stunden, mindestens aber so schnell wie möglich ihrer behördlichen Meldepflicht nachkommen.
Weniger Behördenchaos
Unternehmen müssen sich nur noch mit einer einzigen Aufsichtsbehörde auseinandersetzen - und zwar dort, wo sie ihren Hauptsitz haben.
Grenzübergreifend
Privatanwender dürfen jeden Fall von Datenmissbrauch an ihre nationale Aufsichtsbehörde melden - selbst dann, wenn die betroffenen Daten im Ausland verarbeitet wurden.
Erweiterter Geltungsbereich
Die EU-Richtlinie gilt auch für Unternehmen, die keinen Sitz in der EU haben, sobald sie Waren oder Dienstleistungen in der EU anbieten oder auch nur Online-Marktforschung unter EU-Bürgern betreiben.
Höhere Bußgelder
Verstößt ein Unternehmen gegen die Datenschutzbestimmungen, droht ein Bußgeld in Höhe von bis zu vier Prozent des Jahresumsatzes.
Bürokratieabbau
Administrative Umstände wie Meldepflichten für Unternehmen, die persönliche Daten verarbeiten, entfallen.
Erst ab 16
Die rechtswirksame Anmeldung bei Internetnetservices wie Facebook oder Instagr.am soll Jugendlichen im Regelfall erst ab 16 Jahren möglich sein - weil sie erst ab diesem Lebensalter eine gültige Einwilligung in die Verarbeitung ihrer persönlichen Daten geben können. Nationale Gesetze sollen laut Datenschutzverordnung hier aber Ausnahmen möglich machen.
Stärkung der nationalen Aufsichtsbehörden
Nationale Datenschutzbehörden werden in ihren Kompetenzen gestärkt, so dass sie die neuen EU-Regeln besser umsetzen können. Unter anderem dürfen sie einzelnen Unternehmen verbieten, Daten zu verarbeiten. können bestimmte Datenflüsse stoppen und Bußgelder gegen Unternehmen verhängen, die bis zu zwei Prozent der jeweiligen weltweiten Jahreseinkünfte betragen. Darüber hinaus dürfen sie Gerichtsverfahren in Datenschutzfragen anstrengen. <br /><br />(Quelle: Forrester Research)

Optimierung der technologischen Infrastruktur

Im Internet und in der Cloud nehmen Daten drei Stadien ein: in Benutzung (Data-in-use), in Übertragung (Data-in-motion) und im Ruhezustand (Data-at-rest). Früher haben Unternehmen die volle Datenkontrolle häufig nur mit Daten in gespeichertem Zustand, also "ruhenden Daten", in Verbindung gebracht. Auch während der Übertragung wurden Sicherheitsvorkehrungen an den physischen Ort der Dateien gekoppelt.

In der Praxis ist es für einen umfassenden Datenschutz allerdings nicht mehr ausreichend, die Sicherheit der Daten von ihrem Speicherort abhängig zu machen. Unternehmen müssen das Thema Datenkontrolle aus diesem Grund vom physischen Ort ihrer Daten lösen und eine Technologie verwenden, die in der Lage ist, die Informationen in allen drei Stadien zu schützen.

IT-Lösungen, wie Customer Managed Encryption Keys, können hierbei der entscheidende Faktor sein. Digitale Dokumente lassen sich damit so komplex verschlüsseln, dass niemand deren Inhalt lesen kann. So behält das Unternehmen die vollständige Kontrolle über Dokumente. Und wird der eingesetzte Schlüssel deaktiviert, ist niemand in der Lage, die Daten zu entschlüsseln - selbst der Anbieter der Lösung nicht.

Darüber lassen sich mithilfe von Information-Rights-Management-Tools (IRM) weitere Sicherheitsvorkehrungen treffen. Dabei haben Unternehmen die Wahl, ob sie die Dateien nach einer gewissen Zeit unwiderruflich löschen oder nur für eine begrenzte Zeit zum Download bereitstellen. Eine solche IT-Lösung hilft ihnen beispielsweise auch dabei, zu bestimmen, an welchen Orten sich die Dateien öffnen lassen und ob die Dokumente mit Nutzername und IP-Adresse des Ursprungsrechners als Kopie gekennzeichnet werden sollen.

Anpassung der Compliance-Richtlinien

Neben den technologischen Maßnahmen müssen Unternehmen auch ihre Compliance-Bestimmungen ändern. Dabei müssen sie besonders berücksichtigen, dass in den einzelnen Ländern, in denen sie agieren, unter Umständen andere Bestimmungen zur Datensicherheit gelten. Denn gerade aktuelle Themen wie die General Data Protection Regulation (GDPR), die Datenschutz-Grundverordnung der Europäischen Union (EU), zeigen, dass das Thema Datenhoheit sehr komplex sein kann.

Regierungen weltweit arbeiten derzeit an strengeren Regulierungen, um die Daten unter Kontrolle zu bekommen. Hong Kong beispielsweise reformierte seine Datenschutzgesetze im Jahr 2012, wobei der Abschnitt zum internationalen Datentransfer bislang noch nicht in Kraft getreten ist. Brasilien hat den Brazilian Internet Act verabschiedet, der sich mit der Behandlung und Nutzung persönlicher Daten im Internet befasst. Nun hat die EU die GDPR eingeführt und damit die aus dem Jahr 1995 stammende Datenschutzrichtlinie der Europäischen Gemeinschaft (Richtlinie 95/46/EG) abgelöst.

Mit der Datenschutz-Grundverordnung beabsichtigt die EU, die Regeln zur Verarbeitung von personenbezogenen Daten EU-weit zu vereinheitlichen. Sie soll sowohl für öffentliche Stellen als auch private Organisationen in 28 Ländern, einschließlich Deutschland, gelten und innerhalb eines zweijährigen Zeitraums implementiert werden. Das Ziel: personenbezogene von EU-Bürgern zu schützen. Außerdem will sie dadurch einen freien Datenverkehr innerhalb des Europäischen Marktes sicherstellen.

Derzeit bedeuten die gesetzlichen Regelungen zur Datenhoheit für Unternehmen, dass in jeder Niederlassung unter Umständen unterschiedliche Regulierungen gelten können. Diese müssen sie wiederum bei der Übertragung in andere Standorte beachten. Tritt die GDPR wie geplant 2018 in Kraft, könnte sich diese Situation für Unternehmen zumindest EU-weit vereinfachen. Verstoßen sie allerdings gegen die Datenschutz-Grundverordnung der EU und es kommt dadurch zu Sicherheitslücken, müssen sie Bußgelder zahlen, die zirka vier Prozent ihres globalen Jahresumsatzes betragen. Für manche Unternehmen könnte das zu Strafzahlungen in Milliardenhöhe führen. Viele global agierende Unternehmen werden jedoch ihr Europageschäft aufgrund der mit den Verordnungen verbundenen Kosten ganz neu bewerten müssen.

IT-Sicherheit: Menschliche Datenschutz-Fails
Großbritannien: Cabinet Office
In Großbritannien gingen 2008 sicherheitspolitisch brisante Daten bezüglich Al-Qaida und den Irak aufgrund eines menschlichen Fehlers verloren. Ein Angestellter des Cabinet Office, welches direkt dem Premierminister und den Ministers of Cabinet untersteht, muss mit seinen Gedanken schon ganz im Feierabend gewesen sein, als er seine Arbeitsunterlagen in einem Pendelzug liegen ließ. Ein Fahrgast fand den Ordner mit den streng geheimen Dokumenten und übergab diesen der BBC, die ihn wiederum an die Polizei weiterleitete. Obwohl die Tagträumerei gerade noch einmal gut ging, wurde der Beamte daraufhin wegen Fahrlässigkeit suspendiert.
Frankreich: TV5 Monde
Am 8. April 2015 wurde das Programm von TV5 Monde über mehrere Stunden hinweg blockiert, nachdem sich eine dem IS nahestehende Hacker-Gruppe namens „Cyber-Kalifat“ Zugang zu den IT-Systemen verschafft hatte. Nur einen Tag nach der Cyberattacke erlebte der französische TV-Sender ein Datenschutz-Debakel – dieses Mal aufgrund menschlichen Versagens: Reporter David Delos enthüllte während eines Interviews unabsichtlich die Passwörter für Social-Media-Konten des Senders - darunter YouTube, Instagram und Twitter. Diesen waren auf dem Whiteboard hinter dem Pechvogel zu sehen. Auch wichtige Telefonnummern waren zu sehen. Darüber hinaus offenbarte die Wand auch, wie es zum vorangegangenen Hack durch die Islamisten-Hacker kommen konnte: Und zwar in Form des Passwortes für den YouTube-Account von TV5 Monde: "lemotdepassedeyoutube" ( „daspasswortfüryoutube“).
USA: Department of Veterans Affairs
Im Mai 2006 stahl ein Einbrecher den Laptop eines Mitarbeiters des US-Kriegsveteranen-Ministeriums. Dabei wurden ganze 26,5 Millionen Datensätze, die Informationen zu Kriegsveteranen und deren Angehörigen enthielten, entwendet. Der Bestohlene hatte die Daten unerlaubter Weise auf dem Notebook gespeichert, um "von Zuhause aus arbeiten zu können". Dieses menschliche Fehlverhalten wurde darin noch verstärkt, dass die Daten gänzlich unverschlüsselt auf der Festplatte lagen. Einen Monat später tauchte das Device mitsamt den Daten wieder auf - angeblich, ohne Anzeichen einer Kompromittierung. Der entstandene Schaden wurde dennoch auf einen Betrag von 100 bis 500 Millionen Dollar geschätzt. Alleine 20 Millionen Dollar musste das Department of Veteran Affairs in der Folge als Ausgleich an die Geschädigten entrichten.
Norwegen: Steuerbehörde
Im Herbst 2008 hat die norwegische Steuerbehörde Daten zur Einkommenssteuer aller vier Millionen Norweger an Zeitungen und Rundfunkanstalten verschickt. Die Behörde veröffentlicht diese Zahlen jährlich, mit dem Ziel die Bürger zu ehrlichen Steuerzahlern zu "erziehen". Außergewöhnlich ist daran nur, dass in diesem Fall auch die sogenanten Personennummer mitveröffentlicht wurde. Diese besteht aus einer Zahlengruppe und dem Geburtsdatum des Bürgers und wird für gewöhnlich von den Daten abgetrennt, um Anonymität zu gewährleisten. Offiziell ist hierbei nicht von einem menschlichen Fehler die Rede, sondern von einem "Formatierungsproblem".
Belgien: Gesellschaft der Belgischen Eisenbahnen
Die nationale Gesellschaft der Belgischen Eisenbahnen (NBMS) machte Anfang 2013 einen Ordner mit 1,5 Millionen persönlichen Daten ihrer Kunden via Web öffentlich zugänglich. Aus Versehen. Schuld war ein Mitarbeiter, der einen falschen Knopf gedrückt hat. Die Datensätze enthielten Namen sowie Wohn- und E-Mail-Adressen von NMBS-Kunden - darunter auch die von Mitarbeitern und Abgeordneten der EU-Institutionen in Brüssel.

Richtige Auswahl des Cloud-Anbieters

Geschäftsinteressen und Datenschutzvorgaben aufeinander abzustimmen, erfordert große Sorgfalt und in der Regel die Unterstützung durch kompetente Partner. Unternehmen sollten daher bei der Auswahl eines Cloud-Anbieters darauf achten, dass dieser die Datenhoheitsregelungen aller Länder erfüllt, in denen das Unternehmen Geschäfte abwickelt. Angesichts dessen ergeben sich einige Punkte, die Unternehmen bei der Wahl ihres Cloud-Anbieters beachten sollten:

Technisch-organisatorische Maßnahmen:

Unternehmen sollten genau wissen, wie Cloud-Anbieter ihre Daten schützen. Jeder Dienstleister muss sowohl technische als auch organisatorische Maßnahmen zum Schutz personenbezogener Daten umsetzen. Dazu zählt beispielsweise der Einsatz von Verschlüsselungs- und Datenmanagement-Tools.

Zusammenarbeit mit anderen Zulieferern:

In der Regel arbeiten Cloud-Anbieter mit Zulieferern zusammen, die ihnen bei der Verarbeitung, Übertragung und Speicherung der Daten helfen. Um den Schutz ihrer Daten sicherzustellen, sollten Unternehmen zunächst wissen, um welche Partner es sich dabei handelt. Anschließend sollten sie ihre Compliance-Richtlinien so ausrichten, dass die Geschäftspartner ebenfalls die Datenschutz-Regelungen beachten und befolgen müssen.

Physischer Speicher- und Verarbeitungsort der Daten:

Bevor Unternehmen mit der Cloud arbeiten, sollten sie sich auch mit der Frage auseinandersetzen, wo genau der Cloud-Anbieter ihre Daten physisch speichert und welche gesetzlichen Regulierungen entsprechend greifen. Werden die Daten innerhalb des Europäischen Wirtschaftsraums (EWR) verarbeitet und gespeichert, dürfen die Daten diesen ohne vorab getroffene gesetzliche Vorschriften nicht verlassen. Der europäische Wirtschaftsraum umfasst Island, Norwegen, Liechtenstein sowie alle Länder der EU.

Den Datentransfer von EU-Ländern in die USA regelte bislang das Safe-Harbor-Abkommen, das Anfang Oktober vom Europäischen Gerichtshof (EuGH) für ungültig erklärt wurde. Ein europäisch-amerikanisches Datentransferabkommen, wie das kürzlich beschlossene EU-US Data Privacy Shield, könnte allerdings als Alternative die Regelung des Transfers von Daten in die USA übernehmen.

Fazit

Tag für Tag produzieren wir bewusst oder unbewusst Daten. Deren Verarbeitung und Speicherung verlagern Organisationen zunehmend in die Cloud. Sowohl Staaten als auch Unternehmen stehen daher in der Pflicht, Maßnahmen zum Schutz personenbezogener Daten zu ergreifen. Unternehmen sollten vor ihrem Einstieg in die Cloud ihre Infrastruktur zur Datenkontrolle und ihre Compliance-Richtlinien an die rechtlichen und technischen Anforderungen im internationalen Umfeld ausrichten. Der Einsatz moderner Information-Management- und Verschlüsselungssoftware sowie der richtige Cloud-Anbieter können hierbei entscheidend sein. (hal)