CW: Herr Professor Bräutigam, auf einer Veranstaltung zum Thema Cloud Computing haben Sie Ihren Vortrag kürzlich unter das Motto "Cloud Computing - aber sicher!" gestellt. Wie ist das zu verstehen - sehen Sie Cloud Computing schon als selbstverständlich sicher an?
Bräutigam: Cloud Computing muss in jeder Hinsicht sicher realisiert werden - rechtssicher und datentechnisch sicher. Das müssen Nutzer beachten. Doch diese Sicherheitsanforderungen lassen sich mit den heutigen Cloud-Technologien und -Produkten durchaus erfüllen, insofern ist Cloud Computing vielleicht heute noch keine Selbstverständlichkeit, aber aus meiner Sicht auf dem besten Wege, eine zu werden.
Ich kann natürlich nicht über die Gesamtheit aller am Markt verfügbaren Angebote sprechen. Aber bei einem Anbieter wie zum Beispiel Microsoft kann ich auf Basis der mir vorliegenden Informationen sagen, dass die datenschutzrechtlichen Anforderungen an Cloud-Dienste etwa bei Office 365 erfüllt werden.
CW: Welches sind denn nach Ihrer Einschätzung die größten Risiken für Unternehmen, die IT-Services aus der Cloud nutzen?
Bräutigam: Das erste und wichtigste Risiko ist für viele Anwender der gefühlte Kontrollverlust aufgrund der Tatsache, dass die Daten räumlich nicht im Unternehmen lagern. Deshalb ist Transparenz so wichtig bei Cloud-Angeboten. Zum Beispiel beim ServerStandort: Die Verantwortlichen wollen wissen, wo ihre Daten liegen. Aber wenn man sich einmal einen ganz rationalen Blick auf die Fakten gestattet, wird man in vielen Fällen erkennen, dass ein Handelsunternehmen, ein Maschinenbauer oder ein Dienstleistungsunternehmen, in dem die IT kein Kernprozess ist, viel weniger in der Lage ist, seine IT im erforderlichen Maße abzusichern, als ein Rechenzentrumsbetreiber, dessen gesamtes Geschäftsmodell auf dem sicheren IT-Betrieb fußt.
Dabei geht es um eine Vielzahl von physischen und logischen Schutzmaßnahmen wie zum Beispiel die Lage und Beschaffenheit des Gebäudes, die Sicherung des Zugangs mit mehrstufigen Sicherungssystemen, spezielle Klimatisierungssysteme, Spiegelung des kompletten Datenbestandes an einem geografisch getrennten Ort, Verschlüsselung der Daten und Zugriffskontrollen auf allen Ebenen. Wer sich einmal mit der Komplexität dieser Systeme befasst hat, wird schnell erkennen, dass ein Spezialist mit IT als Kerngeschäft rein technisch ein höheres Sicherheitsniveau liefern kann als ein durchschnittliches Anwenderunternehmen.
- Bitkom, Branchenverband der ITK-Branche
Cloud-Security-Aktivitäten: Cloud-Computing-Leitfaden; IT-Sicherheit und Datenschutz / Relevanz: 3 von 5 Punkten - BSI
Cloud-Security-Aktivitäten: BSI-ESCC (Eckpunktepapier Sicherheitsempfehlungen für Cloud-Computing-Anbieter); IT-Grundschutz-Katalog / Relevanz: 4 von 5 Punkten - CSA, Organisation für Sicherheit im Cloud Computing
Cloud-Security-Aktivitäten: Katalog zu den Sicherheitsbedrohungen im Cloud Computing; Sicherheitsleitfaden für kritische Handlungsfelder in der Cloud; CTP (Cloud Trust Protocol); CSA Security, Trust & Assurance Registry (STAR); Certificate of Cloud Security Knowledge (CCSK); Cloud Trust Protocol (CTP) / Relevanz: 5 von 5 Punkten - ENISA (Europäische Agentur für Netz- und Informationssicherheit)
Cloud-Security-Aktivitäten: Leitfaden zur Informationssicherheit im Cloud Computing; Sicherheit und Zuverlässigkeit in öffentlichen Clouds / Relevanz: 4 von 5 Punkten - EuroCloud Deutschland_eco, europäisches Cloud-Computing- Business-Netzwerk
Cloud-Security-Aktivitäten: Leitfaden Recht, Datenschutz und Compliance; EuroCloud-SA (EuroCloud Star Audit): Zertifikat für Anbieter von Cloud-Diensten / Relevanz: 4 von 5 Punkten - Fraunhofer SIT (Fraunhofer-Institut für Sichere Informationstechnologie)
Cloud-Security-Aktivitäten: Studie zur Cloud-Computing-Sicherheit / Relevanz: 4 von 5 Punkten - NIST (National Institute of Standards and Technology), US-Behörde
Cloud-Security-Aktivitäten: NIST-UC (Cloud Computing Use Cases); SCAP (Security Content Automation Protocol) / Relevanz: 2 von 5 Punkten - Cloud Software Program, Initiative des finnischen Strategie-Centers für Wissenschaft, Technologie und Innovation (20 Unternehmen und acht Forschungsinstitute)
Cloud-Security-Aktivitäten: Schutzmaßnahmen und Sicherheitskonzepte für die finnische Softwareindustrie; Best Practices im Cloud Computing / Relevanz: 3 von 5 Punkten - Secure by Design, Initiative der IBM
Cloud-Security-Aktivitäten: Secure Engineering Framework, eine Anleitung und Checklisten für Softwareentwickler, das Management und die Sicherheitsverantwortlichen / Relevanz: 2 von 5 Punkten - Security Working Group (USA), Federal Cloud Computing Initiative (FCCI)
Cloud-Security-Aktivitäten: Prozesse und Handlungsempfehlungen für den öffentlichen Sektor / Relevanz: 2 von 5 Punkten - ISACA, Berufsverband mit mehr als 95.000 praxisorientierten Information-Systems-(IS-)Fachleuten aus mehr als 160 Ländern
Cloud-Security-Aktivitäten: Praxis-Leitfaden zur Informationssicherheit; Vorträge zu Cloud-Sicherheit / Relevanz: 4 von 5 Punkten - AICPA (American Institute of Certified Public Accountants) mit über 350.000 Mitgliedern in 128 Ländern
Cloud-Security-Aktivitäten: SSAE 16 (Statement on Standards for Attes-tation Engagements No. 16): Zertifikat für Anbieter von Cloud-Diensten / Relevanz: 4 von 5 Punkten - NIFIS (Nationale Initiative für Informations- und Internet-Sicherheit e.V.)
Cloud-Security-Aktivitäten: Konzepte für den Schutz vor Angriffen aus dem Datennetz / Relevanz: 3 von 5 Punkten - Trusted Cloud, Initiative des Bundesministeriums für Wirtschaft und Technologie (BMWi)
Cloud-Security-Aktivitäten: Cloud-Sicherheit und Interoperabilität; Förderprojekte / Relevanz: 5 von 5 Punkten
CW: Liegt es demnach an einer zu nachlässigen Behandlung des Themas Sicherheit, wenn Sicherheitsbedenken als Argument gegen Cloud Computing verwendet werden?
Bräutigam: Ich weiß nicht, ob man von Nachlässigkeit sprechen kann. Das hat viel mit Emotionen zu tun, für die ich durchaus Verständnis habe. Aber aufgrund meiner Erfahrung kann ich nur jedem empfehlen, das Thema so sachlich wie möglich anzugehen. Dabei hilft es vielleicht, sich einmal die juris-tische Sicht des Ganzen bewusst zu machen. Die besagt: Wenn die Sicherheit eines Rechenzentrums und der dortigen Prozesse technisch auf aktuellem Stand gewährleistet ist, ist damit auch eine wichtige Anforderung des Datenschutzrechts gewahrt.
CW: Sie sagten "ein Rechenzentrum" - allerdings ist das Phänomen Cloud ja nicht auf ein bestimmtes Rechenzentrum beschränkt. Was folgt daraus für die Sachlage aus juristischer Sicht?
Bräutigam: In der Praxis haben Cloud-Anbieter mehrere global verteilte Rechenzentren. Damit kommt das Thema Internationalität ins Spiel. Ein wichtiger Aspekt sind hier die unterschiedlichen Rechtsräume im Datenschutz, mit denen wir es zu tun bekommen - insbesondere wenn der Server-Standort und der Unternehmenssitz des Anbieters außerhalb Deutschlands oder außerhalb der EU liegen.
CW: Um diesen Punkt gab es ja in den vergangenen Monaten einige Auseinandersetzungen. Wie wichtig ist der geografische Standort des Rechenzentrums denn?
Bräutigam: Zunächst würde ich jedem Anwender empfehlen, Angebote von Cloud-Dienstleistern immer darauf zu prüfen, wo die Daten gespeichert werden. Diese Transparenz ist eine Grundvoraussetzung. Im nächsten Schritt muss der Cloud-Service-Nehmer dann für sich entscheiden, ob er damit einverstanden ist, wenn seine Daten beispielsweise innerhalb oder außerhalb der EU, etwa in den USA, gespeichert werden. Bei der Beurteilung dieser Frage geht es vor allem um datenschutzrechtliche Aspekte. Zunächst steht fest: Ein Standort innerhalb der EU ist rechtlich unproblematisch, da hier prinzipiell ein im Wesentlichen gleiches Datenschutzniveau gilt.
Dies bedeutet konkret: Alle Daten, die ein deutsches Unternehmen verarbeiten darf, kann es bei Einhaltung der gebotenen vertraglichen Regelungen in allen Ländern der EU speichern und verarbeiten lassen. Dabei bleibt das Unternehmen Herr der Daten, die dem Cloud-Anbieter zur Verarbeitung auf Weisung überlassen werden. Dieser Vorgang fällt unter den Terminus Auftragsdatenverarbeitung und muss durch Abschluss einer Vereinbarung zur Auftragsdatenverarbeitung vertraglich geregelt werden
CW: Und wie sieht das in der Praxis aus? Die Unternehmen sind ja unter anderem zur Kontrolle der Einhaltung der getroffenen Vereinbarung verpflichtet. Wie kann das funktionieren, zumal Datenschutz ja in Deutschland auf Bundes- und Landesbehörden verteilt ist, die in Einzelfällen immer wieder uneinheitlich entscheiden?
Bräutigam: Seit Ende September 2011 gibt es die Orientierungshilfe "Cloud Computing der Arbeitskreise Technik und Medien der Konferenz der Datenschutzbeauftragten des Bundes und der Länder". Diese die Verwaltungspraxis vereinheitlichende Übereinkunft bietet praktische Hinweise.
Einige Stichworte sind Transparenz, Zertifikate, eindeutige vertragliche Regelungen und hinreichend abgestimmte Sicherheitsmaßnahmen. Die Empfehlung zu Zertifikaten beinhaltet, dass die Anbieter sich von unabhängigen Experten zertifizieren lassen sollten, die beispielsweise die Sicherheitsstandards zu Infrastruktur und Informationssicherheit prüfen und bestätigen. Ein solches Zertifikat, das in regelmäßigen Abständen neu ausgestellt werden sollte, erspart dem einzelnen Kunden die eigene Prüfung vor Ort im Rechenzentrum, zu der ihm in vielen Fällen das notwendige Know-how nicht zur Verfügung stehen dürfte.
Ähnlich ist es übrigens beim Thema Weisungsgebundenheit: Es ist praktisch nicht möglich, den Anbieter häufigen Änderungswünschen seiner zahlreichen Cloud-Kunden im Hinblick auf das Sicherheitskonzept auszusetzen. Die Weisungsgebundenheit kann daher so verwirklicht werden, dass im Vertrag die Sicherheits-Features vereinbart werden, die dann für die Laufzeit des Vertrages gelten.