Die nachstehende Best-Practice-Checkliste gibt erste Antworten und unterstützt Entscheider bei der Überprüfung der vielfältigen, am Markt gehandelten Lösungen für die Zusammenarbeit in der Cloud. Denn auch im Zeitalter von Internet-Überwachungsprogrammen wie "PRISM" und "Tempora" gibt es Plattformen, die unberührt von Mitlesern der Geheimdienste eine sichere und regelkonforme Arbeitsumgebung für die bereichsübergreifende Zusammenarbeit an vertraulichen Informationen und Dokumenten bieten.
Die Checkliste beruht auf Empfehlungen des Düsseldorfer Kreises aus dem Jahr 2010 und wurde in den vergangenen drei Jahren kontinuierlich an die fortschreitende Entwicklung angepasst.
1. Beteiligte Instanzen
Zunächst müssen Ross und Reiter genannt werden. Hiermit meint man die datenschutzseitigen Verantwortungssphären, die im Vorfeld der Zusammenarbeit mit einem Cloud-Anbieter festzulegen sind. Dabei geht es um Transparenz. Man muss wissen, wer im Spiel ist.
-
Der Datenherr, auch Principal oder Controller genannt, bezeichnet das Unternehmen, welches eine Lösung für die sichere Zusammenarbeit in der Cloud sucht.
-
Als Processor bezeichnet man den Lösungsanbieter einer webbasierten Security-Plattform für den sicheren und regelkonformen Austausch von vertraulichen Projektdaten und Dokumenten.
-
Die Subunternehmen werden vom Lösungsanbieter beauftragt. Hierzu zählt in unserem Beispiel der Servicer Provider, ein zertifiziertes Rechenzentrum, das die Lösung betreibt und Auskunft geben kann, wo die Daten des Datenherrn aufbewahrt werden. Der Datenherr sollte sich die vollständige Liste der Subunternehmen inklusive aller Tochtergesellschaften vom Processor zeigen lassen.
-
Die so genannten Third Parties erfüllen eine Aufgabe, die für das Funktionieren der Lösung wesentlich ist. Ein Beispiel: Im Rahmen der zweistufigen Authentifizierung mit Passwort und SMS-TAN für den Zugang zur Plattform wird eine SMS auf das Mobilfunktelefon der Mitarbeiter des Datenherrn geschickt. Zu klären sind folgende Fragen: Wer verschickt diese SMS und bekommt im Vorfeld die Mobilfunknummer? Etwa die NSA? Oder ein Anbieter, den Datenherr und Processor im Vorfeld auf Herz und Nieren prüfen können?
2. Datenkategorien und räumliche Bestimmbarkeit
Hier geht es um die alles entscheidende Frage: Welche Daten gehen in die Cloud, und wo befinden diese sich dann genau? Das mag unerheblich sein, wenn ein Unternehmen nur "langweilige" respektive unkritische Daten wie beispielsweise Firmenname, Adresse, E-Mail und Telefonnummer herausgibt. Sobald aber Daten mit Personenbezug in die Wolke wandern, die beispielsweise Auskunft über den Gesundheitszustand eines Mitarbeiters, das Führungszeugnis oder andere persönliche Eigenschaften geben, ist es laut Bundesdatenschutzgesetz (BDSG) unabdingbar, diese Daten in einer bestimmten, vertraglich festgelegten Region zu speichern und den Aufbewahrungsort jederzeit kurzfristig lokalisieren zu können. Anbieter wie Amazon, Google und Microsoft fallen deshalb durch das Raster für sicheres Cloud Computing: Sie können den Speicherort nicht schnell genug herausfinden und benennen.
- 6 Tipps gegen Cloud-Missverständnisse
Viele Investitionen in Private Clouds sind verschwendet. Der Grund: IT-Macher betrachten die Projekte lediglich als Virtualisierung mit anderen Mitteln. Fragt sich, wie CIOs dafür sorgen können, dass ihre Organisation auf echtes Cloud-Computing einschwenkt. Forrester gibt hier sechs Empfehlungen. - 1. CIOs tun gut daran, ...
... virtualisierte Umgebungen und Cloud-Lösungen von einander zu trennen. Nicht alle Aufgaben eigenen sich für eine Verlagerung in die Cloud, und wer die Dinge unsystematisch vermischt, kann schnell Chaos anrichten. - 2. CIOs sollten jenen Administratoren, ...
... die jede virtualisierte Lösung für Cloud Computing halten, Zugang zu spannenden Public-Cloud-Lösungen verschaffen und das Verständnis für die Unterschiede systematisch fördern, Begeisterung wecken. - 3. CIOs sollten ihren Mitarbeitern die Angst davor nehmen, ...
... durch Cloud Computing Nachteile im Job zu erleiden. Denn was soll schlecht daran sein, Anwendungen zu pflegen und zu füttern statt Kapazitäten zu managen? - 4. Kluge CIOs ...
... lernen von jenen Fachabteilungen, die bereits auf eigene Faust Cloud-Lösungen aufgebaut haben und diese Lösungen mit ihren Teams diskutieren. - 5. Wenn es aus welchen Gründen ...
... auch immer nicht möglich ist, selbst eine Cloud-Umgebung aufzubauen, sollten sich CIOs kurzfristig einen Dienstleister dafür suchen. Dadurch haben sie die Möglichkeit, schnell und niedrigschwellig mit dem Thema zu beginnen. - 6. Weiter denken
Nach Ansicht von Forrester liegt die Zukunft in komplexen Platform-as-a-Sevice- und Infrastructure-as-a-Service-Lösungen. Einen Weg zurück, also einen Wiederabstieg von den Wolken, wird es laut Forrester-Analyse nicht geben.
3. Kontrollrechte und Audits
Vor dem Gesetz wird der Datenherr so behandelt, als hätte er die sichere Arbeitsumgebung selbst aufgesetzt. Daher liegt es nahe, dass sich der Auftraggeber so gut wie möglich absichert und vor Vertragsabschluss möglichst viel Einblick in die Voraussetzungen und Leistungen des Processors bekommt. Man unterscheidet hier das
-
vollständige Live Audit, bei dem der Datenherr die Lösung live anschaut und Fragen an den Processor und den Subunternehmer stellt
-
das Audit durch schriftliche Selbstauskunft, in dem bis zu 20 Fragen aufgelistet werden, die der Processor beantworten muss
-
den "Structured Walk Through", das heißt die Formulierung von etwa 10-20 Prüfpunkten, die für eine zuverlässige Cloud-Lösung typisch und wesentlich sind
-
und das Audit via Remote Session, bei dem der Datenherr zugeschaltet wird und die Lösung im Online-Meeting vorgeführt bekommt.
4. Datenschutzzuverlässigkeit
Der Düsseldorfer Kreis hat mit seinen Hinweisen zum Cloud Computing die Grundlagen formuliert, die sich in ganz Europa mittlerweile durchgesetzt haben. Diese besagen in Übereinstimmung mit dem BDSG, dass Unternehmen nur Lieferanten beauftragen, die datenschutzseitig zuverlässig sind. Das heißt, der Datenherr kennt
-
den Datenschutzbeauftragen oder die verantwortliche Person für Datenschutz des Processors
-
der Processor hat sein Personal auf das Datengeheimnis verpflichtet
-
atenser Processor führt regelmäßige verpflichtende Schulungen und Trainings durch
-
der Processor besitzt Zertifikate wie beispielsweise ISO 27001, die die Vertrauenswürdigkeit der Lösung attestieren. Diese Zertifikate sollten belegen, dass der Betrieb der Lösung sicher ist und keine Risiken für den operativen Einsatz beim Kunden bestehen.
-
der Processor sollte die Aufsichtsbehörde kennen
-
der Processor sollte eine Erklärung zur Erfüllung gesetzlicher Datenschutzanforderungen abgeben
-
der Processor sollte Hardware ausschließlich von verlässlichen Anbietern beziehen, um die Voraussetzung für eine sichere Cloud zu schaffen
-
der Processor sollte ausschließlich verlässliche Softwarelösungen einsetzen, um die Voraussetzungen für eine sichere Cloud zu schaffen
-
der Processor sollte seine Mitarbeiter vor der Einstellung genau überprüfen.
5. Technische- und organisatorische Maßnahmen (TOMs)
Natürlich interessiert sich der Datenherr beziehungsweise Auftraggeber für die technischen und organisatorischen Maßnahmen (TOMs) seines Processors beziehungsweise Lieferanten. Dazu zählen
-
Unbefugten den Zutritt zu Datenverarbeitungsanlagen, mit denen personenbezogene Daten verarbeitet oder genutzt werden, zu verwehren (Zutrittskontrolle),
-
zu verhindern, dass Datenverarbeitungssysteme von Unbefugten genutzt werden können (Zugangskontrolle),
-
zu gewährleisten, dass die zur Benutzung eines Datenverarbeitungssystems Berechtigten ausschließlich auf die ihrer Zugriffsberechtigung unterliegenden Daten zugreifen können, und dass personenbezogene Daten bei der Verarbeitung, Nutzung und nach der Speicherung nicht unbefugt gelesen, kopiert, verändert oder entfernt werden können (Zugriffskontrolle),
-
zu gewährleisten, dass personenbezogene Daten bei der elektronischen Übertragung, während ihres Transports oder ihrer Speicherung auf Datenträger nicht unbefugt gelesen, kopiert, verändert oder entfernt werden können, und dass überprüft und festgestellt werden kann, an welche Stellen eine Übermittlung personenbezogener Daten durch Einrichtungen zur Datenübertragung vorgesehen ist (Weitergabekontrolle),
-
zu gewährleisten, dass nachträglich überprüft und festgestellt werden kann, ob und von wem personenbezogene Daten in Datenverarbeitungssysteme eingegeben, verändert oder entfernt worden sind (Eingabekontrolle),
-
zu gewährleisten, dass personenbezogene Daten, die im Auftrag verarbeitet werden, nur entsprechend den Weisungen des Auftraggebers verarbeitet werden können (Auftragskontrolle),
-
zu gewährleisten, dass personenbezogene Daten gegen zufällige Zerstörung oder Verlust geschützt sind (Verfügbarkeitskontrolle),
-
zu gewährleisten, dass zu unterschiedlichen Zwecken erhobene Daten getrennt verarbeitet werden können.
Weitergehende TOMs gelten bei besonderen, personenbezogenen Daten.
Auf der folgenden Seite lesen Sie alles zu den Punkten 6 bis 9 der Checkliste.