Rechtskonformes Sicherheits-Management
Cloud-Daten unter Kontrolle
Wer Daten auf Servern und Storage-Systemen eines Cloud-Service-Providers speichert oder bearbeitet, muss sicherstellen, dass er dabei die rechtlichen Vorgaben erfüllt. Dies gilt insbesondere für den Schutz und die Sicherheit der Daten. Die Universität Passau hat eine Technik entwickelt, die das rechtskonforme Speichern von Informationen in Cloud-Rechenzentren ermöglicht.Unternehmen, die externe Cloud-Services nutzen, übersehen häufig einen Aspekt: die rechtlichen Anforderungen, die mit dem Speichern und Bearbeiten von Daten bei einem externen Dienstleister verbunden sind. Dies gilt insbesondere für die Verarbeitung personenbezogener Informationen wie Kunden- und Mitarbeiterdaten, von Finanzinforationen und vertraulichen Geschäftsdaten. Verlagert ein Unternehmen Daten in eine Cloud, etwa im Rahmen eines Infrastructure-as-a-Service-Angebots (IaaS), liegt in vielen Fällen eine Verarbeitung personenbezogener Daten vor. In diesem Fall greift §9 des Bundesdatenschutzgesetzes (BSDG). Er verlangt, dass der Kunde des Cloud-Service-Providers als "datenerhebende Stelle" alle technischen und organisatorischen Maßnahmen trifft, um den Schutz von Unternehmensdaten sicherzustellen. Ein Verlagern der Verantwortung auf den Service-Provider ist nicht möglich.
Rechtskonformes Agieren
Bei Public oder Community Clouds kommt hinzu, dass die Gestaltung einer Auftragsdatenverarbeitung gemäß §11 BSDG problematisch ist. In §11 BDSG sind unter anderem die Details festgelegt, die der Auftrag eines Unternehmens an einen Provider enthalten muss, inklusive Kontrollpflichten. Zudem muss der Nutzer von Cloud-Services sicherstellen, dass beim Transfer von Daten zum Service-Provider und bei der Speicherung und Bearbeitung auf IT-Systemen des Anbieters keine Unbefugten Zugang zu den Informationen haben. Das gilt auch dann, wenn bei der Prüfung oder Wartung von Systemen durch Dritte beim Service-Provider ein Zugriff auf personenbezogene Daten nicht auszuschließen ist (§11 Abs. 5 BSDG).
Den meisten Benutzern von Cloud-Diensten dürfte es schwer fallen, die Einhaltung dieser Regelungen durch den Service Provider zu kontrollieren. Das gilt insbesondere für die Frage, in welchem Cloud-Rechenzentrum ein Service-Provider Daten der Kunden speichert und bearbeitet. Doch dies ist von entscheidender Bedeutung.
Ein Beispiel: Ein Unternehmen möchte Steuerdaten in einer Cloud-Umgebung speichern. Dabei ist zu berücksichtigen, dass gemäß §238 des Handelsgesetzbuchs (HGB) Steuerdaten grundsätzlich in Deutschland vorgehalten werden müssen. Zudem scheiben §146 Abs. 2 Satz 2f der Abgabenordnung (AO) in Verbindung mit §147 Abs. 2 Satz 1 Nr. 2 AO vor, dass der Zugriff des Finanzamts auf diese Daten jederzeit gewährleistet sein muss. Dies bedeutet, die entsprechenden Finanzinformationen dürfen nur in einem Cloud-Rechenzentrum gelagert werden, das sich in Deutschland befindet.
Speicherort für Datentypen festlegen
Diese rechtlichen Vorgaben stellen für die Benutzer wie auch für die Anbieter von Cloud-Services eine Herausforderung dar:
Ein international tätiger Cloud-Service-Provider verfügt in der Regel über Rechenzentren in mehreren Regionen und damit in unterschiedlichen Rechtsräumen. Er muss daher ein Cloud-Data-Security-Management einrichten, das für Benutzer transparent macht, in welchem Rechenzentrum bestimmte Daten lagern.
Der Benutzer von Cloud-Services benötigt ein Tool, mit dem er für einzelne Datentypen festlegt, in welchem Cloud-Rechenzentrum beziehungsweise mit welchem Cloud-Service bestimmte Informationen zu bearbeiten sind.
Lösung "Made in Germany"
Zudem sollten positive Faktoren des Cloud Computings erhalten bleiben, zum Beispiel Skalierungseffekte: Weniger kritische Daten wie etwa Produkthandbücher werden in Cloud-Rechenzentren vorgehalten, die sich durch besonders niedrige Kosten auszeichnen, etwa Data Center in Südamerika oder Fernost. Bei sensiblen Informationen ist dagegen die Speicherung in einem deutschen Rechenzentrum vorzuziehen.
Eine Lösung, mit der sich ein solches Cloud-Data-Security-Management in der Praxis umsetzen lässt, hat der Lehrstuhl für Informatik mit Schwerpunkt Informations-Management an der Universität Passau im Auftrag von Fujitsu entwickelt. Die Basis ist ein Algorithmus, der eine Klassifizierung der Datenbestände vornimmt, die ein Anwender in eine Cloud verlagern möchte. Diese Klassifizierung erfolgt anhand der rechtlichen Vorgaben, die für bestimmte Daten gelten, sowie des Standorts des Cloud-Rechenzentrums, in dem diese Informationen gespeichert werden.
Der Anwender definiert mithilfe des Cloud-Data-Security-Management-Systems für jeden Datentyp eine Virtual Machine (VM). Zusätzlich werden für jede VM separate Sicherheitsniveaus vorgegeben. Das Management-System ist an der Schnittstelle zwischen dem Firmennetzwerk oder der Private-Cloud-Umgebung des Anwenders und der Public oder Trusted Cloud des Providers angesiedelt.
Über das Management-System gibt der Nutzer vor, welchem Cloud-Computing-Dienst und welchem Data Center eine VM zugeordnet wird. Die Grundlage bildet eine Cloud Data Security Matrix. In ihr ist aufgeführt, welche Daten wo erhoben werden (Deutschland, Europäische Union) und welcher Cloud-Computing-Dienst sie speichern und verarbeiten darf. Solche Datentypen sind beispielsweise personenbezogene Informationen, Mitarbeiterdaten, Finanz- und Steuerinformationen oder Geschäftsdaten.
Abhängig von den gesetzlichen Vorgaben lassen sich diesen Datentypen Cloud-Services zuordnen. Ein Unternehmen mit Sitz in Deutschland darf beispielsweise Mitarbeiterdaten in eine Cloud verlagern, die in einem EU-Mitgliedsland vorgehalten wird. Dagegen ist es nicht zulässig, solche Informationen in Rechenzentren außerhalb der EU zu speichern.
Grundlage Openstack
Die Cloud-Management-Software der Uni Passau setzt auf der Openstack-Plattform auf. Mit der Software lassen sich zentrale Funktionen wie das Klassifizieren der Daten und deren Zuordnung zu bestimmten VMs und virtualisierten Netzwerkressourcen weitgehend automatisieren. Dies vereinfacht die rechtskonforme Speicherung von Daten und macht diese Technik auch für mittelständische Unternehmen beherrschbar.
Ein weiterer Aspekt, der für Unternehmen von Interesse ist: Mit der Cloud-Data-Security-Management-Lösung erhält der Nutzer eines Cloud-Services die volle Kontrolle über seine Datenbestände. Er kann festlegen und jederzeit nachvollziehen, wo bestimmte Informationen vorliegen. Bislang ist der Anwender darauf angewiesen, dass ein Cloud-Service-Provider gemachte Zusagen einhält. Ob dies tatsächlich der Fall ist, bleibt für den Nutzer intransparent. Dies gilt insbesondere für Service-Provider mit Rechenzentren in mehreren Ländern.
Lesen Sie mehr zum Thema
