Schutzziele bei Cloud Computing

Anwender von Cloud-Diensten müssen sich auf die Infrastruktur, die Plattform und die Anwendungs-Software des Anbieters verlassen können. Der Einfluss des Anwenders ist naturgemäss gering, da er praktisch alles vorgefertigt einkauft. Weil er sich damit jedoch in nahezu vollständiger Abhängigkeit vom Anbieter befindet, ist Transparenz das wichtigste Schutzziel. Sie muss ihn in die Lage versetzen, angemessene Service Level Agreements zu vereinbaren und Compliance-Anforderungen zu erfüllen. Die zum Erreichen der Datenschutzziele nötigen technischen und organisatorischen Massnahmen müssen dabei verschiedene Risiken auf ein akzeptables Mass reduzieren.

Die wichtigsten Schutzziele

Wie angemessen diese Massnahmen sind, lässt sich beurteilen, sobald der Anwender seinen Schutzbedarf festgelegt hat. Dieser lässt sich anhand einer aus der IT-Sicherheit übernommenen Unterscheidung in «normal», «hoch» sowie «sehr hoch» festlegen. Aus Datenschutzperspektive ist es dabei wichtig, dass der Schutzbedarf der Betroffenen, deren Daten verarbeitet werden, definiert sowie prioritär behandelt wird. Entsprechende Vereinbarungen müssen Bestandteil des Vertrags mit dem Anbieter sein. Eine Einzelfallbetrachtung jedoch ist abhängig vom Umfang der Einsicht des Cloud-Anbieters in die Daten. Bestehen Restrisiken, müssen möglicherweise Betroffene informiert werden. Im Folgenden sollen die wichtigsten Schutzziele für Anbieter von Cloud-Diensten benannt werden.

Transparenz

Beim Schutzziel Transparenz geht es um die Frage, wer auf die Daten zugreifen kann und welche technischen sowie organisatorischen Sicherheitsmechanismen greifen. Transparenz bei der Datenverarbeitung in der Cloud herrscht für Anwender nur dann, wenn der Anbieter gewisse Massnahmen umsetzt und die Datenverarbeitung anhand von Systemdokumentationen und Protokollen nachvollziehbar, prüfbar und bewertbar gestaltet.

Deshalb ist es hilfreich, wenn er einschlägige Zertifikate unabhängiger Stellen vorlegen kann. Dann genügt Anwendern in der Regel eine vereinfachte Prüfbarkeit: Beispielsweise wollen sie wegen der rechtlichen Implikationen wissen, wo die Rechenzentren stehen. Insbesondere in Drittländern ist ein Zugriff durch staatliche und private Stellen möglich und nicht kontrollierbar. Entscheidend ist, ob von einem gleichwertigen Datenschutzniveau in dem Drittland ausgegangen werden kann. Nach dem Safe-Harbor-Urteil des Europäischen Gerichtshofs ist dies bei den Staaten ausserhalb der Europäischen Union nicht der Fall. Ausgenommen davon sind die sogenannten «sicheren Drittländer», zu denen die Schweiz gehört.

Auch der Übergang von Daten von einem stationären IT-System wie einer Personal-Software, einer ERP- oder CRM-Lösung auf ein System, das mit Cloud-Elementen arbeitet oder sich in der Cloud befindet, muss protokolliert werden und für den Anwender transparent erfolgen. Bestandteil einer einfachen Prüfbarkeit ist eben-so der Nachweis der Revisionsfähigkeit.

Diese wird durch eine Prüfung aller sicherheitsrelevanten Datenverarbeitungsprozesse erreicht. Damit ist feststellbar, wer wann welche personenbezogenen Daten auf welche Weise verarbeitet hat.Des Weiteren müssen Aufsichtsbehörden und Experten Audits oder Penetrations-Tests durchführen können. Hochauflösende Prüfbarkeit ist denn auch Grundvoraussetzung für Zertifizierungen, beispielsweise nach ISO/IEC 27001 für das Rechenzentrum oder nach ISO/IEC 27018 für die Cloud-Lösung. Insbesondere bei Letzterer stellt sich die Frage, ob die Prüfberichte veröffentlicht werden, können sich doch die Inhalte von Zertifikat zu Zertifikat unterscheiden.

Intervenierbarkeit

Intervenierbarkeit ist dann gegeben, wenn der Anwender die Herrschaft über seine Daten hat. Das heisst, er muss detailliert und fortlaufend darüber informiert werden, welche Daten unter welchen Voraussetzungen zu welchen Zwecken übertragen werden. Nur so kann er festlegen, ob Informationen lokal gespeichert oder in die Cloud übermittelt werden sollen.

Dazu gehört die Kontrolle darüber, wer welche Informationen sehen und auf sie zugreifen kann. Dazu muss der Kunde explizit Rechte und Privilegien freigeben können sowie in der Lage sein, selbst stringente Regeln für Passwörter und eine Zwei-Faktor-Authentifizierung festzulegen. Ausserdem sollte vertraglich geregelt sein, dass der Anbieter den Kunden über Sicherheitsvorfälle, die seine Anwen-dung betreffen, informiert.

Intervenierbarkeit kann sich schliesslich auch auf die Frage beziehen, ob der Anbieter über ausgereifte Entwicklungs- und Rolloutprozesse verfügt. Er muss nämlich in der Lage sein, soweit angemessen, auf individuelle Anforderungen der Anwender, aber auch auf gesetzliche Veränderungen, zu reagieren.

Vertraulichkeit

Vertraulichkeit ist gegeben, wenn nur Befugte personenbezogene Daten sehen und nutzen können. Genauer noch muss gewährleistet sein, dass ständig kontrolliert wird, ob tatsächlich nur Befugte personenbezogene Daten verarbeiten können. So sollte etwa ein Administrator des Anbieters nicht befugt sein, auf Inhaltsdaten Zugriff zu nehmen. Ein weiteres Kriterium besteht darin, dass Datenbestände separiert und verschlüsselt gespeichert werden – entsprechend differenziert muss das Zugriffsmanagement organisiert sein. Unabdingbar ist eine verschlüsselte Datenübertragung. Ausserdem gilt es zu klären, wer alles auf die Krypto-Schlüssel zugreifen kann. Selbstverständlich trägt auch der Anwender selbst Verantwortung bei der Verwaltung seiner Passwörter.

Integrität

Aus Datenschutzperspektive ist ein System dann integer, wenn personenbezogene Daten während der Datenverarbeitung unversehrt, vollständig und aktuell bleiben. Dabei ist die Authentizität ein Aspekt der Integrität und zielt darauf ab, dass der Ursprung der Daten festgestellt werden kann. Ein Hilfsmittel sind beispielsweise digitale Wasserzeichen oder ein «Information Rights Management». Die Integrität als solche lässt sich nur ein­schätzen, wenn der Anbieter eine permanente Kontrolle gewährleistet, um Datenbestände, Schnittstellen und Prozesse zu sichern.

Personenbezogene und -beziehbare Daten dürfen nur exakt so verarbeitet werden, wie es der Anbieter gewährleistet. Es kommt also auf die Zweckbindung an. Integrität bezieht sich aber auch auf den Anbieter selbst. Anwender müssen sich vergewissern können, dass die Organisation des Lieferanten im Rahmen der gesetzlichen Anforderungen handelt.

Verfügbarkeit

Die ausserordentlich hohe und endgeräteunabhängige Verfügbarkeit von Daten ist eines der Hauptmotive für Anwender, Cloud-Lösungen zu nutzen. Sie müssen deshalb darauf achten, dass der Anbieter in den relevanten vertraglichen Vereinbarungen auch eine zeitgerechte Verfügbarkeit des Dienstes vorsieht. Dies kann in Form von Service Level Agreements erfolgen.

Nichtverkettbarkeit

Die Nichtverkettbarkeit ist schliesslich das klassische Schutzziel, um zu verhindern, dass personenbeziehbare Verkettungen von Dritten vorgenommen werden können. Dabei geht es speziell um die Nutzung von Adress- und Profildaten. Ist die Cloud-Lösung mit weiteren Diensten des Anbieters verknüpft, kann er über die Zusammenführung verschiedener Nutzungsdaten ein Personenprofil erstellen.
Wer also kontrolliert die Verknüpfbarkeit oder die Nichtverkettbarkeit der personenbezogenen Nutzungsdaten? Nichtverkettbarkeit kann sich aber auch auf das Identitätsmanagement beziehen. Dabei geht es um die Frage, ob der Anbieter eine anonyme Nutzung oder die Verwendung von Pseudonymen erlaubt oder ob es reicht, wenn der Nutzer zum Beispiel nur die Attribute angibt, die zur Authentifizierung absolut notwendig sind.

Datensparsamkeit

Schliesslich wird der Grundsatz der Datensparsamkeit dann verwirklicht, wenn lediglich die erforderlichen Daten verarbeitet werden. Es sollen also nicht mehr personenbezogene Daten erhoben, verarbeitet und genutzt werden, als dies unbedingt erforderlich ist. Das gilt sowohl für Daten, die innerhalb der Anwendung verarbeitet wie auch für Protokolldaten, die erzeugt werden. Deshalb müssen Anwendungen ein Löschprozedere anbieten, mit dem Benutzer schnell und auch durchgreifend ihre Daten auf der Plattform löschen können.

Zu den einschlägigen Risiken im Cloud Computing gehört es, dass eventuell an verschiedenen Verarbeitungsorten die Sicherung der Daten vorgenommen wird. Aus genau diesem Grund können dadurch im Echtzeitsystem möglicherweise Daten gelöscht worden sein, die aber im Back-up-System noch vorhanden sind. Das gilt vielleicht auch für Daten auf defekten Speichermedien, weil sie dort nämlich nicht unwiderruflich gelöscht wurden.