Passwort vergessen?  |  Anmelden
 |  Passwort vergessen?  |  Anmelden

Donnerstag, 20. April 2017, Ausgabe Nr. 16

Donnerstag, 20. April 2017, Ausgabe Nr. 16

Datensicherheit

Cloud-Anbieter unter der Lupe

Von Christiane Schulzki-Haddouti | 8. April 2016 | Ausgabe 14

Arbeiten in der Cloud hat viele Vorteile, es birgt aber auch Risiken. Denn die Nutzer geben ihre Daten aus der Hand – und verlieren zumindest teilweise die Kontrolle darüber. Zertifizierungen können Cloud-Kunden Sicherheit geben.

cloud BU
Foto: Billerbeck

In der Cloud: Zertifikate sollen helfen, die Sicherheit einzelner Anbieter zu bewerten.

Das Datenschutzrecht verlangt, dass jeder, der personenbezogene Daten verarbeitet, den Umgang mit den Daten kontrolliert. Kann er das nicht selbst tun, weil er die Daten in einer Cloud verarbeitet, muss er sich davon überzeugen, dass der ins Auge gefasste Cloud-Dienstleister regelkonform arbeitet und alle Datenschutzanforderungen einhält.

Zertifizierungen von Cloud-Diensten

Ein Weg, die entsprechende Transparenz herzustellen, sind Zertifizierungen. Dabei können unabhängige Dritte ein System prüfen und verlässliche Aussagen darüber machen, ob es bestimmte Anforderungen erfüllt – oder nicht. Viele Cloud-Anbieter können beispielsweise eine Zertifizierung nach ISO/IEC 27001 nachweisen, die alle wichtigen Fragen der IT-Sicherheit abdeckt. Aber damit wird nur ein Teil der gesetzlichen Datenschutzanforderungen erfüllt.

Deshalb wurde 2014 ein neuer internationaler Datenschutzstandard für Auftragsdatenverarbeitung (ISO/IEC 27018) aus der Taufe gehoben. Sowohl Microsofts Cloud-Dienste als auch das Business-Angebot des amerikanischen Cloud-Dienstes Dropbox können bereits eine Zertifizierung nach ISO/IEC 27018 vorweisen.

Allerdings ist die Aussagekraft der ISO/IEC-27018-Zertifikate eingeschränkt. Denn es handelt sich bei dem Standard nur um Umsetzungsempfehlungen, also um Kann-Prüfungen. Welche dieser Empfehlungen tatsächlich umgesetzt wurden, wenn ein Zertifikat vergeben wird, ist also nicht einheitlich geklärt. Kai Rannenberg, Datenschutzexperte und Professor an der Goethe-Universität Frankfurt am Main, erläutert: „Welche Datenschutzgarantien tatsächlich gegeben sind, hängt vom Zertifikat und dem Prüfbericht ab. Welche Garantien der Kunde vom Anbieter erhält, hängt überdies von dem Vertrag ab, den er abschließt.“

Die Prüfberichte sind für den Nutzer in der Praxis aber nur schwer einsehbar. So legen weder Dropbox noch Microsoft ihre Prüfberichte für die Zertifizierung im Internet offen. Ob sie auf Anfrage Einsicht in die Berichte gewähren, entscheiden sie von Fall zu Fall.

Um hier verbindlichere Aussagen zu kreieren, hat das Bundesministerium für Wirtschaft das Projekt „Trusted Cloud Datenschutzprofil“ initiiert. Basierend auf ISO/IEC 27018, werden Mindestanforderungen formuliert, mit denen bestimmte Schutzklassen erreicht werden können. Die niedrige Schutzklasse genügt etwa dann, wenn das Risiko, das aus der Verarbeitung der personenbezogenen Daten entstehen kann, gering ist. Eine hohe Schutzklasse ist notwendig, wenn das Risiko etwa bei Gesundheitsdaten als hoch eingestuft werden muss.

Die verbindlichen Anforderungen für das „Trusted Cloud Datenschutzprofil“ wurden jüngst zur Cebit vorgestellt. Das deutsche Unternehmen Uniscon kündigte bereits an, dass ihr Cloud-Angebot „IDGard“ die höchste der erwähnten Schutzklassen erfüllen werde.

Für die Datenschutzaufsicht ist die Zertifizierung aber nur ein Anfang. „Bei einer Kontrolle müssen wir uns immer auch ansehen, was tatsächlich geprüft worden ist“, sagt Nils Schröder, Sprecher der nordrhein-westfälischen Datenschutz-Aufsichtsbehörde, und betont: „Wir brauchen auch die Möglichkeit, vor Ort nachzusehen. Das darf vertraglich nicht ausgeschlossen werden.“ Vor allem US-amerikanische Dienste tun dies im Moment aber noch.

Von keiner Cloud-Zertifizierung werden derzeit Hoheitsfragen reflektiert. So behalten sich US-Regierungsstellen wie Geheimdienste und Polizei vor, auf Daten zuzugreifen, die bei US-Unternehmen und ihren Tochterfirmen gespeichert sind, auch wenn diese in Europa ihren Sitz haben. Solange nicht in letzter Instanz geklärt ist, dass sie das nicht dürfen – wofür Microsoft im Moment in einem Musterprozess kämpft –, ist ein Einsatz amerikanischer Cloud-Dienste für deutsche Behörden nicht möglich.

 

stellenangebote

mehr