SecTXL '11 | Frankfurt - Eva Schlehahn: "Konzepte und Bedingungen für vertrauenswürdiges Cloud Computing"

  • 202 views
Uploaded on

 

  • Full Name Full Name Comment goes here.
    Are you sure you want to
    Your message goes here
    Be the first to comment
    Be the first to like this
No Downloads

Views

Total Views
202
On Slideshare
0
From Embeds
0
Number of Embeds
0

Actions

Shares
Downloads
3
Comments
0
Likes
0

Embeds 0

No embeds

Report content

Flagged as inappropriate Flag as inappropriate
Flag as inappropriate

Select your reason for flagging this presentation as inappropriate.

Cancel
    No notes for slide
  • Problematisch kann weiterhin die Weitergabe besonderer Arten personenbezogener Daten i. S. § 3 (9) BDSG sein, z.B. medizinische Daten

Transcript

  • 1. Konzepte und Bedingungen für vertrauenswürdiges Cloud Computing
  • 2. Inhaltsüberblick
    • Cloud Computing?
    • Der Bezug zum Datenschutzrecht
    • Auftragsdatenverarbeitung und Übermittlung
    • Mögliche Lösungsansätze
    • Schlussfolgerungen
  • 3. 1.) Cloud Computing?
    • Auslagerung von IT über Netzwerke
    • Im Gegensatz zum vollständigen Outsourcing: geteilter Pool skalierbarer Ressourcen
    • Gängige Servicemodelle:
  • 4. Anwendungsmodelle des Cloud Computing
  • 5. Die Cloud – vertrauenswürdig?
    • Microsoft’s UK head admitts that no cloud data is safe from the Patriot Act — and Microsoft will hand it over to U.S. authorities. zdnet.com 28.06.2011
    • Google-Server in Europa vor US-Regierung nicht sicher. wiwo.de 06.08.2011
    • Cloud-Dienste von Amazon in Irland für mehrere Stunden gestört nach Blitzschlag. Snapshots zur Datensicherung fehlerhaft. heise.de 08.08.2011
  • 6. 2.) Der Bezug zum Datenschutzrecht
    • Anwendbarkeit: personenbezogene Daten, § 3 (1) BDSG
    • = Alle Informationen, die bestimmten oder bestimmbaren natürlichen Personen zugeordnet werden können
    • Diese natürliche Person ist somit Betroffener
    • Juristische Personen (Unternehmen) demnach nicht geschützt
    • Anwendbares Recht: Wird durch Sitzlandprinzip bestimmt
    • Innerhalb BRD + EU Auftragsdatenverarbeitung n. § 11 BDSG möglich
    • Cloud Services = i. d. R. typische Auftragsdatenverarbeitung
  • 7. Die Verantwortlichkeit für Datenverarbeitung in der Cloud
    • Cloud-Kunde = verantwortliche Stelle, § 3 (7) BDSG
      • Cloud-Kunde – derjenige, der den Dienst in Anspruch nimmt
        • Nicht notwendig immer identisch mit dem Betroffenen!
      • Betroffener ist derjenige, auf den sich die Daten beziehen
    • Verantwortlichkeit des Kunden von Cloud Diensten für:
        • Wahrung der Betroffenenrechte
        • Einhaltung gesetzlicher Vorgaben
    • Verantwortung im Regelfall nicht übertragbar!
    • Verantwortung mehrerer ist möglich
    • Es kommt immer darauf an, wer den Datenverarbeitungsprozess tatsächlich beherrscht
  • 8. Hürden konkreter Umsetzung
    • Umsetzung der allgemeinen Grundsätze von Transparenz, Information, Kontrolle und Durchsetzung
    • Keine direkter Einfluss des Cloud-Kunden mehr bei bleibender Verantwortung
    • „Ausgelagerte“ Kontrolle
    • Cloud Provider gibt die Rahmenbedingungen von Datenschutz und Datensicherheit vor
  • 9. Datenschutz – keine einfache Sache…
    • z. B.: Artikel 8 EU-Datenschutzrichtlinie zur Verarbeitung besonderer Kategorien personenbezogener Daten
    • (1) Die Mitgliedstaaten untersagen die Verarbeitung personenbezogener Daten, aus denen die rassische und ethnische Herkunft, politische Meinungen, religiöse oder philosophische Überzeugungen oder die Gewerkschaftszugehörigkeit hervorgehen, sowie von Daten über Gesundheit oder Sexualleben .
    • (2) Absatz 1 findet in folgenden Fällen keine Anwendung :
    • a) Die betroffene Person hat ausdrücklich in die Verarbeitung der genannten Daten eingewilligt , es sei denn , nach den Rechtsvorschriften des Mitgliedstaats kann das Verbot nach Absatz 1 durch die Einwilligung der betroffenen Person nicht aufgehoben werden; oder
    • b) die Verarbeitung ist erforderlich, um den Rechten und Pflichten des für die Verarbeitung Verantwortlichen auf dem Gebiet des Arbeitsrechts Rechnung zu tragen, sofern dies aufgrund von einzelstaatlichem Recht , das angemessene Garantien vorsieht, zulässig ist; oder
    • c) die Verarbeitung ist zum Schutz lebenswichtiger Interessen der betroffenen Person oder eines Dritten erforderlich, sofern die Person aus physischen oder rechtlichen Gründen außerstande ist, ihre Einwilligung zu geben; oder
    • d) die Verarbeitung erfolgt auf der Grundlage angemessener Garantien durch eine politisch, philosophisch, religiös oder gewerkschaftlich ausgerichtete Stiftung, Vereinigung oder sonstige Organisation, die keinen Erwerbszweck verfolgt , im Rahmen ihrer rechtmäßigen Tätigkeiten und unter der Voraussetzung , daß sich die Verarbeitung nur auf die Mitglieder der Organisation oder auf Personen, die im Zusammenhang mit deren Tätigkeitszweck regelmäßige Kontakte mit ihr unterhalten, bezieht und die Daten nicht ohne Einwilligung der betroffenen Personen an Dritte weitergegeben werden; oder
    • e) die Verarbeitung bezieht sich auf Daten, die die betroffene Person offenkundig öffentlich gemacht hat, oder ist zur Geltendmachung, Ausübung oder Verteidigung rechtlicher Ansprüche vor Gericht erforderlich .
    • (3)….
  • 10. 3.) Auftragsdatenverarbeitung und Übermittlung
    • Durch Cloud Service werden Daten im Auftrag verarbeitet
    • Der Cloud-Kunde ist Auftraggeber
    • Der Cloud Service Provider ist weisungsgebundener Auftragnehmer
    • Strenge Voraussetzungen – 10 Punkte-Katalog nach § 11 BDSG
    • Dieser betrifft vor allem die Bereiche der
      • Auftragsspezifierung, (z.B. Zweck + Dauer der Datenverarbeitung)
      • Betroffenenrechte
      • Obliegenheiten des Auftragnehmers
      • Kontrollrechte des Auftraggebers
  • 11. Auftragsdatenverarbeitung
    • Vertragsgestaltung bei IT-Verträgen
      • Erfahrungen aus EVB-IT nutzen
      • Leistungsflüsse festlegen, Rechte und Pflichten definieren
      • „ Balancierte IT-Sicherheit“
        • Sicherheitsleistungen des Auftragnehmers mit denen des Auftraggebers abgleichen
      • Notfallvorsorge beim Outsourcing
        • (geordneter) Wechsel des Anbieters
        • plötzlicher Ausfall des Anbieters
  • 12. Auftragsdatenverarbeitung
    • Prüfen von Auftragsdatenverarbeitung
      • Vor Ort? Wirtschaftlichkeitsbetrachtung?
      • Ziel: Automatisierte Prüfbarkeit
      • Weg:
        • Erhöhte Transparenz in administrative Prozesse beim AN
        • Automatisierter Nachweis von korrekten Prozessabläufen
        • Automatisierte, verlässliche Alarmierung bei Verstößen gegen definierte Prozessabläufe
        • Zertifizierungen (automatisiert prüfbar!)
  • 13. Allgemeine Sicherheitsaspekte
    • Etablierte Maßnahmen bezgl. „Stand der Technik“
      • vgl. BSI Grundschutz
      • vgl. ISO27001
      • vgl. ITILv3
    • Umsetzung ist Grundvoraussetzung für Sicherheitsnachweis im Cloud Computing
  • 14. Besondere Sicherheitsaspekte
    • „ Fremdgesteuerte Virtualisierung“
      • Sicherheit der administrativen Frontends
        • 2-Faktor-Authentifizierung
        • Transportverschlüsselung
        • „ mandantenfähige Administrations-Tools“
      • Sicherheit der „Virtualisierungs-Ebene“
        • Sicherheit von Hypervisoren
        • Sicherheit von Sandboxes bzw. Plattformen
        • Sicherheit von Anwendungssoftware
  • 15. Besondere Sicherheitsaspekte
    • Verfügbarkeit
      • Redundanz der eigenen Netzanbindung
      • Redundanz prüfen:
        • keine Reseller desselben Backbones
        • dedizierte, redundante Leitungsführung nachweisen
      • Datensicherungs- und Notfallkonzepte überarbeiten
  • 16. Besondere Sicherheitsaspekte
    • „Der Anbieter als Angreifer“
      • Fahrlässigkeit
      • Sabotage
      • Vorsatz
        • Leichterer „physikalischer“ Zugriff bei virtualisierten Umgebungen
        • Geringere Zugriffshürden
      • Legale Zugriffe Dritter
  • 17. Abgrenzung und Problematik der Übermittlung
    • Ohne Auftragsdatenverarbeitungsverhältnis nur „Übermittlung“ von Daten an Dritte, § 3 (4) Nr. 3 BDSG
    • Diese nur dann zulässig, wenn gesetzlich erlaubt
    • Möglich: Interessenabwägung nach § 28 (1) Nr. 3 BDSG
    • Die Glaubhaftmachung kann jedoch im Einzelfall schwierig sein
    • Probleme:
      • Zusätzliche Vertragsgestaltungen zum Betroffenenschutz nötig
      • Cloud Provider wird ggf. als Datenübermittler mitverantwortlich!
      • Mehrere Subunternehmerverhältnisse schwierig
  • 18. Problemfall grenzüberschreitende Cloud-Services außerhalb EU/EWR
    • Auftragsdatenverarbeitung nicht möglich, nur noch „Übermittlung“
    • Bei Cloud Services außerhalb des EU/EWR Raums angemessenes Datenschutzniveau im jeweiligen Land erforderlich
    • Dies ist nur in wenigen Ländern gewährleistet
    • Problem: Sitz des Providers bzw. Serverstandorte außerhalb EU
    • Illegale und legale Zugriffe Dritter auf Daten
  • 19. 4.) Mögliche Lösungsansätze
    • Regelungen, die Datenübermittlung ermöglichen könnten:
      • US-EU Safe Harbor
      • EU Standardvertragsklauseln, ggf. erweitert durch nationale Vorgaben (z.B. BDSG)
      • Binding Corporate Rules
  • 20. Safe Harbor
    • Eigentlich kein angemessenes Schutzniveau in den USA, daher Übermittlung (-)
    • Safe Harbor ist ein Abkommen zwischen der EU und den USA
    • Übermittlung dann möglich, wenn Unterwerfung unter Safe Harbor Prinzipien der FTC
    • Diese Prinzipien regeln Rechteinräumung für Betroffene und Obliegenheiten der Firmen
    • Probleme:
      • Faktischer Prozess der Selbstzertifizierung
      • Kontrolle
      • Enforcement
    • Folge: Weitere Maßnahmen müssen getroffen werden
    • Absicherung/Nachweis der Compliance , bestenfalls durch
      • EU Standardvertragsklauseln oder
      • Binding Corporate Rules
  • 21. EU-Standardvertragsklauseln
    • Vertragliche Regelung der Datenübermittlung
    • Diese müssen unverändert übernommen werden
    • Diese reichen jedoch nicht bei einer Übermittlung von Daten in ein außereuropäisches Drittland trotz Anerkennung angemessenen Schutzniveaus
    • Zusätzlich analoge Anwendung des § 11 (2) BDSG erforderlich
    • Empfehlung: Abschluss eines zweiten Vertrags oder eines Annex mit der 10-Punkte-Regelung nach § 11 (2) BDSG
  • 22. Binding Corporate Rules (BCR)
    • Selbstbindung von Unternehmen
    • Notwendiger Inhalt:
      • Vorgaben der EU Kommission, insbes. bzgl. unmittelbarer Betroffenenrechte
      • Rechtliche Verbindlichkeit erforderlich
    • Ziel: Datenschutz-Compliance im Hinblick auf nationale Datenschutzgesetze
    • Zuständige Datenschutzbehörden müssen zustimmen
    • Vorteile:
      • Flexibilität
      • Standardisierung
    • Nachteile:
      • Komplex und teuer
      • Internationale Anerkennung der Zustimmung von nationalen Datenschutzbehörden
  • 23. 5.) Schlussfolgerungen
    • Viele offene Fragen, z.B.:
    • Evaluierung und Modernisierung des europäischen und deutschen Datenschutzrechts
    • Zukunft von Safe Harbor (ggf. Evaluierung des Abkommens durch EU?)
    • Derzeit Vereinbarkeit grenzüberschreitender Datenverarbeitung außerhalb EU/EWR mit den Vorgaben des deutschen und europäischen Datenschutzrechts höchst unsicher
    • Fazit:
    • Kunden sollten Cloud Provider sorgfältig auswählen sowie Möglichkeiten der Kontrolle + Durchsetzung der Datenschutzanforderungen suchen und nutzen
    • Folge: Standardisierung und Audits werden in Zukunft eine noch größere Rolle spielen
    • Cloud Provider hingegen sollten auch im Eigeninteresse nach mehr Transparenz streben
    • Einbindung des sog. „Privacy by Design“ Konzepts als Wettbewerbsvorteil
  • 24. Forschung und Entwicklung des ULD in TClouds
    • „ Trustworthy Clouds“- Privacy and Resilience for Internet-scale Critical Infrastructure (TClouds)
    • Das TClouds Projekt wird durch Fördermittel des siebten Forschungsrahmenprogramms der Europäischen Union (FP7/2007-2013) unterstützt.
    • Mission: Die Schaffung einer Cloud-Umgebung, die den europäischen Sicherheits- und Datenschutzanforderungen gerecht wird
    • Mehr Informationen zu TClouds unter:
    • www.tclouds-project.eu
  • 25. Vielen Dank für Ihre Aufmerksamkeit!
    • Eva Schlehahn
    • Unabhängiges Landeszentrum für
    • Datenschutz Schleswig-Holstein
    • Telefon: 0431 988 – 1200
    • [email_address]