1. PUBLIC CLOUD:
SICHERHEIT UND DATENSCHUTZ
EIN KURZER ÜBERBLICK
Roberto Valerio, CloudSafe GmbH
11. August 2011
SecTXL
2. Roberto Valerio CloudSafe GmbH
Gründer CloudSafe.com Verschlüsselte Cloud Storage
Verschlüsselte Kommunikation
Programmierung : 20 Jahre
IT-Projekte: 10 Jahre Gründung November 2009
Startup-Erfahrung: 5 Jahre Online Plattform: cloudsafe.com
3. Übersicht
PUBLIC CLOUD
๏ Public Cloud Services
๏ Einfacher Auftragsdatenverarbeiter nach §§ 9, 11 BDSG?
๏ Funktionsübertragung: Werden die Daten bearbeitet?
๏ I. Datenschutz
๏ Vorgaben, Pflichten, Umsetzung
๏ II. Sicherheit
๏ Technische & organisatorische Kriterien
4. I. DATENSCHUTZ
๏ Abgrenzung der Daten nach dem BDSG:
๏ Personenbezogene Daten: Einer natürlichen Person zugeordnet,
z.B. Kunden- und Personaldaten
๏ Besondere personenbezogen Daten: Ethnische Herkunft,
Gesundheit, Politische Ansichten & Religion und weitere (§ 3
Abs. 9 BDSG)
๏ Daten mit Sonderregelungen: Finanzdienstleistungen,
Telekommunikation, steuerrechtlich relevante und
berufsstandbezogene Daten
๏ Einfacher Personenbezug kann jederzeit durch Anonymisierung
aufgehoben werden.
๏ Nutzer von Cloud Services bleiben verantwortlich für den
Umgang mit den anvertrauten Daten!
5. Datenschutz
PFLICHTEN
๏ Pflichten für die Auslagerung von personenbezogenen
Daten:
๏ "Sorgfältige" Auswahl:
๏ Nutzer muß selber überprüfen, ob der Anbieter in der
Lage ist, den Datenschutz nach BDSG zu gewährleisten.
๏ Regelmäßige Überprüfung
๏ Hier ist es hilfreich, wenn der Anbieter lokal anerkannte
Zertifikate vorweisen kann, z.B. EuroCloud SaaS Gütesiegel.
๏ Gleiches gilt für implizite Bestandteile der Verträge (AGB).
๏ Bußgelder bis 50.000 Euro möglich.
6. Datenschutz
VERTRAGSGESTALTUNG
๏ Schriftform
๏ Gegenstand der Datenverarbeitung
๏ "Welche Daten werden wie verarbeitet?"
๏ Sub-Unternehmerschaft
๏ "Erfüllen eventuelle Subunternehmer des Anbieters die
gleichen Kriterien wie der Anbieter?"
๏ Haftungsfrage: Ohne vertragliche Regelung bleibt die
Haftung für alle personenbezogenen Daten beim
Nutzer.
7. Datenschutz
EXKURS: AUSLAND
๏ Überlassung von personenbezogenen Daten ohne
explizite Erlaubnis der betroffenen Person ist möglich,
aber nur innerhalb der EU/EWR.
๏ Überlassung der Daten an Anbieter außerhalb der
EU/EWR nur nach ergänzender Vertraglichen
Regelung.
๏ Z.B. US-EU Safe Harbor: Erhöhte Anforderungen an
die Überprüfung, faktisch kaum möglich.
๏ Alternative: Die Daten werden innerhalb des gültigen
Raumes verschlüsselt oder anonymisiert
8. Datenschutz
ZUSAMMENFASSUNG
๏ Auswahl Daten: Welche Daten möchte ich
extern verarbeiten?
๏ Auswahl Anbieter: Sorgfältige Erstauswahl,
regelmäßige Überprüfung.
๏ Vertragliche Anforderungen klären:
Leistungen, Haftung, Subunternehmerschaften.
๏ Pro Anwendungsfall entscheiden, notfalls
Daten und Prozesse nicht auslagern.
9. II. SICHERHEIT
๏ Erster Schritt ist die Information:
๏ BSI - Bundesamt für Sicherheit in der
Informationstechnik
๏ "Mindestanforderungen an Cloud Computing"
๏ EuroCloud e.V.
๏ "Leitfaden Recht, Datenschutz & Compliance"
๏ BITKOM e.V.
๏ "Leitfaden Cloud Computing – Was Entscheider
wissen müssen" (Kapitel 4)
10. Sicherheit
TECHNISCHE KRITERIEN
๏ Transport der Daten:
๏ Sind die Transportwege der Daten gegenüber Dritten ausreichend verschlüsselt?
๏ Ablage und Bearbeitung der Daten:
๏ Daten redundant abgelegt? Ausfallsicherheit? Netzsicherheit?
๏ Sicherheit innerhalb der Multi-Tenant Umgebung gewährleistet, z.B. durch Verschlüsselung?
๏ Entstehen Risiken durch die Bearbeitung der Daten?
๏ Identitäts- und Zugriffsverwaltung beim Anbieter
๏ Werden administrativen Vorgänge überwacht und mitgeschrieben?
11. Sicherheit
ORGANISATORISCHE KRITERIEN
๏ Sicherheitsmanagement des Anbieters
๏ ITIL, ISO 27002
๏ Mitarbeiterkontrolle
๏ Incident Management, Notfallmanagement
๏ Kontinuität des Anbieters
12. Sicherheit
ZUSAMMENFASSUNG
๏ Überprüfen Sie den Anbieter, bevor Sie
personenbezogene Daten übermitteln.
๏ Halten Sie sich bei der Überprüfung des
Sicherheitskonzepts an Standards
๏ BITKOM, BSI, eco
๏ Bewerten Sie den Anbieter nach den
gleichen Kriterien, die Sie für die Bewertung
einer internen Lösung verwenden würden.