PUBLIC CLOUD:SICHERHEIT UND DATENSCHUTZ

EIN KURZER ÜBERBLICK

Roberto Valerio, CloudSafe GmbH

11. August 2011SecTXL

Roberto Valerio

Gründer CloudSafe.com

Programmierung : 20 Jahre

IT-Projekte: 10 Jahre

Startup-Erfahrung: 5 Jahre

CloudSafe GmbH

Verschlüsselte Cloud StorageVerschlüsselte Kommunikation

Gründung November 2009

Online Plattform: cloudsafe.com

PUBLIC CLOUD

๏ Public Cloud Services

๏ Einfacher Auftragsdatenverarbeiter nach §§ 9, 11 BDSG?

๏ Funktionsübertragung: Werden die Daten bearbeitet?

๏ I. Datenschutz

๏ Vorgaben, Pflichten, Umsetzung

๏ II. Sicherheit

๏ Technische & organisatorische Kriterien

Übersicht

I. DATENSCHUTZ

๏ Abgrenzung der Daten nach dem BDSG:

๏ Personenbezogene Daten: Einer natürlichen Person zugeordnet, z.B. Kunden- und Personaldaten

๏ Besondere personenbezogen Daten: Ethnische Herkunft, Gesundheit, Politische Ansichten & Religion und weitere (§ 3 Abs. 9 BDSG)

๏ Daten mit Sonderregelungen: Finanzdienstleistungen, Telekommunikation, steuerrechtlich relevante und berufsstandbezogene Daten

๏ Einfacher Personenbezug kann jederzeit durch Anonymisierung aufgehoben werden.

๏ Nutzer von Cloud Services bleiben verantwortlich für den Umgang mit den anvertrauten Daten!

PFLICHTEN

๏ Pflichten für die Auslagerung von personenbezogenen Daten:

๏ "Sorgfältige" Auswahl:

๏ Nutzer muß selber überprüfen, ob der Anbieter in der Lage ist, den Datenschutz nach BDSG zu gewährleisten.

๏ Regelmäßige Überprüfung

๏ Hier ist es hilfreich, wenn der Anbieter lokal anerkannte Zertifikate vorweisen kann, z.B. EuroCloud SaaS Gütesiegel.

๏ Gleiches gilt für implizite Bestandteile der Verträge (AGB).

๏ Bußgelder bis 50.000 Euro möglich.

Datenschutz

VERTRAGSGESTALTUNG

๏ Schriftform

๏ Gegenstand der Datenverarbeitung

๏ "Welche Daten werden wie verarbeitet?"

๏ Sub-Unternehmerschaft

๏ "Erfüllen eventuelle Subunternehmer des Anbieters die gleichen Kriterien wie der Anbieter?"

๏ Haftungsfrage: Ohne vertragliche Regelung bleibt die Haftung für alle personenbezogenen Daten beim Nutzer.

Datenschutz

EXKURS: AUSLAND

๏ Überlassung von personenbezogenen Daten ohne explizite Erlaubnis der betroffenen Person ist möglich, aber nur innerhalb der EU/EWR.

๏ Überlassung der Daten an Anbieter außerhalb der EU/EWR nur nach ergänzender Vertraglichen Regelung.

๏ Z.B. US-EU Safe Harbor: Erhöhte Anforderungen an die Überprüfung, faktisch kaum möglich.

๏ Alternative: Die Daten werden innerhalb des gültigen Raumes verschlüsselt oder anonymisiert

Datenschutz

ZUSAMMENFASSUNG

๏ Auswahl Daten: Welche Daten möchte ich extern verarbeiten?

๏ Auswahl Anbieter : Sorgfältige Erstauswahl, regelmäßige Überprüfung.

๏ Vertragliche Anforderungen klären: Leistungen, Haftung, Subunternehmerschaften.

๏ Pro Anwendungsfall entscheiden, notfalls Daten und Prozesse nicht auslagern.

Datenschutz

II. SICHERHEIT

๏ Erster Schritt ist die Information:

๏ BSI - Bundesamt für Sicherheit in der Informationstechnik

๏ "Mindestanforderungen an Cloud Computing"

๏ EuroCloud e.V.

๏ "Leitfaden Recht, Datenschutz & Compliance"

๏ BITKOM e.V.

๏ "Leitfaden Cloud Computing – Was Entscheider wissen müssen" (Kapitel 4)

TECHNISCHE KRITERIEN

๏ Transport der Daten:

๏ Sind die Transportwege der Daten gegenüber Dritten ausreichend verschlüsselt?

๏ Ablage und Bearbeitung der Daten:

๏ Daten redundant abgelegt? Ausfallsicherheit? Netzsicherheit?

๏ Sicherheit innerhalb der Multi-Tenant Umgebung gewährleistet, z.B. durch Verschlüsselung?

๏ Entstehen Risiken durch die Bearbeitung der Daten?

๏ Identitäts- und Zugriffsverwaltung beim Anbieter

๏ Werden administrativen Vorgänge überwacht und mitgeschrieben?

Sicherheit

ORGANISATORISCHE KRITERIEN

๏ Sicherheitsmanagement des Anbieters

๏ ITIL, ISO 27002

๏ Mitarbeiterkontrolle

๏ Incident Management, Notfallmanagement

๏ Kontinuität des Anbieters

Sicherheit

ZUSAMMENFASSUNG

๏ Überprüfen Sie den Anbieter, bevor Sie personenbezogene Daten übermitteln.

๏ Halten Sie sich bei der Überprüfung des Sicherheitskonzepts an Standards

๏ BITKOM, BSI, eco

๏ Bewerten Sie den Anbieter nach den gleichen Kriterien, die Sie für die Bewertung einer internen Lösung verwenden würden.

Sicherheit

VIELEN DANKfür Ihre Aufmerksamkeit