Was Sie neben den gesetzlichen Anforderungen zur Einhaltung von Datenschutz und Datensicherheit bei der Wahl des Cloud Anbieters berücksichtigen sollten.

Ausgangslage

In unserem ersten Blog-Beitrag zum Thema Datenschutz am Beispiel von Office 365 und Windows Azure haben wir die wichtigsten Anforderungen aus dem Bundesgesetz an den Datenschutz (DSG) vom 19. Juni 1992 (Stand am 1. Januar 2014) und der Verordnung zum Bundesgesetz über den Datenschutz zusammengefasst.

Aus der Zusammenfassung ging hervor, dass Cloud Computing Kunden in der Schweiz für die Einhaltung der datenschutzrechtlichen Anforderungen verantwortlich sind. Planen Schweizer Unternehmen ihre Daten in Office 365, CRM Online oder Windows Azure zu verwalten und zu speichern, müssen Sie diesem Thema unbedingt Aufmerksamkeit schenken.

In diesem Beitrag möchten wir aufzeigen, wie Sie anhand eines einfachen Modells die Cloud-Fähigkeit von Daten klassifizieren können, und führen auf, was es neben der Einhaltung der gesetzlichen Grundlagen bei der Wahl des Cloud Anbieters weiter zu berücksichtigen gibt.

Sind unsere Daten Cloud-fähig?

Ob bestimmte Daten in der Cloud gespeichert werden dürfen oder nicht, setzt eine differenzierte Betrachtungsweise voraus. Denn die Entscheidung über die Cloud-Fähigkeit von Daten hängt nicht nur von der Art, der Anwendung und dem Service ab, sondern auch von dem Cloud Deployment Modell.

Damit die Cloud-Fähigkeit von Daten besser eingeschätzt werden kann, müssen diese zuerst nach folgenden Kriterien klassifiziert werden:

Art der Daten:

Handelt es sich bei den relevanten Daten um:

  • geheime Daten
  • Personendaten
  • besonders schützenswerte Personendaten
  • Persönlichkeitsprofile
  • Geschäftskritische Daten oder Anwendung

Art der Cloud

In welcher Art von Cloud werden die Daten aufbewahrt oder bearbeitet:

  • Private Cloud
  • Hybrid Cloud
  • Public Cloud
  • Community Cloud

Art des Service Modells

Handelt es sich um:

  • die Nutzung von Hardware, Rechenleistung oder Speicherplatz (Infrastructure as a Service)
  • Die Nutzung von Betriebssystemen, Datenbanken oder Entwicklungsumgebungen (Platform as a Service)
  • Die Nutzung von Applikationen (Software as a Service)

Nachfolgende Abbildung visualisiert die unterschiedlichen Service Modelle.

Beispiel einer Datenklassifizierung

Welche Daten welche Risiken bergen, welchen Anforderungen sie unterliegen, welchen Schaden diese verursachen können und welche Schutzmechanismen nötig sind, können Aufschluss darüber geben, ob diese Daten Cloud-fähig sind oder nicht. Nachfolgend eine exemplarische und vereinfachte Datenklassifizierung.

Daten Klassifizierung Anforderung Schutzmechanismen Risiko Cloud-Fähig
Mitarbeiter-/ Gesundheitsdaten Hoch  (Personendaten, besonders schützenswerte Personendaten) Geschützte Daten Zugriffskontrolle,  Verschlüsselung, physische und logische Sicherheitsmechanismen Hoher Impact auf Reputation, Breite Berichterstattung in den Medien Nein
Unangekündigte Finanzdaten (z.B. Quartals- oder Jahresabschlüsse) Hoch (geheime Daten) Finanzregularien,  interne Geschäfts-anforderungen Zugriffskontrolle,  Verschlüsselung, physische und logische Sicherheitsmechanismen Verlust zukünftiger Geschäfte, hoher Imageschaden,  strafrechtliche Untersuchung Nein
Interne Prozess Dokumentation Mittel Interne Geschäftsanforderungen Zugriffskontrolle,  physische und logische Sicherheitsmechanismen Mittlere Auswirkungen auf Reputation Ja
Betriebliches Kontinuitätsmanagement Hoch Data Privacy Zugriffskontrolle,  physische und logische Sicherheitsmechanismen Mittlere Auswirkungen auf Reputation, mögliche Berichterstattung in den Medien Ja
IT Projekt Dokumentation Niedrig Interne Geschäftsanforderungen Zugriffskontrolle,  physische und logische Sicherheitsmechanismen Geringe Auswirkung auf Reputation Ja
Angekündigte Finanzdaten Niedrig Interne Geschäftsanforderungen Zugriffskontrolle,  physische und logische Sicherheitsmechanismen Geringe Auswirkung auf Reputation Ja

 

Zur Bewertung des Risikos kann diese generelle Formel angewendet werden:

Risiko = Schaden * Wahrscheinlichkeit

Transparenz ist bei der Wahl des Anbieters entscheidend

Bei der Wahl des Cloud-Anbieters ist auch die transparente Information ein wesentlicher Faktor. Cloud-Kunden sollen die Möglichkeit haben, einfach und schnell Informationen darüber zu erhalten, welche Sicherheits- und Qualitätsanforderungen eingehalten werden. Folgende Anforderungen an Sicherheit und Qualität gehören heute zu den Standards beim Betrieb von Cloud-Rechenzentren:

Anforderungen an die Sicherheit

  • Audit Reports
  • Best Practices, z.B. CSA STAR Level 3

Anforderungen an Zertifizierungen

  • ISO 27001:2005
  • SOC 1 Type (SSAE 16/ISAE 3492)
  • SOC 2 Type (AT 101)
  • SOC 3 Type (AT 101)

Anforderungen an die Verfügbarkeit

  • Zusicherung von Mindestanforderungen

Anforderungen an den Datenschutz

  • Akzeptanz von Standardbedingungen (Mustervertrag EDÖB, EU-Standardklauseln)
  • Konformitätsbestätigung der Datenschutzbehörden, z.B. Art. 29 Working Party der EU

Anforderungen an die Qualität der Leistungen

  • Beschreibung von Inhalt und Umfang des Service (auch bei Standard Services)
  • Verantwortungsbereiche des Kunden
  • Service Level Agreements zur Absicherung der Qualität und Definition Service Levels (Verfügbarkeiten / Antwortzeiten)
  • Messung und Rapportierung von Service Levels
  • Mitteilung von Service Credits und Penalties
  • Kommunikation von Ansprechpartnern und Hotlines
  • Bekanntgabe von Standorten und Subunternehmer

Die Insel des Vertrauens – Microsoft Trust Center

Microsoft stellt alle Informationen zu Sicherheit und Qualität im Microsoft Office 365 Trust Center zur Verfügung. Über wichtige Änderungen und Neuerungen von Office 365 inforiert der Office 365 Blog.

Weitere Sicherheitsanforderungen

  • Anforderungen an Identity- und Access-Management
  • Schutz vor externen Angriffen
  • Verschlüsselung von Daten bei Übermittlung und Speicherung
  • Business Continuity Management sowie Backup- und Disaster Recovery
  • Ist die Zertifizierung (ISO, SOC etc.) des Service Anbieters ausreichend?
    • Nicht immer, da Zertifizierung nach Objektauswahl des Service Anbieters erfolgt; zudem nur eine Zeitaufnahme ist
  • Durchführung von Audits beim Anbieter durch den Auftraggeber oder durch einen unabhängigen Dritten

Flexibilität bei der Vertragsbeendigung

  • Gibt es eine Feste oder Mindestvertragsdauer?
  • Welche Kündigungsfristen muss ich einhalten?
  • Zugriff auf und Herausgabe von Daten
  • Löschung von Daten (nicht nur Deaktivierung)
  • Unterstützung des Cloud-Anbieter bei der Migration zurück aus der Cloud

Einbindung des Cloud-Anbieters

  • Beachtung von Weisungen des Kunden
  • Beachtung des Bearbeitungszwecks der Daten
  • Verpflichtung zur Geheimhaltung und zur Datensicherheit
    • Datenschutzgarantien bei Datenexport Transparenz betreffend:
    • Ort der Datenbearbeitung, z.B. Zusicherung, dass alle RZ Standorte in Europa sind
    • der Subunternehmer
  • Änderungen nur mit Zustimmung Kunde

Fazit für die Beschaffung von Cloud Services

Neben den gesetzlichen Anforderungen an den Datenschutz gibt es viele weitere Faktoren bei der Wahl des geeigneten Cloud Anbieters. Sicherheitsrisiken in der Cloud sind durch geeignete Prozesse grundsätzlich kontrollierbar, Massstäbe und Richtlinien müssen aber noch erarbeitet werden.

Die aufgeführten Anforderungen an Sicherheit und Qualität von Microsoft Rechenzentren werden im Microsoft Trust Center beschrieben. Microsoft vermittelt damit glaubhaft, dass sie alle Vorkehrungen zum Schutz der Daten und der Persönlichkeit des Cloud-Kunden treffen. Im Vergleich mit lokal betriebenen Rechen- und herkömmlichen Datenzentren erfüllt die Microsoft Cloud weitaus höhere Sicherheitsstandards.

In unserem nächsten Beitrag werden wir den Abschluss unserer Serie zum Thema Datenschutz machen und anhand eines reellen Beispiels eines unserer Kunden aufzeigen, wie mit Microsoft Cloud Technologien Datenschutz in der Realität umgesetzt wurde.

Haben Sie Fragen zum Thema Datenschutz und Datensicherheit?

Melden Sie sich über unser Kontaktformular, via E-Mail oder telefonisch:
Simon Feldkamp, simon@askmewhy.ch, 044 390 14 10