Cloud-Prüfsiegel für mehr Datenschutz

In vielen Unternehmen ist Cloud-Computing heute eine Selbstverständlichkeit: Zwei von drei Firmen in Deutschland setzen bereits auf die Cloud. Mit 29 Prozent nutzt dabei ein Drittel Public-Cloud-Dienste – also für jeden verfügbare Angebote frei zugänglicher Provider, bei denen man sich die Server mit unzähligen weiteren Kunden teilt.

Damit wird die Cloud-Nutzung zur Vertrauenssache. Mit dem Auslagern ihrer Daten, etwa Kundendaten, machen Unternehmen quasi ihr Tafelsilber dem Cloud-Anbieter zugänglich. Doch Datensicherheit ist das A und O. Daher ist es wichtig, dass man sich vor der Entscheidung für einen Cloud-Dienst sicher sein kann, dass dieser wichtige Kriterien etwa in Bezug auf Sicherheit, Datenschutz und Dienstequalität einhält. Zu den drei wichtigsten Entscheidungskriterien für einen Cloud-Dienst zählen daher Preis, Performance und die Themen Sicherheit und Datenschutz. Laut dem aktuellen „Cloud-Monitor 2017“ des Beratungsunternehmens KPMG erwarten zum Beispiel 77 Prozent der deutschen Firmen von ihrem Cloud-Anbieter, dass er seinen Hauptsitz im Rechtsgebiet der EU hat.

Vielerlei Zertifizierungen von zahlreichen Unternehmen und Interessenverbänden sollen das Vertrauen in Cloud-Dienste stärken und Orientierung bieten im Dschungel der vielen Cloud-Angebote. „Zertifizierungen sind der Grundstein für das Vertrauen in den Cloud-Anbieter“, so die Erfahrung von Frank Strecker, Senior Vice President Cloud Partner Products & Ecosystems bei T-Systems. Er verantwortet das weltweite Cloud-Geschäft der Deutschen Telekom.

„Wir kennen die Vorbehalte der KMUs gegenüber dem Einsatz von Anwendungen aus der Cloud“, weiß auch Frank Türling, Geschäftsführer von Cloud Ecosystem, aus seiner täglichen Arbeit zu berichten. Aus diesem Grund bietet auch sein Unternehmen als neu­traler Verband ein Zertifizierungsprogramm für Cloud-Lösungen sowie Dienstleister als Entscheidungshilfe für KMUs an.

Die diversen Zertifizierungsstellen prüfen etwa die Sicherheit der Rechenzentren und die Vertragsbedingungen. Gerade in einem Land wie Deutschland, das den TÜV erfunden hat und in dem viele Kunden vor Anschaffungen erst einmal die Testberichte der „Stiftung Warentest“ studieren, ist das Vertrauen in Prüf- und Gütesiegel hoch.

Doch es gibt einen Wust an Zertifikaten und vielen IT-Entscheidern bereitet es Mühe, den Überblick zu behalten, welche Zertifikate tatsächlich für Qualität stehen und welche eher als Marketinginstrumente von Interessenverbänden anzusehen sind. Weltweit geht man derzeit von rund 200 Zertifikaten für Cloud-Angebote aus. Vor allem kleineren Mittelständlern mit einer überschaubaren IT-Abteilung fällt da die Entscheidung schwer. Von einer Standardisierung bei der Cloud-Zertifizierung ist man noch meilenweit entfernt.

Vor allem in Hinblick auf die Europäische Datenschutz-Grundverordnung (DSGVO), deren Umsetzung europäische Unternehmen bis zum 25. Mai kommenden Jahres erledigt haben sollen, steht das Thema Datenschutz laut Frank Strecker aktuell im Vordergrund. Seiner Ansicht nach werden Kunden auf Garantien und Nachweise bestehen, dass der Cloud-Anbieter die Datenschutzregularien einhält. „IT-Sicherheits- sowie Datenschutzbeauftragte haben dank Cloud-Zertifikaten die Chance, die gewissenhafte Auswahl eines Anbieters nachzuweisen. Nach aktuellem Stand der Technik, mit einer vertraglichen Regelung der verpflichtenden Auftragsdatenverarbeitung (ADV).“

Als Auftragsdatenverarbeitung bezeichnet man die Erhebung, Verarbeitung oder Nutzung von personenbezogenen Daten durch einen Dienstleister. Welche Rechte, Pflichten und Maßnahmen im Einzelnen durch einen Vertrag zwischen Auftraggeber und Auftragnehmer, also etwa einem Cloud-Dienstleister, zu treffen sind, regeln §11 des Bundesdatenschutzgesetzes (BDSG) und Art. 28 der Europäischen Datenschutz-Grundverordnung.

Was man nämlich wissen muss: Auch wenn ein Unternehmen seine Daten von einem externen Cloud-Dienstleister verarbeiten lässt, so ist das Unternehmen nach wie vor die verantwortliche Stelle, die gewährleisten muss, dass die einschlägigen Datenschutzgesetze eingehalten werden. So muss ein Unternehmen nach §11 Abs. 2 des BDSG den Cloud-Dienstleister auf die Einhaltung von geeigneten technischen und organisatorischen Maßnahmen zur IT-Sicherheit überprüfen. Theoretisch würde das bedeuten, dass der Cloud-Dienstleister jedem Kunden im Rahmen der Überprüfung Zugang zum Rechenzentrum gewähren muss. Das ist natürlich weder organisatorisch und zeitlich noch personell machbar. Hinzu kommt, dass es einem Unternehmen bei einem Besuch im Rechenzentrum in der Regel dennoch nicht möglich wäre, die korrekte Einhaltung der Datenschutzanforderungen zu überprüfen.

Hier kommen die Zertifikate ins Spiel: Es gibt Zertifikate, die zeigen, dass ein Cloud-Anbieter die Datenschutzregeln bezüglich des Bundesdatenschutzgesetzes und der Datenschutz-Grundverordnung sorgfältig einhält.

Das relativ neue Trusted-Cloud-Datenschutz-Profil (TCDP) ist der nach eigenen Angaben erste und einzige Prüfstandard für Cloud-Dienstleister, der die Anforderungen des deutschen Bundesdatenschutzgesetzes an die Auftragsdatenverarbeitung vollständig abbildet. Mit einem solchen Zertifikat weist ein Cloud-Anbieter nach, dass sein Dienst die gesetzlichen Anforderungen erfüllt. Entwickelt wurde das TCDP im Rahmen des Programms Trusted Cloud des Bundesministeriums für Wirtschaft und Energie (BMWi) unter der Leitung der TÜV Informationstechnik GmbH (TÜViT) des TÜV Nord. Ebenfalls beteiligt waren zahlreiche maßgebliche Akteure auf dem Feld der Datenschutz-Zertifizierung, insbesondere Datenschutzaufsichtsbehörden, Anbieter von Cloud-Diensten unterschiedlicher Größenordnung, Anbieter von Prüf- und Zertifizierungsleistungen sowie Verbände und Institutionen der IT und des Datenschutzes.

Die Verwaltung des Trusted-Cloud-Datenschutz-Profils übernimmt die Stiftung Datenschutz. Sie soll auch an einer Weiterentwicklung des Trusted-Cloud-Datenschutz-Profils zu einer europäischen Datenschutz-Zertifizierung mitwirken.

Das Trusted-Cloud-Datenschutz-Profil wird im kommenden Jahr besonders in den Fokus rücken, so die Prognose von Frank Strecker von T-Systems, weil diese Auszeichnung am besten mit der Europäischen Datenschutz-Grundverordnung vereinbar sei. Sein Rat: „Bei drohenden Strafen von bis zu 20 Millionen Euro für einen Verstoß gegen die Verordnung sollten Unternehmen insbesondere auf Zertifikate des Anbieters in diesem Bereich achten.“

Das Trusted-Cloud-Datenschutz-Profil bildet laut TÜV Nord die gesetzlichen Anforderungen des Bundesdatenschutzgesetzes an die Auftragsdatenverarbeitung ab, was eine ISO-Norm allein nicht leisten könnte. Das Zertifikat stellt einen umfangreichen Schutz bezüglich Datenschutz und Datensicherheit bereit, da der Prüfstandard die Normen von ISO/IEC 27018, ISO/IEC 27017 und ISO/IEC 27002 miteinbezieht. Darüber hinaus wird durch die Zertifizierung nachgewiesen, dass die datenschutzrechtlichen Vorgaben der Europäischen Datenschutz-Grundverordnung eingehalten werden.

Am Zertifizierungsverfahren des TCDP sind drei Parteien beteiligt: der zu prüfende Cloud-Anbieter, eine Prüfstelle sowie eine Zertifizierungsstelle. Der Cloud-Anbieter hat im Rahmen der Prüfung Mitwirkungs- und Auskunftspflichten gegenüber der Prüfstelle. Die Prüfung der Voraussetzungen erfolgt zunächst anhand der Prüfstelle übermittelter Dokumente. Im zweiten Schritt folgt in der Regel eine Begehung der Rechenzentren des Coud-Anbieters und die Einsicht in die Verwaltungs-Software des Dienstes. Auf Grundlage der Prüfung erstellt die Prüfstelle einen Prüfbericht, welcher der Zertifizierungsstelle übergeben wird. Die Prüf- und die Zertifizierungsstelle müssen dabei rechtlich eigenständige und voneinander unabhängige Stellen sein, denn die Zertifizierung erfolgt auf Grundlage des Prüfberichts, der die Einhaltung der Anforderungen des TCDP feststellen soll.

---

Das Bundesamt für Sicherheit in der Informationstechnik (BSI) hat einen Anforderungskatalog entwickelt, der Kriterien an die Cloud-Sicherheit beschreibt, die nach Ansicht des BSI nicht unterschritten werden sollten. Der sogenannte Cloud Computing Compliance Controls Catalogue, kurz C5, ist in insgesamt 17 thematische Bereiche unterteilt, etwa Organisation der Informationssicherheit, Identitäts- und Berechtigungsmanagement, Compliance und Datenschutz. Der Katalog basiert auf etablierten Standards wie ISO/IEC 27001:2013.

Ein Cloud-Anbieter kann die Einhaltung der C5-Mindeststandards anhand eines SOC-2-Berichts nachweisen. Diese Service-Organization-Control-Berichte sind Rahmenwerke, die das amerikanische Institut für Wirtschaftsprüfer (AICPA) als De-facto-Standards entwickelt hat, um Dienstleister oder Service-Organisationen nach festgelegten Regeln zu prüfen. Der Vorteil eines solchen SOC-2-Berichts für den Cloud-Anbieter: Die Wirtschaftsprüfer sind bei der Prüfung des Jahresabschlusses bereits im Unternehmen und können dann auch gleich eine Auditierung nach dem C5-Anforderungskatalog vornehmen.

Der Cloud-Dienstleister erhält bei erfolgreicher Prüfung jedoch kein Zertifikat, sondern ein Testat. Der Hintergrund: Da das Cloud-Computing international aufgestellt ist, hat das BSI darauf verzichtet, ein weiteres nationales Zertifikat einzuführen.

Die ISO-Norm ISO/IEC 27001 ist ein Katalog aus knapp 150 Anforderungen rund um Datensicherheit, Prozesse und Abläufe innerhalb eines Unternehmens, die ein bestimmtes IT-Sicherheitsniveau garantieren. Dabei handelt es sich zwar um keine cloudspezifische Norm, sie hat aber am meisten Gewicht und wird auch beim IT-Grundschutz-Zertifikat des Bundesamts für Sicherheit in der Informationstechnik (BSI) berücksichtigt. Auch große Cloud-Anbieter wie Amazon, Google und Microsoft lassen ihre Dienste in Hinblick auf diese ISO-Norm prüfen.

2014 führte die International Organization for Standardization (ISO) die Erweiterung ISO/IEC 27018:2014 ein, einen Anhang zu ISO/IEC 27001. Diese ist auf Cloud-Dienste abgestimmt und regelt den Datenschutz in der Cloud. Im Vordergrund steht zum Beispiel der Schutz von Kundendaten.

Cloud-Kunden sollten vor der Wahl eines Cloud-Dienstleisters trotz Werbung mit Zertifizierungen genau hinsehen, welche Kriterien das jeweilige Zertifikat voraussetzt und wer es vergeben hat – eine bekannte Institution oder etwa ein Interessenverband, von dem man bis dato kaum etwas gehört hat. Trotz alledem kann man als Unternehmen, das sich für einen zertifizierten Dienst entscheidet, halbwegs sicher sein, dass der Dienst wenigstens einige Mindestanforderungen in Bezug auf die Sicherheit erfüllt. Wenn ein Cloud-Dienst über kein Prüfsiegel verfügt, dann bedeutet das wiederum auch nicht, dass es sich um einen schlechten Dienst handelt.

Nach Einschätzung von Frank Türling präsentieren sich die guten und empfehlenswerten Public-Cloud-Anbieter bereits sehr positiv. Die Spreu sollte sich so also ganz gut vom Weizen trennen lassen.

Anstatt nur auf Prüfsiegel zu achten, lohnt es sich auch, sicherzustellen, dass ein Wechsel des Cloud-Anbieters jederzeit möglich ist. Denn echte Cloud-Standards gibt es nicht, vielmehr dominieren mehrere De-facto-Standards den Markt. Was aber, wenn ein Unternehmen seine Daten und Anwendungen wieder ins eigene Rechenzentrum zurückholen möchte? Oder wenn man den Anbieter wechseln will, weil ein anderer günstiger ist? Ein weiteres Szenario: Das Unternehmen plant die parallele Nutzung mehrerer Dienste – beim Anbieter A sollen Daten verarbeitet und dann in der Cloud des Anbieters B weiterverarbeitet werden. Jeder Cloud-Anbieter verwendet eigene Technologien. Vielfach sind die Dienste untereinander inkompatibel.

Frank Strecker empfiehlt Unternehmen, auf Cloud-Dienste zu setzen, die Open-Source-Architekturen wie OpenStack verwenden. Der größte Vorteil von Open Source: Man muss keinen Vendor-Lock-in fürchten, also die Abhängigkeit von einem Anbieter. Wenn beide Cloud-Anbieter – der aktuelle sowie der neue Dienstleister – zum Beispiel das Open-Source-Projekt OpenStack unterstützen, dann ist ein Wechsel meist jederzeit möglich. Sein Re­sü­mee: „Dank OpenStack hat jeder Anwender zu jeder Zeit die Option, seine Daten zwischen unterschiedlichen Providern zu bewegen, und bleibt so stets flexibel.“