Neue Schutzklassen für den Datenschutz in der Cloud

Die Trusted-Cloud-Initiative des Bundesministeriums für Wirtschaft und Energie (BMWi) hat auf der CeBIT erste Details aus dem Pilotprojekt “Datenschutz-Zertifizierung für Cloud-Dienste” vorgestellt. In dieser Arbeitsgruppe sind Sicherheitsexperten aus Industrie, Forschung und Datenschutzaufsichtsbehörden vertreten. Seit anderthalb Jahren arbeiten die Vertreter in dem Gremium einen Anforderungskatalog für Deutschland aus. Ziel dieser Ergänzung ist die Schaffung einer Grundlage einer datenschutzkonformen Zertifizierung. Diese soll Cloud- Anbieter hinsichtlich des Datenschutzniveaus vergleichbar machen und außerdem Rechtssicherheit im Hinblick auf Verpflichtungen nach den geltenden Datenschutzgesetzen sicherstellen.

Das Projekt steht unter der Leitung Georg Borges, Professor für Bürgerliches Recht, Rechtstheorie und -informatik an der Universität des Saarlandes. Im April will die Gruppe endgültig den detaillierten datenschutzrechtlichen Prüfkatalog in der finalen Fassung vorlegen.

Wie jetzt bekannt wurde wird der Anforderungskatalog Cloud-Angebote in drei Schutzklassen einteilen. Gerade die Auslagerung von personenbezogenen Daten ist rechtlich gesehen besonders heikel. Und Nutzer, die solche Daten verarbeiten, können Stand heute nur schwer einschätzen, wie gut diese Daten im Netz und im Rechenzentrum des Betreibers geschützt sind.

Der deutsche Datenschutz legt fest, dass Unbefugte die Daten nicht einsehen können dürfen. Der in der ISO/IEC-Norm 27018 festgelegte Standard für den Datenschutz in der Cloud gilt seit April 2014 und legt Mindestanforderungen für Cloud-Anbieter fest. Was in dieser Norm bislang jedoch fehlt, ist ein konkreter Anforderungskatalog, über den die angebotenen Dienste auf das Sicherheitsniveau geprüft und verschiedenen Sicherheitsstufen zugeordnet werden können.

Hier versuchen die Mitglieder der Trusted-Cloud-Initiative mit den drei unterschiedlichen Schutzklassen Unternehmen anhand des benötigten Schutzbedarfs für Daten und Anwendungen eine Orientierungshilfe zu bieten. Schnell soll auf diese Weise ein passender Anbieter identifiziert werden können. Das Zertifikat soll für den Anwender auch sicherstellen, dass die eigenen Compliance-Vorgaben auch vom Cloud-Dienstleister eingehalten werden.

Zusätzlich habe das Zertifikat auch Rechtsfolgen. Denn dadurch, dass ein Unternehmen einen Anbieter auswählt, der mit der für die Unternehmensdaten notwendigen Schutzklasse ausgezeichnet ist, erfülle das Unternehmen die vom Gesetz vorgeschriebenen Kontrollpflichten, heißt es von der Initiative.

Der Anforderungskatalog basiert auf den Umsetzungsempfehlungen der ISO/IEC 27018:2014 und weiteren Evaluationskriterien zur Erfüllung des Bundesdatenschutzgesetzes (BDSG).

Bei der dreiteiligen Einstufung werden nicht nur die funktionalen und nicht-funktionalen Merkmale der Infrastruktur, die zum Betrieb des Dienstes gehören, beachtet.

Die Schutzklassen I bis III im Überblick:

• Schutzklasse I: Der Dienstanbieter muss durch technische und organisatorische Maßnahmen, die dem Risiko angemessen sind, gewährleisten, dass die Daten nicht unbefugt verwendet, verändert oder gelöscht werden. Die Maßnahmen müssen so gestaltet sein, dass sie dies auch ausschließen, falls technische oder organisatorische Fehler geschehen, einschließlich von Bedienfehlern oder fahrlässiger Handlungen Dritter (Cloud-Nutzer, sonstige Dritte). Vorsätzliche Eingriffe müssen durch einen Mindestschutz erschwert werden.
• Schutzklasse II: Die Maßnahmen müssen auch technische oder organisatorische Fehler durch den Cloud-Anbieter und seine Mitarbeiter ausschließen. Außerdem sind die Daten so zu schützen, dass zu erwartende Eingriffe “hinreichend sicher” verhindert werden. Dazu gehört vor allem der Schutz gegen bekannte Angriffsszenarien.
• Schutzklasse III: Die zuvor genannten Maßnahmen müssen dem Stand der Technik entsprechen. Außerdem muss der Dienst in der Lage sein, Eingriffe oder auch Missbräuche festzustellen.
• Dienste, welche die Anforderungen der Schutzklasse I nicht erfüllen, sind der Schutzklasse 0 zuzuordnen. Höhere Anforderungen als die der Schutzklasse III beziehen sich auf eine vollständige Nachweisbarkeit der Vertrauenswürdigkeit aller verwendeten Komponenten und führen zur Schutzklasse “III+”.

Bei der Zertifizierung wird auch der Entstehungsprozess aus Sicht der Implementierung und aus Sicht des Einsatzes überprüft, und damit der gesamte Produktzyklus eines Cloud-Angebotes. Entscheidend ist zum einen für das Verfahren, dass fachlich geeignete und unabhängige Auditoren die Prüfung durchführen. Zum zweiten müsse die Zertifizierung auf der Grundlage allgemeiner, anerkannter Kriterien erfolgen, die für alle begutachteten Dienste gleichermaßen gelten.

“Bisher fehlte ein Werkzeug, um das Sicherheitsniveau der verschiedenen Cloud-Anbieter einordnen zu können. Im Projekt haben wir technikneutrale Kriterien für eine Einordung in Schutzklassen entwickelt”, erklärt Dr. Hubert Jäger, Mitarbeiter im Pilotprojekt und Geschäftsführer der Uniscon GmbH. “Denn als Maßstab für den Vergleich verschiedener Dienste genügt es nicht, wenn Cloud-Dienstanbieter selbst eine Risikoanalyse durchführen und dementsprechend mit ihrem Informations-Sicherheitsmanagement reagieren. Es ist vielmehr dringend notwendig, durch die Entwicklung von konkret nachprüfbaren Sicherheitsprofilen eine Orientierung zu geben, die einen Vergleich der Dienste nach Gesichtspunkten des Datenschutzes ermöglicht.”

Weitere Informationen zu den Cloud-Schutzklassen gibt es auf dem Messe-Auftritt auf der CeBIT 2015 am Stand des Müncher Cloud-Sicherheits-Spezialisten Uniscon in Halle 007, Stand B62.