Beim Schutz von Daten und Informationen in Cloud-Services sind verschiedene Ziele und Regulierungen zu beachten. Wir sprachen mit Mark Großer, Managing Consultant und Experte für Security & Compliance bei Detecon. Lesen Sie hier Teil 2 von 2 des Interviews. (Lesen Sie hier Teil 1)
Frage: Welche Sicherheitsfragen stellen sich im Zuge der Cloud-Implementierung?
Zunächst gewinnt in der Cloud ein guter, alter Bekannter, das Thema „Identity & Access Management“ wieder an Bedeutung. Also: 1. Wer bist du? Authentifiziere dich! Und 2.: Was darfst du? Welche Zugriffsrechte auf welche Informationen und Dokumente darfst Du haben? Wer (oder welches Regelwerk) entscheidet und kontrolliert dies?
All dies löst die Cloud nicht automatisch oder einfach, sondern es muss weiterhin präzise gesteuert und kontrolliert werden. Es gibt etwa oft Cloud-basierte Microservices, die beispielsweise in der Personalabteilung genutzt werden. Hier stellt sich etwa die Frage, welche der Mitarbeiter*innen dürfen Recruiting-Informationen sehen und welche Daten sind anderweitig schützenswert. Eine eigene „technologische Schicht“ in der Cloud sowie daneben die als Standard etablierten „Federation Services“, die sichere Anmeldungen für eigene und Cloud-basierte Benutzerverwaltungen orchestrieren sowie zudem App-basierte Authentifikationsverfahren erlauben insgesamt gute Zugriffskontrollen bei hoher Nutzerfreundlichkeit.
Ein Risiko sehe ich eher beim Nutzer selber: Wohl sind die Zugriffe auf Daten für Arbeitsgruppen, „Threads“ und alle Arten von Cloud-basierten Datenablagen kollaborationsorientiert (Link statt „Mail-Anhang“) und differenziert steuerbar. Aber wer stellt diese „Kollaboration“ genau ein, wer verantwortet (wem gehören) die Daten eigentlich? Jedenfalls in der Praxis kein zentraler Administrator anhand eines „Need-to-Know-Berechtigungskonzepts“. Bei klassischen Applikationen können Rollen vergeben werden, z. B. Leser*in, Bearbeiter*in, Administrator*in, welche auch über mehrere Applikationen hinweg zu Fachrollen gebündelt und gesteuert werden können. Cloud-Services starten hingegen schon durch bloße Anmeldungen in Online-Portalen, die nicht mehr nach Rollen ausdifferenziert werden können. Lizenzierungsfragen und Berechtigungskonzepte sind nun auf andere technische Umsetzungen anzupassen.
Aber: Sind Daten zentral gelagert und klar klassifiziert, so bieten Cloud-Services durchaus die Option, eine zentrale Benutzer- und Zugriffsteuerung auch technisch zu kontrollieren (Vertraulichkeit) und z.B. über Versionierung von Dateien die Integrität bzw. Nicht-Abstreitbarkeit von Bearbeitungsschritten nachvollziehbar zu gestalten.
Doch auch ohne Cloud gilt: Die Grundidee zu „Data Lakes“ und „Data Analytics“ bedeutet „Alle Daten in einem Topf“. Also ist die Steuerung der Zugriffsrechte gefragt, z.B. um als „vertraulich“ klassifizierte Informationen wirksam zu schützen – oder am Ende der Aufbewahrungsfrist gezielt und nachweislich zu löschen. Dies gilt unter Cloud-Bedingungen umso mehr.
Frage: Wie schützt man die Daten und Informationen in Cloud-Anwendungen richtig?
Welche Informationen sind warum und wie schützenswert? Die drei klassischen Schutzziele sind Vertraulichkeit, Verfügbarkeit und Integrität, letzteres also Korrektheit der Daten. Cloud-Services bergen zwar viele technische Vorteile, aber die Nachvollziehbarkeit und Kontrolle über den Schutz von Informationen müssen oftmals anders und komplexer gelöst werden.
Auch wenn ein hohes Maß an Sicherheit durch „Cloud Native Services“ erreicht werden kann: Eine ISO-27001-Zertifizierung ist nicht immer automatisch enthalten. Zertifizierte Informationssicherheit – wie auch Datenschutz und Compliance - erfordern ein komplettes Management-System. Dies umfasst Vorgaben, Prozesse, Ressourcen und Fähigkeiten / Know How sowie organisatorische und (nicht nur) technische Maßnahmen.
Zwingend ist daher erstmal eine Bestandsaufnahme. Hierzu gehört die Entwicklung einer Cloud-Strategie mit dem richtigen Mix und letztendlich eine Transformation mit Augenmaß. Ja, viele Standard-konforme Prozesse und technischen Maßnahmen sind „im Komplettpaket“ der Anbieter enthalten. Allerdings: Wer macht hier die Regeln, wer behält am Ende die reale Kontrolle? Es muss also an erster Stelle geklärt werden, was für das jeweilige Unternehmen wichtig ist – Sicherheit, Datenschutz und Compliance müssen dabei stetig gewährleistet und gesteuert werden. Die Verantwortung dafür kann nicht „qua Cloud“ outgesourced werden.
Frage: Wie können global agierende Unternehmen kontrollieren, ob ihre Datensicherung lokalen Regulierungen genügt?
Global gelten immer noch verschiedene Rechtssysteme, an denen wir nicht vorbeikommen. Nichtbeachtung kann dabei je Land verschiedenartig strafbewährt sein, also erhebliche Auswirkungen haben. Die jeweiligen Datenschutz-Niveaus sind relativ zueinander zu bewerten. Aus europäischer Sicht heißt das: Für personenbezogene Daten gilt der Maßstab der DSGVO für die „Drittlandübermittlung“, etwa in die USA, Indien oder China. Das zweistufige Prüfschema lautet: 1. Welche Rechtsgrundlage zur Datenverarbeitung liegt vor? 2. Ist die Verarbeitung zulässig im Sinne der DSGVO? Wir alle kennen die „Schrems II“-Diskussion, die darauf basiert. Die Fragen sollten geklärt sein, bevor ein Cloud-gestützter Global-Service, wie etwa die Remote Maintenance einer Maschine in China, in Frankreich oder in den USA angeboten wird.
Die Zulässigkeit (vgl. Artikel 44 ff DSGVO) zu prüfen bedeutet: Liegen ein Konformitätsbeschluss der EU-Kommission oder EU-Standardvertragsklauseln vor, oder bindende unternehmensinterne Datenschutzvorschriften? Leider sind auch die neuen, überarbeiteten EU-Standardvertragsklauseln für den Datenaustausch nicht eindeutig genug, um das Restrisiko (z.B. zivilrechtliche Klagen) eindeutig zu bestimmen. Sie könnten als „einfachere Form der DSGVO“ tituliert werden und beinhalten u.a. den Zwang, die EU-Gerichtsbarkeit anzuerkennen. Die gemeinsame Risikobewertung der an der Datenverarbeitung beteiligten Parteien ist verpflichtend und wird jedenfalls nicht einfacher als zuvor. Die formale Risikobewertung (Datenschutz-Folgeabschätzung) ist aus Sicht der betroffenen Person eine Pflichtübung. Für die technischen und organisatorischen Anforderungen sind neben der DSGVO weitere Marktstandards zu beachten, in Deutschland weiterhin etwa die Anforderungen des Kriterienkatalog Cloud Computing c5 vom Bundesamt für Informationssicherheit (BSI). Auf europäischer Ebene gibt die Agentur der EU für Cybersicherheit, ENISA, die Standards vor. Die Herausforderung besteht darin, all diese Aspekte auf die eigene Organisation, einbezogen den „technischen Stack“ inkl. Cloud und darin konsolidierte Daten zu betrachten und „unter einen Hut“ zu bekommen.
Frage: Klingt kompliziert. Welche Auswege gibt es denn?
Der Schutz der Informationen ist relevant aus Eigeninteresse (Geschäftskritische Daten, Geschäftsgeheimnisse) und aus rechtlicher Sicht (Datenschutz für personenbezogene Daten bis zum Geheimschutz aus nationaler Sicht). Daher ist eine Risikoanalyse immer angebracht, um die konkreten Informationen „at Risk“ und die Schutzbedarfe gegenüber diesen Anforderungen genau zu erfassen, um eine bewusste (und dokumentierte) Entscheidung für Cloud Services zu treffen. Prinzipiell können technische Lösungen, etwa die Verschlüsselung durch „Intermediär“-Verfahren und Pseudonymisierung von Daten helfen.
Eine zwischengeschaltete Instanz zwischen Cloud-Anbieter aus dem Ausland, etwa den USA, und Unternehmen („Verantwortliche“ der Datenverarbeitung im Sinne der DSGVO) im Inland, kann rechtliche Bedenken minimieren, aber leider im Widerspruch zur Schaffung von Security mittels „Native-Cloud-Lösungen“ stehen. Der Grad an eigener Kontrolle bedingt die eigene Verantwortung: Sind die eigenen Mails schon verschlüsselt, bevor sie in die Cloud kommen und hat der Anbieter NICHT den „Key“, so kann z.B. eine Malware nicht mehr über Cloud-Solutions identifiziert werden. Am Ende ist der Kunde dafür zuständig, die Sicherheitsrisiken aus der eigenen Datenverarbeitung zu minimieren. Die Vorteile: Der Zugriff etwa durch ausländische Behörden wird vermieden, die Integrität und Vertraulichkeit der Daten, z.B. für Geschäftsgeheimnisse wie Konstruktionspläne und patentrelevanter Daten, ist nach Stand der Technik gewährleistet. Mindestens anteilig sind damit aber Vorteile der Cloud-Lösung technisch nicht mehr realisierbar. Und: Die Verschlüsselungsverfahren selbst unterliegen der technologischen Entwicklung und sollten zukunftsfähig sein, also den Mindeststandards zu Verfahren und Verschlüsselungstiefe folgen. Die aktuellen Projekte zur Weiterentwicklung der Kryptografie, zielen auf neue Möglichkeiten in der Security, z.B. über Quantum Key Distribution.
Frage: Gibt es weitere Empfehlungen für den sicheren Schritt in die Cloud?
Grundsätzlich gilt es, die angesprochenen Herausforderungen nicht nur in einer Cloud, sondern zumeist im Zusammenspiel mit unterschiedlichen Cloud- und On-Premise-Technologien („über den gesamten Stack“), ggf. auch verschiedenen Anbietern, also in der sog. Multi-Cloud-Umgebung zu lösen. Und, nicht zu vergessen: Auch bei einem Anbieterwechsel, der immer Teil des Kalküls sein sollte. Die faktenbasierte, aktive Entscheidung zum angemessenen Schutz der Daten setzt eine dokumentierte Risikoanalyse und Folgeabschätzung voraus. Dies ist die Basis, auf der alle internen wie externen Beteiligten mit auf den Weg in die Cloud genommen werden können. Risikobasiert kann bedeuten: Anteile der Strategie sind Non-Cloud oder Private-Cloud-Lösungen. Für eine Sicherheit nach Stand der Technik müssen neben den Management-Systemen v.a. der Aufbau und Betrieb eines effizienten Security Operation Centers oder die Zusammenarbeit mit einem Dienstleister oben auf der Liste stehen. Nur so lässt sich mittels Monitoring bei Störungen oder bei sicherheits- bzw. datenschutzrelevanten Ereignissen schnell, informiert und gezielt entscheiden und handeln.
Keep Control: Schnelle, effiziente Cloud-Technologien erfordern auch schnelle, effiziente technische Kontrollmittel. Und – im oftmaligen Widerspruch zur gelebten Praxis - sollte die Cloud-Technologie oder -Plattform nicht zuerst entschieden sein, sondern eine Anforderungs- und Bedarfsanalyse auf Basis der Geschäftsstrategie, der IT-Strategie und ggf. weiterer Strategieelemente vorher erfolgen. Die rechtliche Verantwortung bleibt immer beim Kunden - also sollte die Governance soweit möglich auch! Alle real vorhandenen Technologien (und Verträge dazu) sind meist nicht pauschal und komplett in die Cloud zu migrieren – aber ein Großteil. Erst mit diesen Erkenntnissen wächst dann eine passgenaue Cloud-Strategie, die dann etwa die Modifikation, den Umzug oder den Neueinkauf von Cloud-gestützten Anwendungen beinhaltet. Sicherheit und Datenschutz nach „Stand der Technik“ ändern sich eben damit permanent. Deren Ausgestaltung sollte - wie jede unternehmerische Entscheidung - risikoorientiert und bewusst getroffen werden.
Vielen Dank für das Interview!
Das Interview führte Gerhard Auer.
The interview was conducted by Gerhard Auer.