SICHERHEITSANFORDERUNGEN UND -NACHWEISE BEI CLOUD-DIENSTEN - GRUNDLAGEN FÜR ÖFFENTLICHE AUFTRAGGEBER - BERICHTE DES NEGZ NR. 7
←
→
Transkription von Seiteninhalten
Wenn Ihr Browser die Seite nicht korrekt rendert, bitte, lesen Sie den Inhalt der Seite unten
BERICHTE DES NEGZ NR. 7 SICHERHEITSANFORDERUNGEN UND -NACHWEISE BEI CLOUD- DIENSTEN — GRUNDLAGEN FÜR ÖFFENTLICHE AUFTRAGGEBER Stefanie Köhl Heidrun Müller
Für einen modernen Staat Das Nationale E-Government Kompetenzzentrum vernetzt Experten aus Politik, Verwaltung, Wissenschaft und Wirtschaft und ist die zentrale, unabhängige Plattform für Staatsmodernisierung und Verwaltungs- transformation in Deutschland. Herausgegeben und gefördert vom Nationalen E-Government Kompetenzzentrum e. V. Berlin 2019
INHALT
Zusammenfassende Empfehlung 4
1. Arbeiten in der Cloud —
Realität, keine Zukunftsmusik?! 6
2. Einordnung: Cloud-Ansatz, Datenschutz
und Informationssicherheit 8
2.1 Cloud-Eigenschaften 8
2.2 Begriffsabgrenzung: Privacy, Informatiossicherheit und Datenschutz 10
2.3 Herausforderung: Umsetzung in der öffentlichen Verwaltung 12
3. Ausgewählte Standards für Sicherheit
im Cloud-Kontext 14
3.1 Begriffsklärung: Testat, Zertifizierung, Selbsteinschätzung 14
3.2 IT-Sicherheitsbezogene Konformität 15
3.2.1 Informationssicherheitsstandard ISO 27001 15
3.2.2 C5 – Cloud Computing Compliance Controls Catalogue des BSI 15
3.2.3 Trusted Cloud Kriterienkatalog 17
3.2.4 CCM – Cloud Controls Matrix der Cloud Security Alliance 17
3.2.5 EuroCloud StarAudit 18
3.3 Datenschutzbezogene Konformität 18
3.3.1 TCDP und Auditor der Stiftung Datenschutz 19
3.3.2 DSGVO Verhaltenskodex der Cloud Security Alliance 20
3.4 Zusammenfassende Betrachtung 20
4. Nutzung der Standards zur Anforderungs-
beschreibung und -überprüfung bei
Cloud-Diensten im öffentlichen Bereich 23
5. Fazit und Ausblick 27
Quellenverzeichnis 29
Abbildungsverzeichnis 33
Anhang: Entwicklung/Umsetzung von Cloud
in der deutschen öffentlichen Verwaltung 34
Impressum 38
Sicherheitsanforderungen und -nachweise bei Cloud-Diensten – Grundlagen für öffentliche Auftraggeber 3ZUSAMMENFASSENDE
EMPFEHLUNGEN
Das Ziel dieser Kurzstudie ist es, einen ein- die Anforderungen an IT-Sicherheit und
führenden Überblick über die gängigsten Datenschutz zu definieren, da sie sie
Sicherheitsstandards für Cloud-Dienste sehr dezidiert und genau die Mindestan-
zu geben und somit öffentlichen Insti- forderungen des BSI operationalisieren.
tutionen und Nicht-Experten im Bereich Wichtig ist, dass die wesentlichen Aspekte
IT- und Cloud-Sicherheit in die Lage zu genauestens formuliert sind und einen
versetzen, Anforderungen an eine Cloud- Nachweis der Erfüllung seitens des Cloud-
Lösung zu beschreiben, diese zu überprü- Anbieters ermöglichen.
fen und somit eine fundierte Entscheidung
für oder gegen eine bestimmte Cloud- Sollten mehrere Kriterienkataloge her-
Lösung zu treffen. Denn Cloud-Systeme angezogen werden, sind die einzelnen
bieten eine neue und ressourcensparende Kriterien voneinander abzugrenzen bzw.
Form der IT-Bereitstellung, erfordern aber zu matchen. Denn die meisten Kataloge
auch eine neuartige IT-Steuerung und ver- decken zum größten Teil identische
ändern bzw. erhöhen ggf. die Anforde- Aspekte ab, sind aber unter Umständen
rungen an Sicherheit, weil eine neuartige anders formuliert. Hier kann es sinnvoll
Komplexität und Verantwortungsketten sein, die Unterstützung des IT-Dienst-
entstehen. Eine der größten Herausforde- leisters zu nutzen und sich selbst zu
rungen, um Cloud Computing im öffentli- informieren, um ein besseres Gefühl für
chen Sektor voranzutreiben, ist die sichere das Thema zu bekommen. Nur so können
und datenschutzrechtlich konforme Ver- informierte Entscheidungen getroffen
arbeitung von personenbezogenen Daten. werden.
Die wesentlichen Erkenntnisse und Liegen entsprechende Angebote von
Empfehlungen der Kurzstudie lauten: möglichen Cloud-Anbietern vor, sind die
Angebote miteinander zu vergleichen
Die Landschaft der existierenden (de und vor allem zu überprüfen, ob und
facto) Standards zu IT-Sicherheit und wie die definierten Anforderungen, ins-
Datenschutz bei Cloud-Diensten ist kom- besondere bzgl. der Sicherheit, jeweils
plex. Zertifikate bieten zwar Orientie- erfüllt werden. Ein Weg ist, auf die vom
rung, sind jedoch schwer zu beurteilen, Anbieter ausgewiesenen Zertifizierungen
da eine allgemein anerkannte Basis-Linie und Testate zu vertrauen.
für Sicherheit im Cloud Computing noch
nicht existiert. In aller Regel kann man sich als Anwender
auf Zertifikate verlassen, weil diese meist
Die vom BSI formulierten Mindestanfor- von unabhängigen und akkreditierten
derungen lenken zwar den Blick auf wich- Dritten ausgestellt werden. D ennoch
tige Aspekte bei Sicherheit in der Cloud, wird Kommunen und öffentlichen
sind allerdings für eine Leistungs- und Verwaltungen dringend geraten, auch
Anforderungsbeschreibung zu vage und den Prüfbericht zu lesen oder zumindest
abstrakt, da sie auf einer oberen Ebene sich über den genauen Gegenstand und
bleiben und nicht spezifiziert werden. Umfang der Zertifizierung umfassend zu
informieren, um diesen mit den eigenen
Die in der Kurzstudie beschriebenen Anforderungen abzugleichen.
Kriterienkataloge können dazu dienen,
4 Berichte des NEGZDie zunehmend an Bedeutung gewin- Entwicklung dringend erforderlich, um
nenden Selbsterklärungen auf Basis von auch die Abhängigkeit von IT-Anbietern
anerkannten Verhaltenskodizes sollten und -Beratern von vornherein zu verrin-
kein Misstrauen wecken. Sie bilden die gern. Nur so kann die dringend erforder-
Einstiegsstufe des Nachweises, den man liche Konsolidierung insbesondere der
häufig bei kleineren Anbietern findet, da kommunalen IT erreicht werden.
Zertifizierungen durch Dritte teuer und
aufwändig ist. Um diesen Kompetenzaufbau zu unter-
stützen, sollten in einem nächsten Schritt
Der Weg zu einer Auftraggeberkompe- die zahlreichen Anforderungen konsoli-
tenz führt über die Auseinandersetzung diert und anwendergerecht operationa-
mit entsprechenden Anforderungen an IT- lisiert werden. Auf diesem Weg werden
Sicherheit und Datenschutz in der Cloud, öffentliche Verwaltungen und Kommunen
welche nicht nur für die Auftragsvergabe, besser als bisher in die Lage versetzt, die
sondern auch für die spätere Steuerung Prüfung der Sicherheitsanforderungen
des Dienstleisters notwendig ist. möglichst selbstständig vorzunehmen.
Diese Auftraggeberkompetenz im Bereich Schlagworte: Cloud, Cloudsicherheit,
Cloud und Cloud-Sicherheit ist vor dem DSGVO Compliance, Anforderungen,
Hintergrund der weiteren technischen Zertifizierung
Sicherheitsanforderungen und -nachweise bei Cloud-Diensten – Grundlagen für öffentliche Auftraggeber 51. ARBEITEN IN DER CLOUD —
REALITÄT, KEINE ZUKUNFTS-
MUSIK?!
Die IT-Nutzung in der öffentlichen Verwal- Wirtschaftsentwicklung können so kom-
tung der letzten Jahre ist vor allem durch plett IT-unterstützt ein vollständiges Leis-
zwei Trends gekennzeichnet: Mobiles bzw. tungsangebot vor Ort anbieten.
verteiltes Arbeiten sowie Konsolidierung
bzw. Modernisierung der IT-Infrastruk- Die Nutzung mobiler Geräte, wie Tablet
tur. Der Trend der IT-Konsolidierung wird Geräte oder Smartphones, setzt sich
vor allem angestoßen von den Anforde- insbesondere auf kommunaler Ebene
rungen, moderne Arbeitsprozesse und zunehmend durch, um z.B. Distanzen in
Leistungen zu entwickeln sowie trotz großen Landkreisen besser überbrücken
schrumpfender Ressourcen im Personal- zu können. Dieser Einsatz erfolgt häufig,
bereich (weiterhin) eine sichere und leis- ohne dass Konzepte und Regelungen für
tungsfähige IT- Infrastruktur mit hoher eine sichere Datenhaltung bzw. Bereitstel-
Verfügbarkeit von Daten zu gewährleis- lung von Daten entwickelt wurden, bzw.
ten. Die Konsolidierung betrifft nicht nur nutzen die Beschäftigten private Geräte
die Reduzierung des Fachverfahrens- mit den darauf verfügbaren Apps bzw.
portfolios und damit der Komplexität für Cloud-Diensten, wie Dropbox und Goo-
den operativen Betrieb, sondern auch gle Drive, zum Austausch und zur Ablage
die Erneuerung und Bereitstellung von von Dateien. Ebenso werden Dienste „as
Hardware und Basis-Anwendungen für a Service“ wie Videokonferenzsysteme
Arbeitsplätze, auch an verteilten Stand- und Chat-Programme, z.B. Skype oder
orten. Aus diesem Grund sind Cloud- WhatsApp, verwendet, um sich mit Kol-
Dienste für öffentliche Verwaltungen legen einfach und schnell austauschen
attraktiv, da die Kosten und Aufwände zu können. Damit sind Daten der öffentli-
für IT-Infrastruktur und zugehörigem chen Verwaltung (zumindest kurzfristig)
Endbenutzersupport bedeutend verrin- auf Speichersystemen in den USA bzw.
gert werden können. Auch für öffentliche bei US-amerikanischen Unternehmen
IT-Dienstleister mit ihren Rechenzentren abgelegt, die möglicherweise US-Behör-
bieten Cloud-Technologien die Möglich- den Zugang zu Daten gewähren müs-
keit, Ressourcen zu konsolidieren sowie sen, selbst wenn die Daten im EU-Raum
besser zu steuern und damit ihren Kun- gespeichert wurden.1
denkommunen und -behörden schnell und
unkompliziert anforderungsgerecht Ser- Die Empirie zeigt es deutlich: Die
vices und Applikationen bereitzustellen. Cloud ist im Einsatz – bewusst oder
Zusätzlich zu den Kosteneinsparungen unbewusst, gesteuert oder ungesteu-
lässt sich durch Cloud Computing auch ert, ganz einfach, weil es funktioniert.
die Qualität von IT-Leistungen steigern: Diese Entwicklung gilt es, auch vor dem
Services können schnell und unkompli- Hintergrund der erhöhten Sicherheitsan-
ziert an veränderte Mengenanforderun- forderungen zukünftig besser zu steuern.
gen angepasst und durch neue Versionen Cloud-Systeme bieten eine neue und res-
ersetzt werden. Auch kleinere Kommu- sourcensparende Form der IT-Bereitstel-
nen mit rückläufiger Bevölkerungs- und lung, erfordern aber auch eine neuartige
1 z.B. auf Basis des CLOUD Act (Clarifying Lawful Overseas Use of Data Act), https://www.congress.
gov/bill/115th-congress/house-bill/4943 (letzter Zugriff: 15.03.2019)
6 Berichte des NEGZIT-Steuerung und verändern bzw. erhö- an Verständnis und Wissen herzustellen,
hen ggf. die Anforderungen an Sicherheit, welche Mindestanforderungen zu erfül-
weil eine neuartige Komplexität und Ver- len sind, um eine Beschaffungsentschei-
antwortungsketten entstehen. Eine der dung treffen zu können. Daher ist es das
größten Herausforderungen, um Cloud Ziel dieser Kurzstudie, einen einführenden
Computing im öffentlichen Sektor voran- Überblick über die gängigsten Sicherheits-
zutreiben, ist u.a. die sichere und daten- standards für Cloud-Dienste zu geben und
schutzrechtlich konforme Verarbeitung öffentlichen Institutionen damit Richtlinien
von personenbezogenen Daten. Es sind an die Hand zu geben, auf welche Aspekte
zahlreiche Cloud-Lösungen am Markt bei der Cloud-Nutzung zu achten ist. Ins-
vorhanden, auch öffentliche IT-Dienst- besondere geht es darum, Kommunen
leister bieten solche an. Dennoch ist es in die Lage zu versetzen, Anforderungen
für Entscheidungsträger, auch in den an eine Cloud-Lösungen zu beschrei-
IT-Bereichen, oft schwierig zu beurteilen, ben und besser beurteilen zu können, ob
ob diese Lösungen den Anforderungen ein Cloud-Anbieter diese Anforderungen
entsprechen. Standards und Zertifizie- erfüllt. Dazu werden in der Kurzstudie
rungen bieten eine Orientierung, sind zunächst der Cloud-Ansatz beschrieben
jedoch schwer zu beurteilen, da sie häu- sowie ein grundlegendes Verständnis von
fig aus dem ausländischen Raum stam- Informationssicherheit und Datenschutz
men bzw. auf Selbstregulierung basieren, geschaffen. Anschließend werden wesent-
was dem deutschen Rechtsverständnis liche Standards zur Konformität mit Infor-
eher fremd ist. mationssicherheit und Datenschutz kurz
beschrieben. Im Ergebnis werden Hinweise
Die Landschaft der existierenden (de abgeleitet, die Nicht-Experten im Bereich
facto) Standards zu IT-Sicherheit und IT- und Cloud-Sicherheit in die Lage ver-
Cloud-Diensten ist komplex, vielfältig setzen sollen, Anforderungen an eine
und von Intransparenz und Unverständ- Cloud-Lösung zu beschreiben, diese zu
lichkeit geprägt. Dabei ist es notwendig, überprüfen und somit eine fundierte Ent-
für Entscheider, die in der Regel keine scheidung für oder gegen eine bestimmte
Experten sind, ein angemessenes Maß Cloud-Lösung zu treffen.
Sicherheitsanforderungen und -nachweise bei Cloud-Diensten – Grundlagen für öffentliche Auftraggeber 72. EINORDNUNG: CLOUD-
ANSATZ, DATENSCHUTZ UND
INFORMATIONSSICHERHEIT
HINTERGRUND
Die Cloud hat spezifische Eigenschaften, Rechenleistung, Speicherplatz), Plattfor-
woraus sich differenzierte Bereitstellungs- men und Software“.2 Diese weltweit ver-
modelle und Servicetypen ergeben, die breitete Definition v erweist gleichzeitig
im folgenden Abschnitt kurz beschrieben auf die konstituierenden Eigenschaften3,
werden. Dabei muss auch immer Sicherheit wodurch sich die Technologie von einer
gewährleistet werden, was bei der Cloud „normalen“ Auslagerung von IT-Aufga-
schwieriger ist als bei S
ystemen, die phy- ben bzw. den Bezug von IT-Services und
sisch „im Haus“ stehen. Damit Cloud funk- -Produkten unterscheidet, z.B. über ein
tioniert, sind Konzepte für IT-Sicherheit kommunales Gebietsrechenzentrum per
erforderlich, auch Informationssicherheits- Überlassungsvertrag.4 So können Nutzer
managementsysteme (ISMS) genannt, netzwerkbasiert über Standardtechnolo-
sowie insbesondere für den öffentlichen gien (NetzwerkbasierterReal-Zugang),
Sektor auch ein angemessener Daten- z.B. Internet oder Virtual Private Networks
schutz zu gewährleisten, idealerweise mit (VPN), automatisiert und selbstständig,
einem Datenschutzmanagementsystem d.h. ohne menschliche Interaktion auf
(DSMS). Aufgrund begrifflicher Unschär- Anbieterseite, auf IT-Ressourcen zugrei-
fen werden Informationssicherheit und fen (Automatische Diensterbringung auf
Datenschutz kurz erläutert. Anforderung). Diese Ressourcen sind so
konfiguriert, dass eine parallele Leistungs-
erbringung für viele Kunden möglich ist
2.1 Cloud-Eigenschaften (Ressourcenpooling) und sie dynamisch
an die Bedürfnisse der Kunden angepasst
„Cloud Computing bezeichnet das dyna- werden können, wodurch der Benutzer
misch an den Bedarf angepasste Anbieten, innerhalb eines gering bemessenen Zeit-
Nutzen und Abrechnen von IT-Dienstleis- rahmens Zugriff auf unendlich erschei-
tungen über ein Netz. Angebot und Nut- nende Ressourcen erhält (Elastizität).
zung dieser Dienstleistungen erfolgen Monitoring- und Messfunktionen erlau-
dabei ausschließlich über definierte tech- ben eine automatisierte optimierte
nische Schnittstellen und Protokolle. Die Ressourcennutzung und Validierung
Spannbreite der im Rahmen von Cloud der Servicequalität durch den Nutzer
Computing angebotenen Dienstleistun- (Messbare Dienstequalität). Der Kunde
gen umfasst das komplette Spektrum bezahlt nur für die R
essourcen, die tatsäch-
der Informationstechnik und beinhal- lich genutzt w
erden, wobei auch Flatrate-
tet unter anderem Infrastruktur (z.B. Modelle üblich sind (Pay-per-use).
2 BSI o.J.
3 vgl. NIST 2011, S. 2.
4 vgl. z.B. KGSt 2018, S. 6.
8 Berichte des NEGZInfokasten: Bedeutung der
konstituierenden Eigenschaften
Bedeutung der konstituierenden Eigenschaften aus der Perspektive einer der Cloud aus kommunaler Sicht
Kommune bzw. öffentlichen Institution
Automatische Diensterbringung auf Anforderung: Keine langwiergen Vergabe-
verfahren für neue Services, insb. Infrastruktur, Middleware, Sicherheitsgeprüft
Netzwerkbasierter Real-Zugang: Schneller und standardisierter Zugriff von
Arbeitsplätzen etc. auf Fachverfahren und Daten → keine eigenverantwortli-
chen Updates mit Teststellungen etc. mehr erforderlich; keine Sonderverfahren
mit proprietären Schnittstellen
Ressourcenpooling: Problematisch im Hinblick auf Anforderungen des Daten-
schutzes und der Sicherheit der öffentlichen IT → ggf. über entsprechende
technische Vorkehrungen und Nachweise der Anbieter lösbar
Schnelle Elastizität: Schnelle Aufstockung von Ressourcen, z.B. zum Aus-
tausch großer Datenmengen, oder zum Anschluss neuer Arbeitsplätze nach
Fusion
Messbare Dienstequalität: Nachverfolgbarkeit der Datenverarbeitung und
damit Transparenz für die Datenschutz- und IT-Sicherheitsanforderungen
Pay-per-Use: Ressourcen müssen nicht mehr vorgehalten und kosten- und
personalbindend gepflegt werden
Über die „Cloud“ können verschiedene bestimmte Leistungen Cloud-Technolo-
Arten von Services bezogen werden, gien gar nicht bzw. nur bestimmte Bereit-
die typischerweise in drei Ebenen ein- stellungsmodelle in Frage kommen. Bei
geteilt werden: Software-, Platform- und den Bereitstellungsmodellen werden grob
Infrastructure-„as a Service“. Software drei Modelle sowie ein Kombinationsmo-
as-a-Service (SaaS) bietet Zugang zu dell unterschieden.5 Jedes der Modelle
Anwendungen, wie CRM-Systeme, über birgt jedoch Herausforderungen für die
Platform-as-a-Service (PaaS) werden öffentliche Verwaltung, auf die über-
Entwicklungs- und Laufzeitumgebun- blicksartig eingegangen wird.
den bereitgestellt für die Bereitstellung
und Ausführung eigener Anwendungen. •• Öffentliche Clouds sind die bekanntes-
Infrastructure-as-a-service (IaaS) sind ten Modelle, da v.a. im persönlichen All-
virtualisierte Rechnerressourcen, Spei- tag verwendet Vertragsabschlüsse und
cher etc. Dabei nehmen die Eingriffs- und die Dienstenutzung laufen weitgehend
Steuerungsmöglichkeiten für verwen- automatisiert ab. Datensicherheit wird
dete jeweils darunterliegende Ressour- in öffentlichen Clouds zum Problem,
cen typischerweise ab. Diese reduzierten Nutzer sollten über umfassende Kon-
Eingriffs- und Sanktionsmöglichkeiten zepte und Sicherungsmechanismen
könnten für den öffentlichen Sektor ein hinsichtlich der Auslagerung schützens-
zu großes Risiko darstellen, so dass für werter Daten „in die Cloud“ verfügen.
5 Vgl. auch im Folgenden: Deussen/Strick/Peters 2010, S. 15f.
Sicherheitsanforderungen und -nachweise bei Cloud-Diensten – Grundlagen für öffentliche Auftraggeber 9•• Bei einer privaten Cloud, bei der sich Vorteil für die öffentlichen Kunden ist,
Anbieter und Nutzer in derselben dass sie standardisierte Services, wie
Organisation befinden, sind Aspekte Fachverfahren, Middleware und Speicher,
hinsichtlich Datensicherheit und aus einer öffentlichen Sektor spezifischen
-schutz weniger zu beachten. Ob mit Cloud beziehen, die den Datenschutz- und
einer privaten Cloud die Potenziale Geheimnisschutzanforderungen entspre-
der Cloud-Technologien hinsichtlich chen, ohne Ressourcen für den operativen
Ressourceneffizienz und -ersparnis IT-Betrieb vorhalten zu müssen.
gehoben werden können, ist genau
zu prüfen. •• Bei Hybrid-Clouds als Kombinations-
modell werden private bzw. Commu-
•• Bei einer Community-Cloud schlie- nity-Cloud mit öffentlichen Clouds
ßen sich mehrere Anbieter zusam- bei Bedarf verbunden, z.B. um Last-
men, um für einen bestimmten Kun- spitzen und Ausfallzeiten abzufan-
denkreis unter Berücksichtigung von gen. Das Kombinationsmodell ist v.a.
dessen spezifischen Anforderungen auch datenschutzrechtlich besonders
Leistungen anzubieten. Bezogen auf problematisch, da das Beziehungsge-
den öffentlichen Sektor könnte dies flecht zwischen Auftraggebern und
bedeuten, dass sich verschiedene Anbietern sehr komplex werden kann.
öffentliche IT-Dienstleister zusam-
menschließen und Cloud-Leistungen Folgende Grafik fasst die Eigenschaften
über alle Servicemodelle bereitstellen. der Cloud noch einmal zusammen:
Abbildung 1: Cloud im Überblick
Automatische (eigene Darstellung, in
Netzwerkbasierter Messbare Konsti‐
Schnelle Elastizität Diensterbringung Anlehnung an CSA 2017,
Real‐Zugang Dienstequalität tuierende
auf Anforderung Deussen/Peters/Strick 2010)
Eigen‐
Ressourcenpooling Pay‐per‐use schaften
Software as a Service Platform as a Service Infrastructure as a Service‐
(SaaS) (PaaS) Service (IaaS) Modelle
Private Öffentliche Hybrid‐ Bereit‐
Community‐
Cloud Cloud Cloud Cloud stellungs‐
modelle
2.2 Begriffsabgrenzung: Kundenverfahren personenbezogene
Privacy, Informationssicherheit Daten.6 Dabei fällt in der Diskussion auf,
und Datenschutz dass eine begriffliche Unschärfe besteht,
wenn es darum geht, Privacy, Informa-
Das kommunale IT-Umfeld ist von tionssicherheit und Datenschutz vonei-
hohen Anforderungen an Datenschutz nander abzugrenzen. Folgende Tabelle
und IT-Sicherheit geprägt, so verarbei- gibt einen Überblick über das Schutzziel,
teten nach einer Untersuchung von den Schutzbereich, mögliche Gefahren
Dataport 2014 über 90 Prozent der und den Fokus der Konzepte.
6 vgl. Meints 2014.
10 Berichte des NEGZTabelle 1: Abgrenzung Privacy,
Datenschutz,
Privacy Informations- Informationssicherheit
(„Privatsphäre“) Datenschutz sicherheit
Schutzziel •• Grundrecht •• Verarbeitung •• Vorkehrungen für
•• Schutz des personenbezoge- die Sicherheit von
Individuums vor ner Daten Hard- und Soft-
dem Staat bzw. •• Individuen ent- ware
vor Dritten durch scheiden selbst •• Missbrauch von
den Staat über Verwendung Daten verhindern
•• Bezieht sich auf der Daten
persönliche
Sphäre, wie
persönliche
Kommunikation
und „persönliches
Territorium“
Geschützt Natürliche Personen Natürliche Personen Hardware, Software,
werden Daten, Dokumente
Gefahr Physische und Verletzung der Verlust, Zerstörung
durch anderen Eingriff Persönlichkeits- und Missbrauch
rechte durch Unbefugte
Fokus Einzelne Person Einzelne Person Organisationen
Privacy und Datenschutz weisen konzeptio- Derzeit wird auf EU-Ebene die so genannte
nell-inhaltlich große Überschneidungen auf, ePrivacy-Verordnung (offiziell: Regulation
sind aber nicht synonym. Der Begriff bzw. of the European Parliament and of the
das dahinterstehende Konzept „Privacy“, Council concerning the respect for private
wie es in der Diskussion um Datenschutz life and the protection of personal data
etc. verwendet wird, kommt aus dem in electronic communications) erarbei-
angloamerikanischen Kultur- und Rechts- tet, welche die Privatsphäre von Bürgern
raum und wird dort als „Right to be let online stärken und den Datenschutz inten-
alone“ verstanden.7 Vor diesem Hintergrund siver regulieren soll. Die ePrivacy-Verord-
wird Datenschutz als ein Teil des Schutzes nung soll die veraltete ePrivacy-Richtlinie
der Privatsphäre verstanden.8 Eine univer- ersetzen und die Datenschutz-Grundver-
sell und weltweit geltende Definition gibt ordnung flankieren.
es nicht. Daher entstehen die Unschärfen
bei der Übersetzung und der Verwendung.
7 Glancy 1979, S. 3.
8 vgl. die Zusammenfassung unter: https://www.heise.de/tp/features/Vom-Menschenrecht-in-Ruhe-
gelassen-zu-werden-3451029.html (letzter Zugriff, 29.03.2019)
Sicherheitsanforderungen und -nachweise bei Cloud-Diensten – Grundlagen für öffentliche Auftraggeber 112.3 Herausforderung: bezogen werden können: Jede dieser
Umsetzung in der öffentlichen „Cloud-Ketten“ hat Vor- und Nachteile.11
Verwaltung Im ersten Model bezieht eine Kommune
direkt Cloud-Services von einem kom-
Akteure in einer Cloud sind grundsätzlich merziellen Anbieter, wählt diesen also
cloud user/customer (Nutzer/Kunden9) selbständig nach bestimmten Kriterien
und cloud service provider (CSP, Cloud- aus und schließt einen Vertrag über die
Dienste-Anbieter10). Ein Nutzer/Kunde Nutzung ab. Dieses Nutzungsmodell
bezieht Leistungen aus der „Cloud“, die werden wahrscheinlich eher größere
ein CSP anbietet und liefert. Aus Sicht von Kommunen wählen, wenn der Anbieter
Kommunen als Nutzer gibt es folgende Anforderungen der IT-Sicherheit nach-
„Ketten“, wie Leistungen aus der Cloud weisen kann.
Abbildung 2: Nutzungsmodelle
Kommerzieller Verantwortlicher von Cloud im kommunalen
Bereich (Quelle: KGSt 2018, S.
Cloud Service
20)
Provider (CSP) Verarbeiter
Kommerzieller Verantwortlicher
Öffentlicher IT‐
Cloud Service
Dienstleister
Provider (CSP) Verarbeiter
Öffentliche(r) IT‐ Verantwortlicher
Dienstleister als
CSP Verarbeiter
Beim zweiten Modell agiert ein öffent- Im dritten Modell treten ein oder meh-
licher IT-Dienstleister als „Mittler“ zwi- rere öffentliche IT-Dienstleister gemein-
schen einer Kommune und einem oder sam als Cloud-Dienstleister auf, bilden
mehreren öffentlichen oder privaten eine Community Cloud und bieten darü-
CSPs und beraten die Kommune in Bezug ber Leistungen für Kommunen an.
darauf, ob eine Lösung oder ein Anbieter
geeignet sind. Genauso gut können sie Um Kommunen und öffentliche Verwal-
als Mittler selbst Leistungen von öffentli- tungen auf dem Weg in die Cloud zu
chen/privaten CSPs und stellen sie Kom- unterstützen, hat das Fraunhofer Institut
munen zur Verfügung. In beiden Fällen FOKUS mit dem Papier „Fahrplan in die
stellen sie mit ihrer Expertise sicher, Cloud“ bereits im Jahr 2014 ein Stufenmo-
dass die Services den Anforderungen an dell mit fünf wesentlichen Schritte entwi-
Sicherheit und Datenschutz entsprechen. ckelt.12 Bei Auslagerung/Verlagerung auf
9 Cloud-Kunde („Herr der Daten“) ist Verantwortlicher gemäß Art. 28 DSGVO, Regelfall: Cloud Computing =
Auftragsverarbeitung gemäß Art. 28 DSGVO
10 CSP kann folgende Rollen haben: Verantwortlicher, gemeinsam Verantwortlicher, Auftragsverarbeiter,
Unterauftragsverarbeiter gemäß DSGVO. Diese Rollen können bei jeder angebotenen Leistung variieren.
11 Modelle in Anlehnung an KGSt 2018, S. 20.
12 Die fünf wesentlichen Schritte sind: (1) Bedarfsanalyse, (2) Risikoanalyse, (3) Wahl des Ausschreibungs
verfahrens, (4) Auftragsvergabe, (5) Migration), weitere Informationen siehe Deussen et al. 2014, S. 21ff.
12 Berichte des NEGZLieferanten (CSP) werden die verwende- Daten und Prozesse haben ein gleicher-
ten IT-Ressourcen oft von Unterauftrag- maßen hohes Schutzniveau. Der Betrieb
nehmern betrieben, deren Provenienz einer öffentlich zugänglichen Webseite,
dem Kunden nicht transparent ist. Sol- die allgemeine Bürgerinformationen zur
che Probleme dürfen bei der Risikoana- Verfügung stellt, wird anders zu bewerten
lyse nicht unbeachtet bleiben. Wichtig zu sein als die Speicherung von personen-
betonen ist, dass bei Auslagerung/Ver- bezogenen Daten. Je höher der Schutz-
lagerung auf Lieferanten die auftragge- bedarf der zu verarbeitenden Daten ist,
bende Organisation die Verantwortung desto höher ist der Bedarf an direkter
für die Aufgabenerfüllung als Ganzes Kontrolle der Verarbeitung durch den
behält. Schadenfälle schlagen auf jeden Dateneigentümer.
Fall auf die Organisation durch (geringste
Schadensstufe „nur Imageschaden“). Es Mit Ausnahme der privaten Cloud sind
stellt sich also zunächst die Frage, ob man für alle Bereitstellungsmodelle bezogen
als auftraggebende Organisation über- auf die Sicherheit und Steuerung u.a. fol-
haupt Unterauftragnehmer zulässt. Falls gende Aspekte zu berücksichtigen und
ja, könnte man dem Lieferanten aufgeben, in eine Risikoabwägung einzubeziehen,
seine Unterauftragnehmer zu benennen um zu entscheiden, ob die „Cloud“ geeig-
und sicherzustellen, dass alle vertragli- net ist. Die Steuerung erfolgt über Ver-
chen Vorgaben durchgereicht werden, träge, z.B. Service Level Agreements.
d.h. die gesamte Kette muss über ver- Zudem ist das IT-Sourcing so auszurich-
bindliche Vorgaben verfügen, die im Ein- ten, dass kein Lock-In-Effekt entsteht,
klang mit der L ieferantenvereinbarung damit immer Zugriff auf IT-Services und
stehen. Diesbezüglich sollte der primäre Daten besteht, selbst wenn ein Anbieter
Auftragnehmer nachweispflichtig sein. bestimmte Services nicht mehr anbie-
Besteht die Tätigkeit in der Lieferung tet. Hinsichtlich des Zugriffs auf Leis-
von IT-Produkten, so kann es erforder- tungen und Services sollte zu jeder Zeit
lich werden, einen Herkunftsnachweis ein sicherer Zugang gewährleistet sein
zu bekommen bzw. entsprechende Ein- und Daten verschlüsselt sein, so dass ein
schränkungen vorzugeben. Anbieter niemals auf Daten eines Kunden
zugreifen kann. Gleichzeitig müssen die
In der Kurzstudie konzentrieren wir uns Ressourcen eines Anbieters so ausgelegt
auf den Aspekt der Sicherheit und Kon- sein, dass ein schnelles Up-Scaling mög-
formität mit geltenden datenschutzrecht- lich ist, ohne dass vereinbarte Sicherheits-
lichen Regelungen sowie Anforderungen mechanismen verletzt werden. Aufgrund
an die IT-Sicherheit. Bei der Entschei- der Spezifität der Cloud- Technologien
dung für oder gegen eine Cloud-Lösung können Kunden eines Cloud Service
ist insbesondere der Schutzbedarf der Providers (CSP) (Cloud-DiensteAnbieter)
im Rahmen der bereitgestellten Services die Sicherheitsmechanismen kaum mehr
verarbeiteten Daten zu berücksichtigen13. „durch eigene Anschauung“ überprüfen.
Grundsätzlich gilt: „es gibt keine absolute Vielmehr sind neue Formen und Mecha-
Sicherheit“ und „erhöhte Sicherheit ver- nismen erforderlich, wie Zertifizierungen
ursacht erhöhte Kosten“. Doch nicht alle und Qualitätssiegel.
13 vgl. im Folgenden Arbeitsgemeinschaft der Leiter der Landesrechenzentren 2014, S. 7.
Sicherheitsanforderungen und -nachweise bei Cloud-Diensten – Grundlagen für öffentliche Auftraggeber 133 AUSGEWÄHLTE
STANDARDS FÜR SICHERHEIT
IM CLOUD-KONTEXT
Die Kommunale Gemeinschaftsstelle für bestätigt ein Wirtschaftsprüfer, dass
Verwaltungsmanagement (KGSt) weist Jahresabschluss und Buchführung den
darauf hin, dass Cloud-Anbieter ent- gesetzlichen Vorschriften entsprechen
sprechende Zertifizierungen vorweisen und dass der Lagebericht keine falschen
sollten, welche eine angemessene Infor- Vorstellungen von der Lage der Unter-
mationssicherheit bestätigen, die dem nehmung erweckt.15 Da sich die Überprü-
Niveau des Vertragsgegenstands gerecht fungen von Wirtschaftsprüfern auch auf
wird14. Daher werden im weiteren Ver- digitale Systeme, z.B. für die so genann-
lauf wichtige Prüfstandards in Bezug auf ten internen Kontrollsysteme (IKS),
Cloud-Sicherheit und Datenschutz dar- erstrecken, wurde diese Form des Kon-
gestellt. Die Auswahl erfolgte nach Ver- formitätsnachweises auch für Cloud-
breitungsgrad und u.a. Berücksichtigung Systeme als geeignet ausgewiesen.
bei Aufsichts- bzw. Sicherheitsbehör-
den, wie dem Bundesamt für Sicherheit Zertifizierung: Eine Zertifizierung ist
in der Informationstechnik (BSI). Ergeb- eine Sonderform der Konformitätsbewer-
nis der Anwendung dieser Prüfstandards tung.16 Der Begriff Konformität beschreibt
sind Nachweise verschiedener Arten, die dabei eine Überprüfung der Erfüllung
vorab näher definiert werden. definierter Anforderungen, die an ein
Produkt, ein System, einen Prozess oder
auch an Personen gestellt werden. Eine
3.1 Begriffsklärung: Konformitätsbewertung kann beispiels-
Testat, Zertifizierung, Selbst- weise durch eine Herstellererklärung
einschätzung oder eine unabhängige Zertifizierungs-
stelle erfolgen. Das Deutsche Institut für
Auch wenn umgangssprachlich häufig Normung DIN definiert Zertifizierung wie
von Zertifizierung und Prüfsiegeln gespro- folgt: „Maßnahme durch einen unparteii-
chen wird, bestehen Unterschiede zwi- schen Dritten, die aufzeigt, dass ein ange-
schen den Nachweisarten. Eine saubere messenes Vertrauen besteht, dass ein
Abgrenzung ist wichtig, da die Prüfergeb- ordnungsgemäß bezeichnetes Erzeug-
nisse je nach Art des Reports eine unter- nis, Verfahren oder eine o rdnungsgemäß
schiedliche Aussagekraft aufweisen. Im bezeichnete Dienstleistung in Über-
Folgenden werden die wichtigsten drei einstimmung mit einer bestimmten
Nachweistypen kurz beschrieben. Norm oder einem bestimmten anderen
normativen Dokument ist.“17 Damit ist die
Testat: Ein Testat als Nachweis wird von Herstellererklärung nicht ausreichend für
Wirtschaftsprüfern vergeben. Dabei einen Nachweis der Konformität.
14 vgl. KGSt 2018, S. 15.
15 vgl. Beeck, o.J.
16 vgl. DIN/ISO o.J.
17 vgl. DIN KonRat 2013.
14 Berichte des NEGZSelbsteinschätzung: Während die bei- Verbesserung ihrer Informationssicher-
den ersten Formen jeweils den Einbezug heit. Cloud-Dienste fallen unter die so
eines unabhängigen Dritten erfordern, um genannten Lieferantenbeziehungen, die
die Konformität mit Anforderungen nach- in Control A 15 geregelt sind.20 Gemäß der
weisen, ist auch eine Selbsteinschätzung Norm behält die auftraggebende Organi-
zunehmend verbreitet, die sich jedoch sation bei Auslagerung/Verlagerung auf
von der „einfachen“ Herstellererklärung Lieferanten bzw. Unterauftragnehmern,
unterscheidet. Hierbei überprüfen die d.h. auf CSP, die Verantwortung für die
Unternehmen selbst anhand eines Prüf- Aufgabenerfüllung als Ganzes. Schaden-
katalogs, der z.B. von einer Branchenorga- fälle schlagen auf jeden Fall auf die Orga-
nisation entwickelt wurde, ob sie konform nisation durch (geringste Schadensstufe
mit anerkannten Prüfkriterien sind. Die „nur Imageschaden“).
Selbstbewertungen werden dann von
den Branchenorganisationen veröffent- Zwar existiert für Cloud Services die
licht und können von jedem Interessier- Norm ISO 27018, die jedoch eine sepa-
ten eingesehen werden.18 Zum Nachweis rate Zertifizierung der CSP nach ISO nicht
der Konformität bzw. der veröffentlichten vorsieht21. Eine Zertifizierung eines Unter-
Selbstbewertung werden häufig Siegel nehmens wird auf der Basis von ISO/IEC
oder andere Kennzeichnungen wie Trust 27001 in Umsetzung der ISO/IEC 27018
Marks vergeben. vorgenommen. Daher nutzen viele Cloud
Anbieter die umfassende Zertifizierung
nach ISO 27001. Unternehmen erhalten als
3.2 IT-Sicherheitsbezogene Nachweis der Erfüllung aller Anforderun-
Konformität gen ein Zertifikat von akkreditierten Insti-
tutionen (bspw. TÜV).
Insgesamt mangelt es in der Branche
nicht an Sicherheitsempfehlungen, Stan-
dards und Zertifikaten19. Die Standards 3.2.2 C5 – Cloud Computing
weisen auch trotz unterschiedlicher Blick- Compliance Controls Cata-
winkel auf die Cloud-Sicherheit eine hohe logue des BSI
inhaltliche Übereinstimmung auf. Eine all-
gemein anerkannte Basis-Linie für Sicher- Der Anforderungskatalog (C5) zur Beurtei-
heit im Cloud Computing existiert aber lung der Informationssicherheit von
noch nicht. Die Gängigsten werden im Cloud-Diensten bestimmt eine Basislinie
Folgenden näher beschrieben. für Cloud-Sicherheit. D.h. es wird festge-
legt, welche Anforderungen die Cloud-An-
bieter erfüllen müssen bzw. auf welche
3.2.1 Informationssicherheits- Anforderungen der Cloud-Anbieter min-
standard ISO 27001 destens verpflichtet werden sollte.
Bei der ISO 27001 handelt es sich um die Ziel ist es, für potenzielle Cloud-Kunden
international führende Norm für Infor- Transparenz zu ermöglichen, ob gesetz-
mationssicherheits-Managementsysteme liche Vorschriften (wie z.B. Datenschutz),
(ISMS). Sie bietet Organisationen aller die eigenen Richtlinien oder auch die
Art und Größe klare Leitlinien für die Pla- Gefährdungslage bezüglich Wirtschafts-
nung, Umsetzung, Überwachung und spionage die Nutzung des jeweiligen
18 beispielhaft siehe Microsoft CSA STAR Selbstbewertung: https://www.microsoft.com/de-de/TrustCenter/
Compliance/csa-self-assessment (letzter Zugriff, 15.03.2019)
19 Eine umfassende Übersicht bietet Trusted Cloud 2016.
20 Kersten et al. 2016, S. 183ff.
21 vgl. ISO/IEC o.J.
Sicherheitsanforderungen und -nachweise bei Cloud-Diensten – Grundlagen für öffentliche Auftraggeber 15Cloud-Dienstes als geeignet erschei- Ermittlungs- und Offenbarungspflich-
nen lassen. Der Anforderungskatalog22 ten gegenüber staatlichen Stellen und
richtet sich in erster Linie an professio- enthalten eine Systembeschreibung.
nelle Cloud-Diensteanbieter, deren P rüfer Die so geschaffene Transparenz erlaubt
und Kunden. es potenziellen Cloud-Kunden zu ent-
scheiden, ob gesetzliche Vorschrif-
Der Katalog ist in 17 thematische Berei- ten (wie z.B. Datenschutz), die eigenen
che (z.B. Organisation der Informationssi- Richtlinien oder auch die Gefährdungs-
cherheit, Physische Sicherheit) unterteilt. lage bezüglich Wirtschaftsspionage die
Dabei bedient sich das BSI bei anerkann- Nutzung des jeweiligen Cloud-Dienstes
ten Sicherheitsstandards wie ISO/IEC als geeignet erscheinen lassen.
27001, der Cloud Controls Matrix der
Cloud Security Alliance sowie Veröffent- Der Anforderungskatalog (C5) wurde
lichungen des Bundesamts für Sicher- vom Bundesamt für Sicherheit in der
heit in der Informationstechnik (BSI) Informationstechnik (BSI) entwickelt und
und übernimmt ggf. deren Anforderun- kostenlos bereitgestellt.
gen. Diese wurden, wenn als notwendig
erachtet, weiter konkretisiert. Existier- Der Nachweis, dass ein Cloud-Anbieter
ten keine Anforderungen aus anderen die Anforderungen des Katalogs einhält
Standards, wurden neue erstellt. Neben und die Aussagen zur Transparenz kor-
diesen Basis-Anforderungen enthält der rekt sind, wird durch einen so genann-
Katalog auch weitergehende Anforde- ten SOC 2 -Bericht erbracht. Dieser
rungen, die entweder besonders die Ver- basiert auf dem international anerkann-
traulichkeit oder die Verfügbarkeit oder ten Testierungsregime der ISAE 3000,
beides zugleich adressieren. Zusätzlich das von Wirtschaftsprüfern verwendet
wurde der Anforderungskatalog auf die wird.23 Damit erhält der überprüfte CSP
oben genannten Standards referenziert, ein Testat über eine anerkannte Wirt-
um einen schnellen Überblick darüber zu schaftsprüfungsgesellschaft, was in der
geben, wo die Anforderungen des Kata- Regel mit erheblichem finanziellen Auf-
loges in anderen Standards zu finden wand für das zu prüfende Unterneh-
sind und ob die Anforderungen über die men einhergeht. Insbesondere kleinere
anderen Standards hinaus gehen oder und mittlere Unternehmen scheuen den
nicht. Ein Unterschied zu anderen Sicher- Aufwand24 und es gibt kein öffentliches
heitsstandards sind die sogenannten Register, welche Unternehmen ein sol-
Umfeldparameter. Sie geben Auskunft ches Testat haben. Das BSI informiert
über Datenlokation, Diensterbringung, lediglich per Pressemitteilung, wem ein
Gerichtsstandort, Zertifizierungen und C5-Testat erteilt wurde.
22 BSI 2017.
23 In einem SOC-Report geht es um interne Kontrollen in Bezug auf Sicherheit, Verfügbarkeit, Integrität und
Vertraulichkeit (Datenschutz) der verarbeiteten Daten und Prozesse. Es findet eine Beurteilung und
Berichterstattung zum Kontrolldesign im Hinblick auf die Angemessenheit der Definition der Ziele und
der zugehörigen Kontrollen zu einem bestimmten Zeitpunkt statt (Typ I). Eine Prüfung nach Typ II (SOC
2) prüft darüber hinaus auch noch die Wirksamkeit der eingerichteten Kontrollen und beinhaltet die
Testszenarien und das Ergebnis dieser Tests im Bericht – in der Regel für das zurückliegende Jahr. ISAE
ist ein international anerkannter Wirtschaftsprüferstandard, der von den nationalen Organisationen
übernommen wird.
24 Gemäß der Umsetzungshinweise des BSI zur Nutzung externer Cloud-Dienste kann der Nachweis der
C5-Konformität durch geprüfte Partner beigebracht werden. Dies ermöglicht die Teilnahme an
Ausschreibungen der öffentlichen Verwaltung, in denen ausdrücklich ein C5-Testat gefordert wird, ohne
ein solches Testat zu haben.
16 Berichte des NEGZ3.2.3 Trusted Cloud Kriterien- von Dienstleistern bereitgestellt27. Mit den
katalog Zertifizierungsanbietern Zeker-OnLine
(Niederlande) und Label Cloud (Frank-
Der Trusted-Cloud-Kriterienkatalog25 für reich) besteht eine Zusammenarbeit.28
Cloud Services definiert die Mindestan-
forderungen, die ein Cloud Service zur
Erlangung des Trusted-Cloud-Labels und 3.2.4 CCM – Cloud Controls
damit für die Listung auf dem Trusted Matrix der Cloud Security
Cloud-Portal erfüllen muss. Der Kata- Alliance
log ist speziell vor dem Hintergrund der
Bedarfe von Anwendern im Hinblick auf Ziel der Cloud Controls Matrix (CCM) ist
Transparenz, Sicherheit, Qualität und
es, grundlegende Sicherheitsprinzipien
Rechtskonformität von Cloud-Diensten bereitzustellen, die Cloud-Anbieter lei-
entwickelt worden. ten und potenzielle Cloud-Kunden bei
der Evaluierung von Sicherheitsmaßnah-
Der Kriterienkatalog ist öffentlich zu- men von Cloud-Anbietern unterstützen.
gänglich und gliedert sich in die Abschnitte
Anbieter, Service, Subunternehmer/ Als Rahmen bietet die CCM die erforder-
Rechenzentren, Zertifikate, Vertrag, Sicher-
liche Struktur, Detaillierung und Klarheit
heit, Datenschutz/Compliance, operative in Bezug auf Informationssicherheit, die
Prozesse, Interoperabilität/Portabilität und
auf die Cloud-Branche zugeschnitten ist.
Architektur. Entspricht ein Anbieter den Die CCM gliedert sich in 16 sicherheitsre-
Anforderungen erhält er das Label „Trus- levante Bereiche wie Anwendungssicher-
ted Cloud für vertrauenswürdige Cloud heit, Identitäts- und Zugriffsmanagement
Services“. oder Betrieb von Rechenzentren. Auch
mehrere Branchenstandards, Regulie-
Träger des Labels ist der Verein „Kom- rungsvorschriften und andere rechtli-
petenznetzwerk Trusted Cloud e.V.“, der che Rahmen29 werden berücksichtigt, die
aus dem gleichnamigen Technologie- Unternehmen beachten müssen.30 Die
programm des Bundesministeriums für CCM stärkt bestehende Informations-
Wirtschaft und Energie (BMWi) hervor- sicherheitskontrollumgebungen, indem
gegangen ist26. Der Verein wird weiter- die Anforderungen an die Kontrolle der
hin gefördert durch das BMWi. Über die Geschäftsinformationssicherheit betont,
Vergabe des Labels und die Listung von konsistente Sicherheitsbedrohungen und
Cloud Services entscheidet der unabhän- -schwachstellen in der Cloud reduziert
gig besetzte Trusted-Cloud-Beirat. Der- und identifiziert, standardisiertes Sicher-
zeit sind zehn Dienstleister und 16 Cloud heits- und operatives Risikomanage-
Services gelistet. Mit zunehmender Digi- ment bietet und darauf abzielt, die in
talisierung kommen auch Anbieter von der Cloud implementierten Sicherheits-
Beratungsdienstleistungen im Cloud- erwartungen, Cloud-Taxonomie und
Umfeld, wie Systemhäuser, stärker in den -Terminologie sowie Sicherheitsmaß-
Fokus. Um auch hier Transparenz für die nahmen zu harmonisieren. Die CCM ist
Anwender herzustellen, wird ein Directory Teil einer Sammlung von Standards für
25 siehe Trusted Cloud 2016a.
26 vgl. Trusted Cloud, o.J.
27 vgl. Trusted Cloud 2017.
28 vgl. Dosch/Karlstetter 2017.
29 etwa ISO 27001/27002, PCI DSS (Standard u.a. für Kreditkartendaten), HIPAA (U.S. Health Insurance
Portability and Accountability Act, d.h. für Gesundheitsdaten) oder COBIT (international anerkannter
Rahmen zur IT-Governance).
30 CSA 2013.
Sicherheitsanforderungen und -nachweise bei Cloud-Diensten – Grundlagen für öffentliche Auftraggeber 17Cloud-Computing mit der Bezeichnung StarAudit bewertet Cloud-Dienste
GRC-Stack31. Zu dessen Werkzeugen zäh- anhand eines klar definierten Kriterien-
len CloudAudit, das Cloud Trust Protocol katalogs und evaluiert sämtliche Teilneh-
und der Consensus Assessments Initiative mer an der spezifischen Lieferkette eines
Questionnaire (CAIQ), ein Katalog von Cloud-Dienstes, so dass keine separaten,
Fragen zum Thema Sicherheit, die Kun- i.d.R. kostenintensiven, Audits aller an der
den Cloud-Providern stellen können. Die Lieferkette beteiligten Teilnehmer erfor-
CCM steht kostenlos zum Download zur derlich sind. Die Dienste werden nach
Verfügung.32 ihrem Reife- und Compliancegrad ver-
glichen und transparent gemacht. Im
Die CCM wurde von der Cloud Security Ergebnis erhält ein Unternehmen eine
Alliance (CSA) entwickelt. Die Cloud Zertifizierung.
Security Alliance (CSA) wurde in den USA
von Cloud-Anbietern gegründet, mit dem EuroCloud ist eine europäische Non-
Ziel, Expertise für eine sichere Nutzung Profit-Vereinigung von IT-Unternehmen,
von Technologien zu bündeln. Mitglieder Anwaltsfirmen und Wirtschaftsprüfungs-
sind u.a. AWS, Microsoft und Google. Seit organisationen mit nationalen Verbän-
Herbst 2018 gibt es eine Europazentrale den. Die nationalen Verbände, wie die
in Berlin. EuroCloud Deutschland_eco e.V.33, über-
wachen die Zertifizierung. Das Zertifikat
Als Nachweis, dass die Anforderungen gilt dann für den gesamten europäischen
aus der CCM erfüllt sind, gibt es drei Stu- Verband.
fen. Die Stufe 1 ist die Selbsteinschätzung
und ist kostenlos für die Unternehmen.
Das Ergebnis der Selbsteinschätzung 3.3 Datenschutzbezogene
wird dann im Internet im so genannten Konformität
Security, Trust & Assurance Registry ver-
öffentlicht, das CSA zusammen mit British Mit Inkrafttreten der DSGVO sind die bis-
Standards Institution (BSI) 2013 aufge- her in Deutschland existierenden Sche-
setzt hat. Stufe 2 bedeutet die Konfor- mata/Kriterienkataloge zum Nachweis
mitätsbewertung durch eine dritte Partei. der Datenschutzkonformität nicht mehr
Hierfür wird die Prüfung, ob Unterneh- anwendbar, da sie auf dem alten BDSG
men die CCM- Anforderungen e rfüllen, basieren, so dass auch die entsprechen-
entweder in die Zertifizierung nach den Siegel und Zertifikate nicht mehr
ISO/IEC 27001 integriert oder in die „Wirt- vergeben werden dürfen. Auch bei der
schaftsprüferwelt“ mit SOC 2 etc. Stufe DSGVO bleibt der Eigentümer der Daten,
3 bedeutet ein kontinuierliches Monito- d.h. der Cloud-Kunde, Verantwortlicher
ring und umfasst alle Maßnahmen der (Art. 28 DSGVO) und muss daher sicher-
vorherigen Stufen. stellen, dass dem Schutzbedarf angemes-
sene Schutzmechanismen bereitgestellt
werden. Gleichzeitig wurde eine gemein-
3.2.5 EuroCloud StarAudit same Verantwortung für jeden an der
„Lieferkette“ Beteiligten geschaffen (Art.
Zweck des StarAudit-Kriterienkatalogs ist 26 DSGVO), wofür entsprechende Struk-
es, eine nachvollziehbare Qualitätsbewer- turen, aber auch vertragliche Vereinba-
tung von Cloud-Diensten zu ermöglichen rungen erforderlich sind. Dabei gilt, je
und so das Vertrauen von Kunden und höher der potenzielle Schaden durch
Nutzern von Cloud-Diensten zu stärken. einen Sicherheitsvorfall, desto genauer
31 GRC Stack = Governance, Risk Management and Compliance Stack soll Cloudkunden dabei unterstützen,
zu bewerten, wie Cloud Service-Anbieter (CSP) den branchenüblichen Best Practices und Standards
folgen und Complianceanforderungen erfüllen.
32 CSA o.J.
33 EuroCloud o.J.; StarAudit o.J.
18 Berichte des NEGZmüssen in einem Vertrag die Haftung des Zertifizierungsprozesses bildet die
und die geschuldete Sicherheitsleistung Prüfung der technischen und organi-
beschrieben sein. satorischen Maßnahmen beim Cloud-
Anbieter. Dabei wird etwa geprüft, ob
Als Nachweis der Compliance ist in der die IT-Systeme des Cloud-Anbieters aus-
DSGVO eine datenschutzspezifische Zer- reichenden Schutz vor unberechtigtem
tifizierung vorgesehen (Art. 42 DSGVO) Zugriff bieten und ob die Integrität und
Zertifikate dürfen gemäß Art. 42 Abs. 5 Wiederherstellbarkeit von Daten etwa bei
DSGVO nur von den Aufsichtsbehörden Stromausfällen und Naturkatastrophen
oder akkreditierten Zertifizierungsstellen sichergestellt sind. Das Schema verweist
ausgestellt werden. Derzeit liegen jedoch häufig auf ISO-Standards. D.h. es verwei-
die Kriterien für die Zertifizierung, um den sen fast alle TCDP-Nummern auf controls
Anforderungen an Compliance zu genü- von ISO/IEC 27002, ISO/IEC 27017 oder
gen, noch nicht vor. Die Datenschutz- ISO/IEC 27018.35 Anders als die flexiblen
aufsichtsbehörden arbeiten daran, diese ISO-Standards sind jedoch alle Verweise
festzulegen.34 Als weitere Form der Kon- in den Anforderungen und den Umset-
formitätsfeststellung dienen sogenannte zungsempfehlungen des TCDP als zwin-
genehmigte Verhaltensregeln (Code of gende Voraussetzungen zu betrachten.
Conducts) gemäß Art. 40 DSGVO, von
denen zwei ausgewählte im Folgenden Der TCDP wurde von der Bundesstiftung
kurz beschrieben werden. Datenschutz entwickelt und mit Mitteln
des BMWI gefördert und steht kosten-
los zur freien Verfügung36. Der Stan-
3.3.1 TCDP und Auditor der dard für die Datenschutz-Zertifizierung
Stiftung Datenschutz von Cloud-Diensten nach der DSGVO
TCDP wird im Rahmen des derzeit lau-
Das Trusted Cloud-Datenschutzprofil fenden Forschungsprojekt AUDITOR37 bis
(„TCDP“) ist ein deutscher Prüfstandard Oktober 2019 entwickelt. Ziel des For-
für die Datenschutz-Zertifizierung von schungsprojekts ist die Konzeptionie-
Cloud-Diensten. Durch Inkrafttreten der rung, exemplarische Umsetzung und
DSGVO wurde es notwendig, den Stan- Erprobung einer nachhaltig anwendba-
dard entsprechend den Anforderungen ren EU-weiten Datenschutzzertifizierung
der DSGVO anzupassen. Er wird z.T. als von Cloud-Diensten.
DSGVO TCDP bezeichnet und ist noch
nicht veröffentlicht.
Das Schema beschreibt datenschutzrecht- (DSGVO) TCDP erfordert eine Prüfung
liche Anforderungen der Cloud-Anbieter, und Bewertung der datenschutzrechtli-
nicht der Cloud-Nutzer. Adressiert werden chen Anforderungen durch unabhängige
vorrangig die Voraussetzungen der Auf- und zertifizierte Prüf- und Zertifizierungs-
tragsdatenverarbeitung, die in der DSGVO stellen. Wie üblich erhebt dabei die Prüf-
und im neuen Bundesdatenschutzgesetz stelle die zur Zertifizierung notwendigen
(BDSG neu) festgelegt sind. Geprüft wird Informationen selbst beim Anbieter oder
zunächst der Inhalt der Verträge zwi- anhand von dessen Dokumentation. Diese
schen dem Betreiber des Cloud-Dienstes Informationen werden dann von der Zer-
und dem Cloud-Nutzer. Den Schwerpunkt tifizierungsstelle ausgewertet. Sind die
34 Müller/Strick/Köhl 2018.
35 Die ISO-Normen gehören zur „27000-Familie“ und spezifizieren einzelne Systeme im Bereich IT. So
befasst sich bspw. die ISO/IEC 27018 mit Cloud-Technologien.
36 Trusted Cloud 2016b; https://tcdp.de/index.php/ueber-uns.
37 Auditor o.J.
Sicherheitsanforderungen und -nachweise bei Cloud-Diensten – Grundlagen für öffentliche Auftraggeber 19Anforderungen erfüllt, erhält der Anbie- zogene Daten an die Datensubjekte
ter für den geprüften Cloud-Dienst das und Transfer von persönlichen Daten
TCDP-Zertifikat, um dies auch gegenüber in Drittländer.
Dritten nachzuweisen. Eine Anerkennung
eines DSGVO TCDP-Zertifikats nach Art. Darüber hinaus enthält der CSA-Verhal-
42 Abs. 5 DSGVO ist angestrebt. tenskodex für die Einhaltung der DSGVO
Mechanismen, die es der in Artikel 41
Absatz 1 der DSGVO genannten Stelle
3.3.2 DSGVO Verhaltenskodex ermöglichen, eine obligatorische Überwa-
der Cloud Security Alliance chung der Einhaltung durch die für die
Anwendung Verantwortlichen oder Ver-
Der CSA-Verhaltenskodex (Code of arbeiter durchzuführen, unbeschadet der
Conduct for GDPR Compliance) für Aufgaben und Befugnisse der zuständi-
die Einhaltung der DSGVO gibt Cloud- gen Aufsichtsbehörden gemäß den Arti-
Serviceprovidern (CSP), Cloud-Kunden keln 55 oder 56 der DSGVO.
und potenziellen Kunden Leitlinien an
die Hand, damit sie den Verpflichtungen Der DSGVO Verhaltenskodex steht online
in Zusammenhang mit der europäischen zur freien Verfügung.38 Die CSA hat zwei
Datenschutz-Grundverordnung (DSGVO) Ansätze zur Einhaltung ihres Verhaltens-
nachkommen können. kodex definiert: Ein Self Assessment (der-
zeit verfügbar) und eine auditbasierte
Der CSA-Verhaltenskodex für die Einhal- Zertifizierung durch Dritte (derzeit in
tung der DSGVO spezifiziert die Anwen- Bearbeitung). Bei Erfüllung aller Anfor-
dung der DSGVO in der Cloud-Umgebung, derungen kann die Konformität mit einer
vor allem in Bezug auf die folgenden so genannten Trustmark bestätigt wer-
Kategorien: den. Die Ergebnisse werden in der Public
Registry der CSA veröffentlicht.
•• Faire und transparente Verarbeitung
persönlicher Daten;
3.4 Zusammenfassende
•• Daten, die der Öffentlichkeit und den Betrachtung
Datensubjekten zur Verfügung gestellt
werden (gemäß Definition in Artikel 4 Mit Ausnahme des C5 Standards des BSI
(1) der DSGVO); wurden alle Standards und Prüfsche-
mata aus der Industrie heraus entwickelt.
•• Ausübung der Rechte von Daten- Dabei hat der ISO-Standard, der unter
subjekten; Beteiligung von Marktteilnehmern ent-
wickelt wurde, in der Wahrnehmung auf-
•• Maßnahmen und Verfahren gemäß den grund des Normungsprozesses bzw. des
Artikeln 24 und 25 der DSGVO sowie dahinterliegenden Abstimmungsmecha-
Maßnahmen zur Gewährleistung der nismus gesetzesähnlichen Charakter. Die
Verarbeitungssicherheit gemäß Artikel Standards beziehen sich in der Regel auf
32 der DSGVO; die gleichen Prüfbereiche; C5 bezieht sich
ausdrücklich auf andere Industrie-Stan-
•• Meldung von Verstößen gegen per- dards und hat diese einbezogen. Eine
sonenbezogene Daten an die Auf- Verbindlichkeit dieser Branchenstan-
sichtsbehörden (im Sinne des Arti- dards und damit das Vertrauen in diese
kels 4 (21) der DSGVO) und Mitteilung wird über eine „Prüf-/Zertifizierungskette“
solcher Verstöße gegen personenbe- erreicht, d.h. die Einbeziehung Dritter in
38 siehe https://gdpr.cloudsecurityalliance.org/resource/csa-code-of-conduct-for-gdpr-compliance/ (letzter
Zugriff 15.03.2019)
20 Berichte des NEGZSie können auch lesen
