fokus: Informationssicherheitskultur fokus: Rechtliche Stolpersteine bei «BYOD» report: Datenschutzaufsicht über Spitäler

Transkript

1 12. Jahrgang, Heft 4, Dezember 2012 Schwerpunkt: Faktor Mensch fokus: Informationssicherheitskultur fokus: Rechtliche Stolpersteine bei «BYOD» report: Datenschutzaufsicht über Spitäler Herausgegeben von Bruno Baeriswyl Beat Rudin Bernhard M. Hämmerli Rainer J. Schweizer Günter Karjoth

2 inhalt fokus Schwerpunkt: Faktor Mensch auftakt Mitmachgesellschaft oder Partizipation? von Otfried Jarren Seite 145 Den Faktor Mensch miteinbeziehen von Bernhard M. Hämmerli Seite 148 Informationssicherheitskultur von Thomas Schlienger Seite 150 Loyalität im «Nomad Age» von Marcus Beyer Seite 154 Rechtliche Stolpersteine bei «BYOD» von Mark A. Reutter / Samuel Klaus Seite 160 Vom Büro zur neuen Arbeitswelt von Monika Josi Seite 166 Der Heilige Gral der Informationssicherheit von Matthew Smith / Marian Harbach / Sascha Fahl Seite 170 Nur befähigte, verantwortungsbewusste und loyale Mitarbeitende sind in der Lage, sich sicher zu verhalten. Mit einem gezielten Prozess kann erfolgreich eine geeignete Informationssicherheitskultur aufgebaut werden, die das ermöglicht. Wie kann eine solche Informationssicherheitskultur gemessen, geplant und gesteuert werden? Bei den Mitarbeitenden ein «Grundrauschen» zum Thema Informationssicherheit zu erreichen, ist keine grosse Herausforderung mehr. Doch welche Rolle kommt dabei den Führungskräften zu? Loyalität wird zum Motor für eine aktive und gelebte Sicherheitskultur. «Bring Your Own Device» wirft verschiedene arbeits- und datenschutzrechtliche Fragen auf. Arbeitgeber, welche die Nutzung privater Geräte wie Laptops oder Smartphones zulassen, sollten vorgängig diese Fragen klar regeln. Informationssicherheitskultur Loyalität im «Nomad Age» Rechtliche Stolpersteine bei «BYOD» IT-Sicherheits- und Privatsphäremechanismen sind nur effektiv, wenn sie vom Menschen verstanden und korrekt angewendet werden. Der Mensch muss deshalb als integraler Teil eines soziotechnischen Systems begriffen und in die Entwicklung von anwenderfreundlichen Sicherheitsmechanismen einbezogen werden. Usable Security impressum digma: Zeitschrift für Datenrecht und Informationssicherheit, ISSN: , Website: Herausgeber: Dr. iur. Bruno Baeriswyl, Dr. iur. Beat Rudin, Prof. Dr. Bernhard M. Hämmerli, Prof. Dr. iur. Rainer J. Schweizer, Dr. Günter Karjoth Redaktion: Dr. iur. Bruno Baeriswyl und Dr. iur. Beat Rudin Rubrikenredaktorin: Dr. iur. Sandra Husi-Stämpfli Zustelladresse: Redaktion digma, c/o Stiftung für Datenschutz und Informationssicherheit, Postfach 205, CH-4010 Basel Tel. +41 (0) , redaktion@digma.info Erscheinungsplan: jeweils im März, Juni, September und Dezember Abonnementspreise: Jahresabo Schweiz: CHF , Jahresabo Ausland: Euro (inkl. Versandspesen), Einzelheft: CHF Anzeigenmarketing: Publicitas Publimag AG, Mürtschenstrasse 39, Postfach, CH-8010 Zürich Tel. +41 (0) , Fax +41 (0) , service.zh@publimag.ch Herstellung: Schulthess Juristische Medien AG, Arbenzstrasse 20, Postfach, CH-8034 Zürich Verlag und Abonnementsverwaltung: Schulthess Juristische Medien AG, Zwingliplatz 2, Postfach, CH-8022 Zürich Tel. +41 (0) , Fax +41 (0) , zs.verlag@schulthess.com 146 digma

3 Seit Januar 2012 erfüllen Spitäler im Bereich der Grundversicherung öffentliche Versorgungsaufgaben im Auftrag der Kantone. Auch die Privatspitäler, die im Rahmen kantonaler Leistungsaufträge tätig sind, unterstehen deshalb dem kantonalen Datenschutzrecht und folglich der Aufsicht durch die kantonalen Datenschutzbeauftragten. Datenschutzaufsicht über Spitäler Erkennung neuer Schadprogramme Computersysteme sehen sich immer neuen Cyber-Bedrohungen ausgesetzt. Bevor Computersysteme jedoch effizient vor solchen Bedrohungen geschützt werden können, müssen diese zunächst erkannt und analysiert werden. Um dies zu erreichen, leisten sogenannte Honeypots einen wertvollen Beitrag. report Neue Spitalfinanzierung Datenschutzaufsicht über Spitäler von Bernhard Rütsche Seite 176 agenda Seite 181 Forschung Erkennung neuer Schadprogramme von Jan Gassen / Elmar Gerhards-Padilla Seite 182 transfer Cloud Computing: Chancen und Risiken von Roland Portmann Seite 186 Aus den Datenschutzbehörden Sicherheitslücke Wer ist neu zur Datenschutzbeauftragten gewählt worden? Welche Themen haben Datenschutzbehörden im letzten Quartal bearbeitet? Die neue Unterrubrik berichtet über Personelles und Aktuelles aus der Datenschutzszene. Sie suchen die Lösung, um die letzte Sicherheitslücke zu beseitigen? Unser Cartoonist stellt sie vor. forum Privatim Aus den Datenschutzbehörden von Sandra Husi-Stämpfli Seite 188 privatim Resolution verabschiedet am Herbstplenum von privatim Seite 191 schlusstakt Man muss Menschen mögen von Beat Rudin Seite 192 cartoon von Reto Fontana digma

4 report Transfer Cloud Computing: Chancen und Risiken Roland Portmann, Prof., Dozent für IT-Security, Hochschule Luzern Technik & Architektur, externer Fachexperte bei ISO/ IEC Zertifizierungen hslu.ch Für viele IT-Abteilungen ist Cloud Computing immer noch etwas «Unsicheres», im professionellen Umfeld «Unbrauchbares» und nicht «Beherrschbares». Da überrascht die Aussage der Gartner Group, dass im Jahr 2009 für das Cloud Computing der Übergang von der Hype-Phase in die Phase des Mainstream-Einsatzes stattfand (< m/it/page.jsp?id= >). Gemäss der Gartner Group wird das Cloud Computing durch fünf Merkmale ausgezeichnet: n Service-basiert: Der Cloud Provider bietet ein klar definiertes und standardisiertes Service Interface an, das sich an den Bedürfnissen des Kunden orientiert. Der Kunde kümmert sich nicht um die Implementation des Service, sondern kann sich auf die klar definierten Qualitätsmerkmale des Service verlassen. n Skalierbarkeit und Elastizität: Die zur Verfügung stehende Leistung orientiert sich an der konkret vom Kunden benötigten Leistung. Eine Leistungserhöhung ist jederzeit problemlos möglich. Viele Provider bieten eine elastische Zuordnung der Leistung an, so dass die zur Verfügung stehenden Ressourcen automatisch dem Bedarf angepasst werden. n Geteilte Infrastrukturen: Die Services bestehen aus einem Pool von Ressourcen, die sich alle Kunden teilen. Dies erlaubt eine hohe Auslastung der einzelnen Ressource, was sich günstig auf die Kosten auswirkt. n Verrechnung gemäss Gebrauch: Jeder Kunde bezahlt nur die Leistung, die er tatsächlich bezog. n Einsatz von Internet-Technologien: Der Kunde bezieht die Dienste über das Internet. Dabei werden vorwiegend klassische Internet-Standards (URL, http-protokoll, IP-Protokolle) eingesetzt. Einfache Cloud Services Wenn man von diesen Merkmalen ausgeht, kann bereits bei einfachen Google- Suchabfragen von Cloud Computing gesprochen werden. Von diesen einfachen Suchabfragen über eine einfache Datenspeicherung in der Cloud (z.b. mit Dropbox) und sicheren -Infrastrukturen (z.b. sicheres mit dem Angebot von Privasphere) bis zu dem Hosting von Applikation, Servern oder ganzen Infrastrukturen ist ein ganzes Spektrum von Services zu finden, das unter den Begriff des Cloud Computing fällt. Die Bedeutung von einfachen Cloud Services für das Tagesgeschäft wird von IT- Verantwortlichen in Firmen häufig unterschätzt. Tatsächlich sind Suchabfragen über Suchmaschinen wie Google, Bing usw. für viele Firmen ein sehr wichtiger Service, der in vielen Businessprozessen benötigt wird! Falls kein - Verkehr zum gmail-mailserver möglich ist, kann u.u. der Kontakt zu Endkunden massiv eingeschränkt werden. Viele Applikationen, insbesondere Web-Applikationen binden Internet-Informationsdienste, wie beispielsweise Kartenausschnitte von Google Maps, ein. Aus der Sicht der IT-Sicherheit müssen bei diesen einfachen Cloud-Diensten die Verfügbarkeitsanforderungen kritisch hinterfragt werden. Beim Gebrauch dieser Dienste werden in vielen Fällen interne Informationen den Cloud Services preisgegeben, wie beispielsweise Kundenadressen bei Google-Maps-Abfragen. Damit besteht grundsätzlich ein Vertraulichkeitsproblem. Das Risiko, dass dadurch ein Schaden entsteht, ist in vielen Fällen als eher klein zu bezeichnen. Private Cloud Services Weitaus kritischer ist der Einsatz von Cloud Services, bei denen Firmen-Daten unter der Kontrolle von einzelnen Mitarbeitern in der Cloud gespeichert werden. So ist beispielsweise Dropbox ein äusserst bequemer Cloud Service, der beim Einsatz von mehreren Rechnern das Arbeiten massiv bequemer gestalten kann. Insbesondere Benutzer mit einem Home Office schätzen diesen Dienst. Hier besteht ein grosses Risiko, dass die Firmen-Daten in falsche Hände gelangen. Ursachen können sein: n Der Cloud Service wird erfolgreich von Hackern angegriffen. Es ist erschreckend, in wie vielen Fällen dies in letzter 186 digma

5 Zeit bei verschiedenen Cloud Services der Fall war. n Der Mitarbeiter verliert sein Smartphone, auf dem der Cloud Service installiert ist. Auf dem Smartphone sind alle Daten synchronisiert. n Der Mitarbeiter verwendet für den Cloud Service das gleiche Passwort wie auf anderen Webseiten und Webdiensten. n Der Mitarbeiter öffnet den Zugriff auf seinen Cloud Service durch eine Fehlkonfiguration. Cloud-Dienste, die vom Mitarbeiter aufgesetzt, konfiguriert und gewartet werden, sind daher in einem professionellen Umfeld häufig sehr problematisch. Professionelle Cloud Services Wird der Einsatz der Cloud- Dienste jedoch professionell geplant und aufgebaut, kann mit dem Einsatz von Cloud Services das Gesamtrisiko einer IT-Infrastruktur durchaus gesenkt werden. Die Gründe können sein: n Damit Anbieter von Cloud Services konkurrenzfähig bleiben, ist eine weitgehende Standardisierung notwendig. Da Ausfälle von Cloud-Infrastrukturen hohe Kosten und Reputations-Schäden verursachen, werden die Cloud Services in der Regel hoch professionell betrieben. Die Service- Qualität kann weit über dem in einer KMU erreichbaren Level liegen. n Der physische Schutz von Cloud-Infrastrukturen liegt in der Regel weit über dem Level, der in KMUs typischerweise erreicht wird. Massnahmen wie redundante Internet-Zugänge und Stromversorgungen, Notstromaggregate, physischer Zutrittsschutz, Temperaturüberwachung, Erdbebensicherheit usw. skalieren gut, so dass die Infrastruktur bei Cloud Providern in der Regel physisch gut geschützt ist. n Bei der Installation, der Konfiguration und dem Betrieb von komplexen Applikationen sind IT-Abteilungen von KMUs in vielen Fällen überfordert, so dass die Applikationen nicht optimal konfiguriert sind und daher unzuverlässig arbeiten. Der Betrieb von komplexen Applikationen wird zunehmend auch von grösseren Firmen im Outsourcing vergeben, da hier ein grosses Kostenoptimierungspotenzial vorhanden sein kann. n Die Firewall-Infrastrukturen sind bei Cloud-Anbietern häufig bedeutend umfangreicher und effektiver als bei kleineren IT-Infrastrukturen. n Grössere Cloud Provider können für alle Sicherheitsaspekte Spezialisten beschäftigen. Zudem erreicht man mit den standardisierten Betriebsprozessen ein höheres Sicherheitsniveau. Es gibt bei Cloud Services auch problematische Punkte, die bei einer Planung ausreichend berücksichtigt werden müssen: n Es muss immer ein Weg aufgezeigt werden können, wie Services in der Cloud zu einem anderen Anbieter transferiert oder in die eigene IT-Infrastruktur zurück integriert werden können. Dies wird durch die standardisierten Schnittstellen erleichtert, die sich im Cloud Computing zunehmend etablieren. n Es muss abgeklärt werden, in welchem Land die Daten liegen. Es gibt viele Anbieter von Cloud Services, die garantieren, dass die Infrastruktur in «sicheren» Ländern betrieben wird, wo Geheimdienste nicht automatisch Zugriff auf alle Informationen haben. Allfällige Compliance-Anforderungen bezüglich des Landes, in dem die Daten gespeichert werden, sind zu berücksichtigen. n Die Firma muss redundant und performant an das Internet angeschlossen sein. n Der Cloud-Anbieter muss von externen Firmen auditiert werden. Vorteilhafterweise ist der Anbieter gemäss einer internationalen Norm zertifiziert. n Es besteht grundsätzlich das Risiko, dass es zu grösseren Ausfällen im Internet kommt. Dieser Fall muss im Business Continuity Management behandelt werden. Der Einsatz von Cloud Services zwingt zu einer Standardisierung in der IT-Infrastruktur. Dieser Schritt zur Standardisierung ist in anderen Bereichen der Industrie schon lange erfolgt. Zwei Beispiele: n Während zu Beginn der Industrialisierung die grösseren Firmen ihren Strom selber erzeugten, ist dies heute dank der hohen Standardisierung (z.b. der Spannung, der Geräte, der Komponenten) nicht mehr sinnvoll und üblich. n Bei den Möbeln werden heute meistens industriell gefertigte Möbel beschafft. Nur in einem stark beschränkten Rahmen können kundenspezifische Wünsche berücksichtigt werden. Zusammenfassung Eine Industrialisierung heisst also im Wesentlichen Standardisierung. Dies ist auch im Umfeld der IT möglich und ist eine der Grundlagen des Cloud Computing. Das Cloud Computing fördert und erzwingt die Standardisierung. Eine individuelle IT, die bis ins letzte Detail auf eine Firma zugeschnitten ist, dürfte in Zukunft nicht mehr finanzierbar sein. Davon ausgenommen sind Kernapplikationen, mit denen man sich, auch nach aussen sichtbar, von der Konkurrenz unterscheiden kann. n digma

6 digma Zeitschrift für Datenrecht und Informationssicherheit erscheint vierteljährlich Meine Bestellung 1 Jahresabonnement digma (4 Hefte des laufenden Jahrgangs) à CHF bzw. bei Zustellung ins Ausland EUR (inkl. Versandkosten) Name Vorname Firma Strasse PLZ Ort Land Datum Unterschrift Bitte senden Sie Ihre Bestellung an: Schulthess Juristische Medien AG, Zwingliplatz 2, CH-8022 Zürich Telefon Telefax zs.verlag@schulthess.com Homepage: