Datenschutz und Cloud Computing Cloud Compact 2011

Transkript

1 Datenschutz und Cloud Computing Cloud Compact 2011 KommR Hans-Jürgen Pollirer Geschäftsführer der Secur-Data Betriebsberatungs-Ges.m.b.H. Wien, 25. Mai 2011 Secur-Data Betriebsberatungs-Ges.m.b.H. Cloud Compact 2011 Folie 1

2 Secur-Data Betriebsberatungs-Ges.m.b.H. Cloud Compact 2011 Folie 2

3 Was ist Cloud Computing? 1 von n Definitionen: Cloud Computing stellt dem Nutzer über eine unbestimmte Anzahl von virtualisierten Rechenzentren in Verbindung mit Webservices Rechenkapazitäten, Netzwerke, Datenspeicher, Informationen, On-Demand-Software wie Betriebssysteme, fertige Software-Lösungen wie ERP, CRM und BI, aber auch Mail- oder Kollaborationssoftware bis hin zu Entwicklungstools und das 24 Stunden pro Tag zur Verfügung Secur-Data Betriebsberatungs-Ges.m.b.H. Cloud Compact 2011 Folie 3

4 Secur-Data Betriebsberatungs-Ges.m.b.H. Cloud Compact 2011 Folie 4

5 Ausstieg aus der Wolke!? Beispiel 1: Die Presse Europa ringt mit der Wolke 28. Jänner 2011 US-Pharmakonzern Eli Lilly (ca Mitarbeiter) kündigt Cloud Computing-Zusammenarbeit mit Amazon auf, da der Internetanbieter nicht bereit war, Verantwortung zu übernehmen, sollten sensible Daten des Pharmariesen in den weltweit verstreuten Rechenzentren abhanden kommen. Beispiel 2: derstandard.at Ärger an der Uni Salzburg: Studenten s nur mehr über Google 17. Februar 2011 Meinung dieser Studenten: Google hat die Mail-Administration zwar gratis zur Verfügung gestellt, aber sicher nicht umsonst. Man zieht bestimmt Nutzen daraus. Secur-Data Betriebsberatungs-Ges.m.b.H. Cloud Compact 2011 Folie 5

6 Beispiel 3: diepresse.com Daten von Gmail-Nutzern verschwunden 28. Februar 2011 Einen fixen Zeitpunkt für die Wiederherstellung aller Daten will man bei Google bislang nicht nennen... Kommentar eines Bloggers: Wenn die Wolke zu schwer wird, regnet es Daten und danach ist die Wolke weg und die Daten auch. Thats s life. Beispiel 4: webhostlist.de 3 Tage Probleme bei Amazon EC2 29. April 2011 Insgesamt drei Tage lang waren Teile einer Verfügbarkeitszone ausgefallen. Betroffen von der Störung waren Server in den USA. Und mit den Servern gingen reihenweise bekannte Webseiten wie foursquare oder reddit offline. Secur-Data Betriebsberatungs-Ges.m.b.H. Cloud Compact 2011 Folie 6

7 FÜR Kostenersparnis Entlastung der eigenen IT- Abteilung Elastizität und Skalierbarkeit Geschwindigkeit Verfügbarkeit WIDER Anbieterabhängigkeit Kontrollverlust in Bezug auf Daten und Prozesse Fehlende Transparenz Vertragsrisiko DATENSCHUTZ & IT-SICHERHEIT Secur-Data Betriebsberatungs-Ges.m.b.H. Cloud Compact 2011 Folie 7

8 DSG 2000 findet Anwendung bei der Verwendung von o personenbezogenen Daten natürlicher Personen o personenbezogenen Daten juristischer Personen Identität ist bestimmt oder bestimmbar o besonders schutzwürdigen Daten (sensible Daten) o indirekt personenbezogenen Daten*) o pseudonymisierten Daten (= indirekt personenbezogene Daten) DSG 2000 findet keine Anwendung bei der Verwendung von o anonymisierten Daten *) keine Genehmigungspflicht bei internationalem Datenverkehr ( 12 Abs 3 Z 2 DSG 2000) keine Verletzung schutzwürdiger Geheimhaltungsinteressen des Betroffenen ( 8 Abs. 2, 9 Z 2 DSG 2000) Secur-Data Betriebsberatungs-Ges.m.b.H. Cloud Compact 2011 Folie 8

9 Cloud-Nutzer = Auftraggeber isd 4 Z 4 DSG 2000 Herr der Daten Cloud-Provider = Dienstleister isd 4 Z 5 DSG 2000 Datenweitergabe vom Auftraggeber an den Dienstleister = Überlassen ( 4 Z 11 DSG 2000) und nicht Übermitteln ( 4 Z 12 DSG 2000) Secur-Data Betriebsberatungs-Ges.m.b.H. Cloud Compact 2011 Folie 9

10 Cloud-Nutzer Verantwortlichkeiten Einhaltung der Qualitätsgrundsätze ( 6 DSG 2000) Überprüfung der Zulässigkeitsvoraussetzungen ( 7 DSG 2000) Einhaltung der schutzwürdigen Geheimhaltungsinteressen ( 8 und 9 DSG 2000) Prüfung der Zulässigkeitskriterien für den Einsatz eines Dienstleisters ( 10 und 11 DSG 2000) Beantragung einer Genehmigung für genehmigungspflichtige Übermittlungen und Überlassungen von Daten in das Ausland ( 13 DSG 2000) Secur-Data Betriebsberatungs-Ges.m.b.H. Cloud Compact 2011 Folie 10

11 Treffen der Datensicherheitsmaßnahmen ( 14 DSG 2000) Verpflichtung der Mitarbeiter auf das Datengeheimnis ( 15 DSG 2000) Meldepflicht der Datenanwendungen ( 16 22a DSG 2000) Erfüllung der Informationspflichten ( DSG 2000) Erfüllung der Rechte des Betroffenen auf Auskunft, Richtigstellung, Löschung und Widerspruch ( DSG 2000) Secur-Data Betriebsberatungs-Ges.m.b.H. Cloud Compact 2011 Folie 11

12 Die Datensicherheitsmaßnahmen des 14 DSG Abs 1 DSG 2000 Zielsetzung Treffen von Datensicherheitsmaßnahmen mit der Zielsetzung, dass die Datenanwendung ordnungsgemäß erfolgt und die Daten Unbefugten nicht zugänglich sind 14 Abs 2 DSG 2000 Pflichten Kompetenzklarheitsprinzip Auftragsprinzip Belehrungspflichtprinzip Zutrittsbeschränkungsprinzip Zugriffsbeschränkungsprinzip Betriebsbeschränkungsprinzip Protokollprinzip Dokumentationsprinzip Achtung: möglicherweise behördliche Zugriffsrechte auf Daten im Cloud-Land Secur-Data Betriebsberatungs-Ges.m.b.H. Cloud Compact 2011 Folie 12

13 Die Prüfpflicht des Cloud-Nutzers nach den Bestimmungen des 10 Abs. 1 DSG 2000 Zulässigkeit der Überlassung von Daten zur Erbringung von Dienstleistungen 10. (1) Auftraggeber dürfen bei ihren Datenanwendungen Dienstleister in Anspruch nehmen, wenn diese ausreichende Gewähr für eine rechtmäßige und sichere Datenverwendung bieten. Der Auftraggeber hat mit dem Dienstleister die hiefür notwendigen Vereinbarungen zu treffen und sich von ihrer Einhaltung durch Einholung der erforderlichen Informationen über die vom Dienstleister tatsächlich getroffenen Maßnahmen zu überzeugen.... Conclusio: 1. Cloud-Nutzer hat schon bei der Auswahl des Cloud-Providers eine gesetzliche Prüfpflicht in Bezug auf Rechtmäßigkeit, Qualität, Verlässlichkeit und Sicherheitsstandards 2. Schriftlicher Vertrag Secur-Data Betriebsberatungs-Ges.m.b.H. Cloud Compact 2011 Folie 13

14 BSI-Eckpunktepapier Sicherheitsempfehlungen für Cloud Computing Anbieter (finale Fassung vom 10. Mai 2011) 11 Mindestanforderungen: Sicherheitsmanagement beim Anbieter Sicherheitsarchitektur Identitäts- und Rechtemanagement Kontrollmöglichkeiten für Nutzer Monitoring und Security Incident Management Notfallmanagement Portabilität und Interoperabilität Sicherheitsprüfung und -nachweis Anforderungen an das Personal Vertragsgestaltung Datenschutz und Compliance Secur-Data Betriebsberatungs-Ges.m.b.H. Cloud Compact 2011 Folie 14

15 BSI Prüffragen zum Thema Transparenz Offenlegung der Standorte des Cloud Service Anbieters (Land, Region), an denen die Kundendaten gespeichert und verarbeitet werden Offenlegung der Subunternehmer des Cloud Service Anbieters, die für die Erbringung der Cloud Services wesentlich sind Transparenz, welche Eingriffe der Cloud Service Anbieter oder Dritte in Daten und Verfahren der Kunden vornehmen dürfen Regelmäßige Unterrichtung über Änderungen (z. B. neue oder abgekündigte Funktionen, neue Subunternehmer, andere Punkte, die für das SLA relevant sind) Transparenz, welche Software durch den Cloud Service Anbieter aufseiten des Kunden installiert wird sowie über die daraus resultierenden Sicherheitserfordernisse /-risiken Transparenz bezüglich staatlicher Eingriffs- und Einsichtrechte, über gerichtlich festlegbare Einsichtrechte Dritter und über Prüfpflichten zu gespeicherten Daten durch den Cloud Service Anbieter an allen potenziellen Standorten Darlegung der Rechts- und Besitzverhältnisse des Cloud Service Anbieters sowie der Entscheidungsbefugnisse Secur-Data Betriebsberatungs-Ges.m.b.H. Cloud Compact 2011 Folie 15

16 Die Kontrollpflicht des Cloud-Nutzers nach den Bestimmungen des 11 DSG 2000 Pflichten des Dienstleisters 11. (1) Unabhängig von allfälligen vertraglichen Vereinbarungen haben Dienstleister bei der Verwendung von Daten für den Auftraggeber jedenfalls folgende Pflichten: 1. die Daten ausschließlich im Rahmen der Aufträge des Auftraggebers zu verwenden; insbesondere ist die Übermittlung der verwendeten Daten ohne Auftrag des Auftraggebers verboten; 2. alle gemäß 14 erforderlichen Datensicherheitsmaßnahmen zu treffen; insbesondere dürfen für die Dienstleistung nur solche Mitarbeiter herangezogen werden, die sich dem Dienstleister gegenüber zur Einhaltung des Datengeheimnisses verpflichtet haben oder einer gesetzlichen Verschwiegenheitspflicht unterliegen; 3. weitere Dienstleister nur mit Billigung des Auftraggebers heranzuziehen und deshalb den Auftraggeber von der beabsichtigten Heranziehung eines weiteren Dienstleisters so rechtzeitig zu verständigen, daß er dies allenfalls untersagen kann; Secur-Data Betriebsberatungs-Ges.m.b.H. Cloud Compact 2011 Folie 16

17 4. sofern dies nach der Art der Dienstleistung in Frage kommt im Einvernehmen mit dem Auftraggeber die notwendigen technischen und organisatorischen Voraussetzungen für die Erfüllung der Auskunfts-, Richtigstellungs- und Löschungspflicht des Auftraggebers zu schaffen; 5. nach Beendigung der Dienstleistung alle Verarbeitungsergebnisse und Unterlagen, die Daten enthalten, dem Auftraggeber zu übergeben oder in dessen Auftrag für ihn weiter aufzubewahren oder zu vernichten; 6. dem Auftraggeber jene Informationen zur Verfügung zu stellen, die zur Kontrolle der Einhaltung der unter Z 1 bis 5 genannten Verpflichtungen notwendig sind. (2) Vereinbarungen zwischen dem Auftraggeber und dem Dienstleister über die nähere Ausgestaltung der in Abs. 1 genannten Pflichten sind zum Zweck der Beweissicherung schriftlich festzuhalten. Conclusio: Zertifizierung des Cloud-Providers (z.b. nach ISO/IEC 27001)? Secur-Data Betriebsberatungs-Ges.m.b.H. Cloud Compact 2011 Folie 17

18 ISO/IEC und als Basis für die Zertifizierung eines ISMS 11 Themenschwerpunkte: Informationssicherheitspolitik (A.5) Organisationsstruktur für Informationssicherheit (A.6) Verwaltung der Unternehmenswerte (Asset Management) (A.7) Personelle Sicherheit (A.8) Physische und umgebungsbezogene Sicherheit (A.9) Netzwerk- und Betriebssicherheit (A.10) Zugriffskontrolle (A.11) Systembeschaffung, -entwicklung und -wartung (A.12) Behandlung von Sicherheitsvorfällen (Incident Management) (A.13) Notfallvorsorgeplanung (A.14) Einhaltung rechtlicher, vertraglicher und unternehmenspolitischer Verpflichtungen (A.15) Secur-Data Betriebsberatungs-Ges.m.b.H. Cloud Compact 2011 Folie 18

19 Erbringung von Cloud-Diensten im Ausland GB B, NL, L D DK IS, N S FIN EST, LV, LT, PL IRL CZ, SK F CH H, BG, RO FL GR P E I SLO M, CY 1) von Österreich in EU- und EWR-Mitgliedstaaten frei 2) Schweiz lt. Angemessenheitsverordnung frei 3) USA (Safe Harbor-Abkommen), Kanada, Argentinien, Guernsey, Jersey, Andorra, die Insel Man, Israel und Färöer gemäß Entscheidungen der Kommission, verlautbart im Amtsblatt der EU, frei Secur-Data Betriebsberatungs-Ges.m.b.H. Cloud Compact 2011 Folie 19

20 Weitere Ausnahmetatbestände des 12 DSG 2000 liegen vor, wenn die Daten im Inland zulässigerweise veröffentlicht wurden oder Daten, die für den Empfänger nur indirekt personenbezogen sind, übermittelt oder überlassen werden oder die Übermittlung oder Überlassung von Daten ins Ausland in Rechtsvorschriften vorgesehen ist, die im innerstaatlichen Recht den Rang eines Gesetzes haben und unmittelbar anwendbar sind, oder Daten aus Datenanwendungen für private Zwecke ( Tätigkeit ( 48) übermittelt werden oder 45) oder für publizistische der Betroffene ohne jeden Zweifel seine Zustimmung zur Übermittlung oder Überlassung seiner Daten ins Ausland gegeben hat oder ein vom Auftraggeber mit dem Betroffenen oder mit einem Dritten eindeutig im Interesse des Betroffenen abgeschlossener Vertrag nicht anders als durch Übermittlung der Daten ins Ausland erfüllt werden kann oder Secur-Data Betriebsberatungs-Ges.m.b.H. Cloud Compact 2011 Folie 20

21 die Übermittlung zur Geltendmachung, Ausübung oder Verteidigung von Rechtsansprüchen vor ausländischen Behörden erforderlich ist und die Daten rechtmäßig ermittelt wurden, oder die Übermittlung oder Überlassung in einer Standardverordnung ( 17 Abs. 2 Z 6) oder Musterverordnung ( 19 Abs. 2) ausdrücklich angeführt ist oder es sich um Datenverkehr mit österreichischen Dienststellen im Ausland handelt oder Übermittlungen oder Überlassungen aus Datenanwendungen erfolgen, die gemäß 17 Abs. 3 von der Meldepflicht ausgenommen sind. Achtung: Auch bei Genehmigungsfreiheit einer Übermittlung oder Überlassung in das Ausland somit auch in EU-Mitgliedstaaten muss nach 12 Abs 5 die schriftliche Zusage des Cloud-Providers vorliegen, dass er die Dienstleisterpflichten gem. 11 Abs 1 einhalten wird. Secur-Data Betriebsberatungs-Ges.m.b.H. Cloud Compact 2011 Folie 21

22 Drittstaaten ohne angemessenen Datenschutz Übermittlungen oder Überlassungen gem. Genehmigung der DSK möglich. 13 DSG 2000 nur mit Wesentlich für die Genehmigung ist die Glaubhaftmachung, dass der Cloud-Provider die Geheimhaltungsinteressen der Betroffenen ausreichend wahrt. Abschluss eines schriftlichen Vertrages s.a. Standardvertragsklauseln für die Übermittlung personenbezogener Daten an Auftragsverarbeiter in Drittländer nach der RL 95/46/EG. Secur-Data Betriebsberatungs-Ges.m.b.H. Cloud Compact 2011 Folie 22

23 Informationspflicht des Cloud-Nutzers bei Datenmissbrauch Informationspflicht des Auftraggebers 24. (2a) Wird dem Auftraggeber bekannt, dass Daten aus einer seiner Datenanwendungen systematisch und schwerwiegend unrechtmäßig verwendet wurden und den Betroffenen Schaden droht, hat er darüber unverzüglich die Betroffenen in geeigneter Form zu informieren. Diese Verpflichtung besteht nicht, wenn die Information angesichts der Drohung eines nur geringfügigen Schadens der Betroffenen einerseits oder der Kosten der Information aller Betroffenen andererseits einen unverhältnismäßigen Aufwand erfordert. Conclusio: Benachrichtigungspflicht des Cloud-Providers an den Cloud-Nutzer vertraglich vereinbaren. Haftung? Pönale? Gerichtsstand? Recht? Secur-Data Betriebsberatungs-Ges.m.b.H. Cloud Compact 2011 Folie 23

24 Cloud Computing und SLAs o Verfügbarkeit (d.h. allgemeine Zugänglichkeit / Verfügbarkeit des Systems über das Internet an einer definierten Schnittstelle) o Performance (d.h. Geschwindigkeit der Datenverarbeitung, Reaktionszeiten der Schnittstellen und des User Interface) o Reaktionszeiten (d.h. Reaktionszeiten bei Problem- und Fehlermeldungen) o Wiederherstellungszeiten (d.h. die Zeiträume, in denen Fehler korrigiert werden) o Wartungsfenster und geplante downtimes (d.h. wann und wie lange kann der entsprechende Cloud-Dienst für Wartungsarbeiten abgeschaltet werden; wie oft und mit welchem Vorlauf müssen downtimes angekündigt werden) Secur-Data Betriebsberatungs-Ges.m.b.H. Cloud Compact 2011 Folie 24

25 Empfehlungen der ENISA (European Network and Information Security Agency) Erhöhtes Sicherheitsrisiko (35 Risken!) Nutzung sollte sich auf nicht heikle Datenanwendungen beschränken Ausstiegsstrategie Secur-Data Betriebsberatungs-Ges.m.b.H. Cloud Compact 2011 Folie 25

26 Zusammenfassung o Risikoanalyse in Bezug auf Vertragsrisiko Abhängigkeit vom Cloud-Provider Insolvenzrisiko des Cloud-Providers Verlust der Kontrolle über Daten und Prozesse Servicequalität (SLAs) Migrationsrisiko Kostenrisiko Fehlende Transparenz Rückabwicklungsprobleme Know-how-Verlust Standard des beim Cloud-Provider implementierten ISMS Datenverlustrisiko Datenschutz- und Datensicherheitsstandard beim Cloud-Provider Secur-Data Betriebsberatungs-Ges.m.b.H. Cloud Compact 2011 Folie 26

27 o Cloud-Provider muss über ein wirksames ISMS verfügen o Zertifizierungen und Gütesiegel auf internationaler Ebene (keine Schrebergärten!) o Vermeidung der Verarbeitung von Daten mit hohen Vertraulichkeits- und Integrationsanforderungen o Harmonisierung des Datenschutzrechts auf EU und internationaler Ebene o Kommissarin Neelie Kroes plant für 2012 die Erstellung eines rechtlichen Rahmens für Cloud Computing in der EU, um Datenschutz, Datensicherheit und Verfügbarkeit der Dienste zu garantieren o 16. Mai 2011 Start einer öffentlichen Konsultation zu Cloud Computing durch Kommissarin Neelie Kroes o EU gefördertes Projekt Trustworthy Clouds TClouds mit der Zielsetzung der Entwicklung einer vertrauenswürdigen Cloud-Infrastruktur. Fördersumme: EUR 7,5 Mio.; Laufzeit: Secur-Data Betriebsberatungs-Ges.m.b.H. Cloud Compact 2011 Folie 27

28 BITKOM: Leitfaden Cloud Computing: CSA: Cloud Security Alliance: NIST National Institute of Standards and Technology: ENISA European Network and Information Security Agency: Eurocloud: ISPRAT: BSI Bundesamt für Sicherheit in der Informationstechnik: Sicherheitsempfehlungen-CloudComputing-Anbieter.pdf? blob=publicationfile Unabhängiges Landeszentrum für Datenschutz Schleswig-Holstein : Secur-Data Betriebsberatungs-Ges.m.b.H. Cloud Compact 2011 Folie 28

29 Ich danke für Ihre Aufmerksamkeit Besuchen Sie uns auch im Internet! Sie finden uns unter Meine -Adresse lautet Secur-Data Betriebsberatungs-Ges.m.b.H. Cloud Compact 2011 Folie 29