Cloud Computing Datenschutz und IT-Sicherheit

Transkript

1 Cloud Computing Datenschutz und IT-Sicherheit Cloud Computing in der Praxis Trends, Risiken, Chancen und Nutzungspotentiale IHK Koblenz, Helmut Eiermann Leiter Technik Der Landesbeauftragte für den Datenschutz und die Informationsfreiheit Rheinland-Pfalz H. Eiermann Folie 1 [email protected] Datenschutzkontrolle in der Verwaltung Datenschutzaufsicht der Wirtschaft Anlaufstelle für Bürgerinnen und Bürger Prüfungen, Beratungen Beanstandungen, Bußgeldverfahren, Untersagungen H. Eiermann Folie 2 1!

2 Cloud Computing H. Eiermann Folie 3 Vorteile von Cloud Computing Flexibilität bei der Buchung, und Nutzung von IT- Leistungen (Skalierbarkeit) Einsparpotenzial bei Anschaffung, Betrieb und Wartung (Kosten, Know-How, Zeit) Kosten, Flexibilität, Schnelligkeit, Komfort Let the Cloud make your Life easier! H. Eiermann Folie 4 2!

3 Bedeutung Cloud Computing* 16 % der mittelständische Unternehmen setzen derzeit Cloud Dienste ein 19 % davon kennen die Sicherheitsanforderungen und rechtlichen Rahmenbedingungen nicht 42 % kennen sie teilweise. Fast 2/3 der Cloud-Anwender lassen ihre Daten unter teils ungeklärten Bedingungen verarbeiten * Quelle: H. Eiermann H. Eiermann Folie 5 Bedeutung Cloud Computing* Von den Unternehmen, die noch keine Cloud-Dienste nutzen, wissen 30 % nichts über Cloud-Technologie. H. Eiermann Folie 6 3!

4 H. Eiermann Folie 7 Grundlegende Konzepte Software as a Service (SaaS) Platform as a Service (PaaS) Infrastructure as a Server (IaaS) Private Cloud Public Cloud H. Eiermann Folie 8 4!

5 Grundlegende Konzepte Software as a Service (SaaS) H. Eiermann Folie 9 Grundlegende Konzepte Software as a Service (SaaS) Platform as a Service (PaaS) Google App Engine H. Eiermann Folie 10 5!

6 Grundlegende Konzepte Software as a Service (SaaS) Platform as a Service (PaaS) Infrastructure as a Server (IaaS) H. Eiermann Folie 11 Grundlegende Konzepte Private Cloud Kunde A Kunde B Kunde C Exklusive Nutzung von Ressourcen Individuelles Leistungsangebot Individuelle Rahmenbedingungen möglich H. Eiermann Folie 12 6!

7 Grundlegende Konzepte Public Cloud Kunde A Kunde C Kunde B Nutzung gemeinsamer Ressourcen Standardisiertes Leistungsangebot Gemeinsame Rahmenbedingungen H. Eiermann Folie 13 Zwei relevante Bereiche Datenschutz IT-Sicherheit H. Eiermann Folie 14 7!

8 Quelle: languagedocument=en&file=79050 H. Eiermann Folie 15 EU-Studie Fighting Cyber Crime and protecting Privacy in thecloud H. Eiermann Folie 16 8!

9 Sicherheit + Datenschutz H. Eiermann Folie 17 Zwei relevante Bereiche Datenschutz IT-Sicherheit H. Eiermann Folie 18 9!

10 Grundlegende Konzepte H. Eiermann Folie 19 Datenverarbeitung im Auftrag Rechtsgrundlage 11 Bundesdatenschutzgesetz Auftraggeber Auftragnehmer Datenverarbeitung durch einen Dienstleister Weisungsrecht des Auftraggebers Verantwortlichkeit des Auftraggebers Prüf- und Kontrollpflichten Unterwerfung des Auftragnehmers unter BDSG H. Eiermann Folie 20 10!

11 Verlust von Einwirkungsund Kontrollmöglichkeiten Einfluss des Auftraggebers auf die Vertragsgestaltung Überprüfung der Eignung des Auftragnehmers Kenntnis des Auftraggebers über die Art der Datenverarbeitung Kontrollpflichten des Auftraggebers (z.b. technisch-organisatorische Maßnahmen) Kontrollmöglichkeiten der Datenschutzaufsichtsbehörde Zugriffsmöglichkeiten durch Dritte H. Eiermann Folie 21 Cloud Dienstleister H. Eiermann Folie 22 11!

12 Verlust von Einwirkungsund Kontrollmöglichkeiten Verteilte / globale IT-Struktur unterschiedliche Rechtskreise H. Eiermann Folie 23 Verlust von Einwirkungsund Kontrollmöglichkeiten H. Eiermann Folie 24 12!

13 Compliance / Verantwortlichkeit EU Datenschutzrichtlinie 95/46/EG (1995) Unsicheres Drittland H. Eiermann Folie 25 Compliance / Verantwortlichkeit Art. 29-Gruppe (Europäische Datenschutzbehörden) Die von den Zugriffen der ausländischen Behörden betroffenen personenbezogenen Daten unterliegen in den jeweiligen Staaten oft keinen datenschutzrechtlichen Restriktionen, die europäischen Standards auch nur ansatzweise genügen könnten. Die Zweckbindung, die Beachtung des Erforderlichkeitsgrundsatzes, die Datenlöschung nach Zweckerfüllung, die Gewährleistungen der Betroffenenrechte und des Rechtsschutzes in Datenschutzfragen sind unseres Wissens z.b. in den USA nicht gewährleistet. H. Eiermann Folie 26 13!

14 Compliance / Verantwortlichkeit Beschränkt auf den Bereich der EU / EWR! Aber Safe Harbour-Richtlinien (2000) EU-Standard-Vertragsklauseln Binding Corporate Rules H. Eiermann Folie Problembereich: Datenverarbeitung im Auftrag Untersuchung zur Verlässlichkeit von Safe Harbour Vereinbarungen Safe Harbour Prinzipien: Informationspflicht Wahlmöglichkeit Weitergabe Zugangsrecht Sicherheit Datenintegrität Durchsetzung safe_harbor_fact_or_fiction.pdf H. Eiermann Folie 28 14!

15 Compliance / Verantwortlichkeit Untersuchung zur Verlässlichkeit von Safe Harbour Vereinbarungen Eine Selbsterklärung der Unternehmen ist ausreichend In aller Regel erfolgt keine Überprüfung (z.b. durch die FTC) Lediglich 348 Unternehmen hatten die Mindestvoraussetzungen des Abkommens erfüllt. 206 Unternehmen behaupteten, Mitglied von Safe Harbor zu sein, waren es aber in Wirklichkeit nicht Verstöße werden selten geahndet H. Eiermann Folie 29 Compliance / Verantwortlichkeit Entschließung der deutschen Datenschutzaufsichtsbehörden (2010) * Solange eine flächendeckende Kontrolle der Selbstzertifizierungen US-amerikanischer Unternehmen [ ] nicht gewährleistet ist, trifft auch die Unternehmen in Deutschland eine Verpflichtung, gewisse Mindestkriterien zu prüfen, bevor sie personenbezogene Daten an ein auf der Safe Harbor-Liste geführtes US-Unternehmen übermitteln. Gültigkeit und Nachweis der Selbst-Zertifizierung Einhaltung der Safe Harbour Grundsätze Einhaltung der Informationspflichten an die Betroffenen Dokumentation der Prüfungen * H. Eiermann Folie 30 15!

16 Compliance / Verantwortlichkeit Beispiel: APEC (2011) Cross Border Privacy Rules Binding Corporate Rules Safe Harbour-Richtlinien EU-Standard-Vertragsklauseln Compliance Audit Official Certification Binding Corporate Rules EU BCR CBPR Nur bei verlässlicher Einhaltung der Vereinbarungen (z.b. Nachweise über unabhängige Audits, Zertifizierungen, Testate) H. Eiermann Folie 31 IT-Sicherheit... Vertragsgestaltung / Datenschutz und Compliance Sicherheitsaudits BSI: Sicherheitsempfehlungen-CloudComputing-Anbieter.pdf H. Eiermann Folie 32 16!

17 Compliance / Verantwortlichkeit H. Eiermann Folie 33 Compliance / Verantwortlichkeit H. Eiermann Folie 34 17!

18 Kontrolle der Cloud-Auftragsdatenverarbeitung nach 11 BDSG Zertifizierung / Audit Unabhängige Stelle anerkannte Verfahren Wiederholung H. Eiermann Folie 35 Zwei relevante Bereiche Datenschutz IT-Sicherheit H. Eiermann Folie 36 18!

19 BSI Lagebericht IT-Sicherheit 2011 H. Eiermann Folie 37 H. Eiermann H. Eiermann Folie 38 19!

20 IT-Sicherheit H. Eiermann Folie 39 Bedrohungsbereiche Innen / Außen Infrastruktur Systeme / Netze Anwendungen Daten H. Eiermann Folie 40 20!

21 Bedrohungsbereiche Innen / Außen Infrastruktur Systeme / Netze Anwendungen Daten H. Eiermann Folie 41 BITKOM: BSI: Sicherheitsempfehlungen-CloudComputing-Anbieter.pdf ENISA: H. Eiermann Folie 42 21!

22 Bedeutung Cloud Computing H. Eiermann Folie 43 IT-Sicherheit in der Cloud Sicherheitsmanagement Rechenzentrums- / Server- / Netzsicherheit Plattform- Anwendungs- / Datensicherheit Rollen- und Berechtigungskonzept / Rechtemanagement Notfallmanagement Sicherheitsaudits Vertragsgestaltung / SLAs BSI: Sicherheitsempfehlungen-CloudComputing-Anbieter.pdf H. Eiermann Folie 44 22!

23 IT-Sicherheit in der Cloud H. Eiermann Folie 45 IT-Sicherheit in der Cloud H. Eiermann Folie 46 23!

24 IT-Sicherheit in der Cloud H. Eiermann Folie 47 IT-Sicherheit in der Cloud H. Eiermann Folie 48 24!

25 IT-Sicherheit in der Cloud H. Eiermann Folie 49 IT-Sicherheit in der Cloud H. Eiermann Folie 50 25!

26 IT-Sicherheit in der Cloud H. Eiermann Folie 51 IT-Sicherheit in der Cloud H. Eiermann Folie 52 26!

27 IT-Sicherheit in der Cloud H. Eiermann Folie 53 IT-Sicherheit in der Cloud H. Eiermann Folie 54 27!

28 IT-Sicherheit in der Cloud Quelle: H. Eiermann Folie 55 IT-Sicherheit in der Cloud H. Eiermann Folie 56 28!

29 Verlust von Einwirkungsund Kontrollmöglichkeiten Patriot Act Foreign Intelligence Surveillance Act (FISA) 1881a H. Eiermann Folie 57 Verlust von Einwirkungsund Kontrollmöglichkeiten Patriot Act Foreign Intelligence Surveillance Act (FISA) 1881a H. Eiermann Folie 58 29!

30 IT-Sicherheit in der Cloud H. Eiermann Folie 59 IT-Sicherheit in der Cloud H. Eiermann Folie 60 30!

31 Great Britain London USA Redmond I0II 0I0I... Patriot Act Foreign Intelligence Surveillance Act (FISA) 1881a I0II 0I0I II0I 0II0 H. Eiermann Folie 61 Black-Box -Verfahren (Veschlüsselung) Krypto-Reglementierung Key Recovery Key Escrowing Kunde H. Eiermann Folie 62 31!

32 Black-Box -Verfahren (Veschlüsselung) Verfahren Schlüssel unter der Kontrolle des Auftraggebers Kunde Krypto Gateway H. Eiermann Folie 63 Omni-Cloud Cloud-Nutzung mit Kontrolle H. Eiermann Folie 64 32!

33 Omni-Cloud Cloud-Nutzung mit Kontrolle H. Eiermann Folie 65 TClouds-Projekt Cloud Computing, angereichert mit einer Prise Vertrauen Prototypische Entwicklung einer vertrauenswürdigen Cloud- Infrastruktur, die den europäischen Datenschutzanforderungen entspricht. H. Eiermann Folie 66 33!

34 BMWi-Projekt Trusted Cloud Prototypische Entwicklung einer vertrauenswürdigen Cloud- Infrastruktur, die den europäischen Datenschutzanforderungen entspricht. H. Eiermann Folie 67 Entschließung der 82. Konferenz der Datenschutzbeauftragten des Bundes und der Länder (2011) Datenschutzkonforme Gestaltung und Nutzung von Cloud-Computing Transparenz über die technischen, organisatorischen und rechtlichen Rahmenbedingungen verlässliches IT-Sicherheits- und Datenschutzkonzept Vereinbarungen zum Ort der Datenverarbeitung und zur Benachrichtigung bei geplanten Veränderungen Kontroll- und Einwirkungsmöglichkeiten der Cloud- Nutzerinnen und -Nutzer Regelungen zur Umsetzung von Auskunftsansprüchen Betroffener und zur Datenlöschung aussagekräftige Nachweise (z.b. Zertifikate anerkannter und unabhängiger Prüfungsorganisationen) Orientierungshilfe Cloud Computing: H. Eiermann Folie 68 34!

35 Datenschutzkonforme Gestaltung und Nutzung von Cloud-Computing Art der Cloud-Lösung (private/public) Art des Dienstleisters (D, EU/EWR, non EU) Art der genutzten Dienste (IaaS, PaaS, SaaS,...) Art des Datenvaerarbeitungsvertrags Art der Daten ( 203 StGB, unternehmenskritische Daten) Orientierungshilfe Cloud Computing: H. Eiermann Folie 69 Fazit Cloud Computing für die Verarbeitung personenbezogener Daten datenschutzkonform nur in bestimmten Anwendungsszenarien (z.b. Private Cloud, EU-Cloud) möglich für Infrastructure as a Service (IaaS) und Private Cloud problematisch für PaaS und SaaS, Public Cloud, wenn außerhalb der EU Lösungsansätze: Verschlüsselung / Trusted Cloud-Konzepte EU/EWR-Anbieter mit Standorten in der EU/EWR Kontrolldefizite erfordern Auditierungs-/Zertifizierungslösungen auf der Grundlage anerkannter Standards H. Eiermann Folie 70 35!

36 Quellen: BITKOM: BSI: Sicherheitsempfehlungen-CloudComputing-Anbieter.pdf ENISA: at_download/fullreport Datenschutz: Orientierungshilfe Cloud Computing: H. Eiermann Folie 71 Helmut Eiermann Gruppenleiter Technik Hintere Bleiche Mainz Tel (06131) Fax (06131) H. Eiermann Folie 72 36!