Alpiq CloudServices Whitepaper Rechtliche Aspekte zur Datensicherheit Alpiq CloudServices Whitepaper Rechtliche Aspekte zur Datensicherheit 04 /15
In Kürze Dieses Whitepaper basiert auf der Veranstaltungsreihe «Cloud-Services und das Gesetz: Was ist beim Auslagern juristisch zu beachten?» vom Herbst 2014 und Frühjahr 2015. Die insgesamt acht Cloud-Events wurden von der Alpiq InTec Gruppe zusammen mit Swisscom und der Anwaltskanzlei de la cruz beranek durchgeführt. Alpiq CloudServices Whitepaper Rechtliche Aspekte zur Datensicherheit 04 /15 2
Index 4 Einleitung 5 Das Cloud Ecosystem 6 Risikobetrachtung 7 Betriebsszenarien 8 Rechtliche Aspekte 9 Verantwortlichkeiten 10 Vertragliche Regelungen 11 Interdisziplinäre Kundenherausforderungen 12 Zusammenfassung 13 Alpiq als Cloud-Provider 14 Kontakt Alpiq CloudServices Whitepaper Rechtliche Aspekte zur Datensicherheit 04 /15 3
Einleitung In einer komplexer werdenden Welt gilt es dem Thema Datensicherheit erhöhte Aufmerksamkeit zu schenken. Seit den Enthüllungen rund um NSA und Co. gilt es, die Risiken der Datenhaltung sorgfältig einzuschätzen und Vorsichtsmassnahmen umsichtig aufzubauen. Dies gilt für die Inhouse-Datenspeicherung, umso mehr aber für die Auslagerung von Daten an externe Rechenzentren oder in die Cloud via Provider. Den Unternehmen ist dabei von Gesetzes wegen eine Instruktions- und Sorgfaltspflicht auferlegt, die vom Verwaltungsrat zu kontrollieren und im Schadensfall zu verantworten ist. Grundsätzlich ist für die Datensicherheit also der Verwaltungsrat eines Unternehmens verantwortlich. Es gehört zu seinen Aufgaben dafür zu sorgen, dass die Datensicherheit in genügendem Masse gewährleistet ist, als Teil eines umfassenden Risiko Managements. Je mehr und je wichtiger die ausgelagerten Daten und Services sind, desto ausgeprägter fällt die Prüfungspflicht für den Verwaltungsrat aus (OR 716a). Der Trend zur Auslagerung in die Cloud ist ungebrochen und stellt darum viele Unternehmen vor die Fragen: Wie schütze ich meine Daten in der Cloud? Und: Was muss ich bei der Auslagerung in Bezug auf den rechtlichen Aspekt beachten? Alpiq CloudServices Whitepaper Rechtliche Aspekte zur Datensicherheit 04 /15 4
Das Cloud Ecosystem Sei es als Internet Access Provider oder Verschlüsselungsanbieter; wenn eine Auslagerung der Daten innerhalb der Schweiz oder auch ins Ausland vorgesehen ist, müssen je nach Fokus zum Teil unterschiedliche rechtliche Themen vertiefter betrachtet werden. Aus dem Blickwinkel des Nutzers, mit Fokus als Anbieter oder auch aus der Perspektive eines Zulieferers versuchen wir anschliessend einige wichtige Faktoren zu beleuchten. Cloud-Anbieter (Schweiz / Ausland) XaaS IaaS PaaS SaaS Internet Access Provider Verschlüsselungsanbieter, IAM-Provider Unternehmen, Cloud-Nutzer: Schweiz Unternehmen, Cloud-Nutzer: Ausland Alpiq CloudServices Whitepaper Rechtliche Aspekte zur Datensicherheit 04 /15 5
Risikobetrachtung Unbestritten ist, dass während des Datentransports das grösste Risiko durch sogenannte MIM-Attacken / Angriffe besteht, die nicht erkannt und abgewehrt werden können trotz harter Verschlüsselung. Denn ist man sich der Tatsache bewusst, dass heute noch 40 Prozent der Daten nicht verschlüsselbar und damit NSA-sicher versandt werden können, wundert man sich nicht über die Aktualität dieses Themas. Als wichtigste Regel gilt, dass der Schlüssel und die Verschlüsselungssoftware ständig up to date zu halten sind, um Serverseitig einem Hacking beim Rechenzentrum / Cloud-Anbieter zuvorzukommen respektive es zu unterbinden. Dazu steht heute eine gute Auswahl unterschiedlichster Sicherheitssoftware-Anbieter zur Verfügung, die in Zusammenarbeit zwischen Provider oder Rechenzentrum evaluiert werden sollten. bezüglich Endgeräten die Einschleusung von Spyware und Typolockern zu verhindern. Dazu ist zu beachten, dass die Endgeräte der verwundbarste Punkt im Sicherheitsnetz darstellen. bezüglich dem Faktor Mensch möglichen Gefahren zu begegnen. Dazu braucht es ein ganzheitliches Vorgehen, das bereits bei der Auswahl passender und vertrauenswürdiger Mitarbeitender beginnt, im fairen täglichen Umgang erprobt wird und durch operative Prozesse präventiv zu verhindern ist. Alpiq CloudServices Whitepaper Rechtliche Aspekte zur Datensicherheit 04 /15 6
Betriebsszenarien Egal welches Szenario gewählt wird, es ist immer die Pflicht des Verwaltungsrates, einen vertrauenswürdigen Cloud-Provider sorgfältig auszuwählen. Dabei ist der Tatsache Rechnung zu tragen, dass je mehr wichtige Services ausgelagert werden, desto höher eine Prüfungspflicht nach OR 716a besteht. Für die Wahl eines Cloud-Providers sind drei Hauptbereiche zu beachten: 1. Standort des Providers 2. Finanzielle Verhältnisse des Providers 3. Die jeweils geltenden gesetzlichen Regulatoren Alpiq CloudServices Whitepaper Rechtliche Aspekte zur Datensicherheit 04 /15 7
Rechtliche Aspekte Die Frage nach dem optimalen Datenschutz stellt sich nicht erst bei der Prüfung, ob eigene neue Hardware angeschafft oder die vielfältigen Cloud- Angebote berücksichtig werden sollen, sondern welche heute vor jeder Softwarebeschaffung zu klären ist. Dabei sind die dazugehörigen unterschiedlichen rechtlichen Aspekte zu beachten. Grundsatzfragen: Cloud ja oder nein? 1 Welche Nachteile hat unser Unternehmen im heutigen Ist-Zustand? 2 Welchen Anspruch haben wir als Unternehmen an die IT-Infrastruktur? Wie zentral ist dies? 3 Welche Flexibilität in den Anforderungen können wir uns leisten? 4 Welche Daten sind unternehmenskritisch? 5 Gehört die Informatik zu den Kernkompetenzen unseres Unternehmens? 6 Welche Verfügbarkeit ist notwendig? 7 Existierten eine Risikoanalyse und entsprechende operative Prozesse für die Behebung von Gefahren? Die rechtlichen Risiken sind durch klare Haftungsregeln zu minimieren. Dazu gehören Schäden infolge von Mitarbeiterfehlern, fehlender zeitlicher Verfügbarkeit, durch Dritte verursachte Fehler oder die Verletzung des Datenschutzes infolge «Force Majeure» etc. Der Zugriff auf Daten durch staatliche Institutionen ist gesetzlich geregelt (Bundesgesetz betreffend die Überwachung des Post- und Fernmeldeverkehrs BÜPF) und muss kontrolliert und transparent abgewickelt werden. Erfolgt ein Zugriff aus regulatorischen und strafrechtlichen Gründen von Drittbehörden wie der Wettbewerbskommission (WEKO), Swissmedic, Strafuntersuchungsbehörden von Drittstaaten etc., so sind dazu die rechtsstaatlichen Prozesse zu beachten. Alpiq CloudServices Whitepaper Rechtliche Aspekte zur Datensicherheit 04 /15 8
Verantwortlichkeiten Bei der Providerevaluation spielt es eine grosse Rolle, ob bekannt und in den Verträgen folgendes definiert ist: 1. Welches Recht anwendbar und welcher Gerichtsstand zuständig ist. Ohne Nennung eines probaten Gerichtsstandes in den Verträgen ist die Durchsetzbarkeit von Ansprüchen oft nicht möglich oder kann das anwendbare Recht nicht richtig definiert bzw. auf ähnliche Rechtsordnung und ähnliche Lösungen verwiesen werden. 2. Wo das Rechenzentrum steht, ob es in einem Risikoland oder einer Risikoregion liegt. Welche Zugriffsmöglichkeiten bestehen? Welche staatliche Gesetzgebung ist massgeblich? Wie ist die Beurteilung der politischen Stabilität dieses Landes? 3. Wer die Firma des Cloud-Anbieters beherrscht. Problematik: Zwangsmittel auf US-amerikanische Firmen oder von Staaten (LIS-System der Schweizer Regierung im Rahmen des BÜPF) und welche Auswirkungen diese haben könnten? 4. Wie das Rechenzentrum kapitalisiert ist. 5. Welche Kooperationen, Drittpartner und Unterbeauftragte Zugriff auf die Daten erheben könnten. 6. Welche Zertifizierungen Mitarbeitenden aufweisen. Alpiq CloudServices Whitepaper Rechtliche Aspekte zur Datensicherheit 04 /15 9
Vertragliche Regelungen Vertragliche Regelungen sollten für folgende Vorgänge definiert werden: Konkrete Service Level Agreements Zulässige Redundanzen und deren Behebung Schnittstellendefinitionen und Vereinbarungen für deren Zuständigkeit Ansprechstellen und zuständige Kontakte Regelungen über die Datenrückgabe und über den Datenzugriff Die Anforderungen für den Daten- und Informationsschutz sind nach dem Grundsatz (Art. 8 Abs. 1 VDSG) Vertraulichkeit, Verfügbarkeit und Integrität zu regeln. Dabei ist die Frage zu beantworten, wer der rechtmässige Besitzer der Daten ist und für welche Zwecke diese Daten wie eingesetzt werden dürfen.als Grundlage dient dabei die Verhältnismässigkeit des zu betreibenden Aufwandes. Eine weitere Frage in Bezug auf den Datenschutz stellt sich hinsichtlich der Erkennbarkeit von Daten, ihrer Transparenz im Allgemeinen sowie auch nach der Richtigkeit des Datenmaterials. Personendaten müssen durch angemessene technische und organisatorische Massnahmen gegen unbefugtes Bearbeiten geschützt werden (Art. 7 DSG). Zur Datensicherheit bedarf es geeigneter technischer und organisatorischer Massnahmen (Art. 8 Abs. 2 VDSG). Alpiq CloudServices Whitepaper Rechtliche Aspekte zur Datensicherheit 04 /15 10
Interdisziplinäre Kundenherausforderungen Als erster Schritt ist die Identifikation der Risiken vorzunehmen, wozu die vorhandenen Daten zu analysieren und zu bewerten sind. Dabei sind die Methoden von Rechenzentrum zu Rechenzentrum und von Cloud-Anbieter zu Cloud-Anbieter unterschiedlich. Bei der Implementation sind die Schnittstellen zu definieren und jeweils ein Verantwortlicher zu benennen. Während des Prozesses ist auf die Überwachung sowie auf die Migration ebenso Wert zu legen, wie auf die laufende Reduzierung von Risiken. Alpiq CloudServices Whitepaper Rechtliche Aspekte zur Datensicherheit 04 /15 11
Zusammenfassung Bezüglich der Sicherheit von Daten in der Cloud sind folgende Empfehlungen zentral: Reduktion der Komplexität durch vertrauenswürdige Partner und Ansprechpersonen anstreben. Verträge sorgfältig untersuchen und redigieren. Compliance bereits beim Setup und bei der Auswahl Evaluation der eigenen Daten anwenden. Backup zu Drittanbietern vorsehen. Escrow-Agreements für Software beachten. Die Infrastruktur und die Unternehmensdaten technisch immer up to date halten. Der Cloud-Kunde hat eine Instruktions- und Sorgfaltspflicht auf Verwaltungsrats-Stufe. Im Vertrag sind: ein Konkursszenario abgebildet und der Migrationsablauf festgelegt, definiert, wer Unterbeauftragter ist (Überbindung der Verpflichtungen) und beim Application Hosting ein Escrow-Agreement (zwei oder drei Parteien) vereinbart. Zusätzliche Datensicherung ist durch regelmässige Backups und Audits zu gewährleisten. Dabei ist auf das Problem der Bandbreite zu achten, um bei Bedarf schnell alle Daten sicher verschieben zu können. Es ist zu prüfen, ob mit einer «Multi-Cloud-Provider-Strategie» die Daten und Applikationen auf mehrere Partner verteilt werden können (Hybrid / Public und Private Cloud), was zwar die Kosten erhöht, sich aber positiv auf die Datensicherheit auswirkt und hilft, einer einseitigen Preiserhöhung präventiv vorzubeugen. Alpiq CloudServices Whitepaper Rechtliche Aspekte zur Datensicherheit 04 /15 12
Alpiq als Cloud-Provider Die folgende Checkliste zeigt, weshalb Alpiq mit Alpiq CloudServices als Anbieter geeignet ist: Schweizer Firma Schweizer Recht Gerichtsstand Schweiz Verschlüsselte Datenübertragung mit Sicherheitszertifikat Überprüfung auf Viren, Spyware und unerwünschte Websites Zertifikatsausstellung durch SwissSign (Tochter der Schweizerischen Post) Service Level während Bürozeiten (ausbaubar auf 24 7) Backup in Zweitstandort Ausbaubar zu redundanten Servern in verschiedenen Rechenzentren IT & TelCom Alpiq InTec gehört zu den führenden Anbietern im Bereich Informations- und Kommunikations-Lösungen. Durch den Einsatz modernster Technologien und mit kompetenten Dienstleistungen aus einer Hand sichern wir unseren Kunden einen substanziellen Mehrwert. Rund 230 hoch qualifizierte Mitarbeitende im Bereich IT & TelCom stehen Ihnen in elf Regionen der Schweiz zur Verfügung. Alpiq CloudServices Whitepaper Rechtliche Aspekte zur Datensicherheit 04 /15 13
Kontakt Alpiq InTec Gruppe IT & TelCom Hohlstrasse 188 CH-8026 Zürich T +41 44 247 44 70 salesit.ait.zuerich@alpiq.com www.alpiq-cloudservices.ch Ihre Ansprechpersonen Thomas Koch Alpiq InTec Ost AG, Zürich T +41 44 247 43 61 thomas.koch@alpiq.com Thomas Müller Alpiq InTec West AG, Basel T +41 61 260 77 55 thomas.mueller@alpiq.com Hans Plüss Alpiq InTec West AG, Olten T +41 62 287 67 61 hans.pluess@alpiq.com Alpiq CloudServices Whitepaper Rechtliche Aspekte zur Datensicherheit 04 /15 14