Alpiq CloudServices Whitepaper Rechtliche Aspekte zur Datensicherheit



Ähnliche Dokumente
Recht in der Cloud. Die rechtlichen Aspekte von Cloud Computing. Nicole Beranek Zanon Lic. iur., EMBA HSG. Alpiq Cloud Days 2014

Recht in der Cloud. Die rechtlichen Aspekte von Cloud Computing. Nicole Beranek Zanon Lic. iur., EMBA HSG. Alpiq Cloud Days 2014

Recht in der Cloud. Die rechtlichen Aspekte von Cloud Computing. Nicole Beranek Zanon Lic. iur., EMBA HSG. Alpiq Cloud Days 2014

Recht in der Cloud. Die rechtlichen Aspekte von Cloud Computing. Nicole Beranek Zanon Lic. iur., EMBA HSG. Alpiq Cloud Days 2014

D i e n s t e D r i t t e r a u f We b s i t e s

Freifunk Halle. Förderverein Freifunk Halle e.v. IT Sicherheitskonzept. Registernummer bei der Bundesnetzagentur: 14/234

Cordula E. Niklaus, Fürsprecherin ll.m. Anwaltskanzlei Niklaus, Zürich - niclaw

Herausforderungen beim Arbeiten in der Wolke

Arbeitskreis EDV Büro 2.0 Neue Technologien - Möglichkeiten und Risiken

Der Schutz von Patientendaten

Albert HAYR Linux, IT and Open Source Expert and Solution Architect. Open Source professionell einsetzen

Cloud-Computing. Selina Oertli KBW

Dialogik Cloud. Die Arbeitsumgebung in der Cloud

Lineargleichungssysteme: Additions-/ Subtraktionsverfahren

Treuhand Cloud. Die Arbeitsumgebung in der Cloud

Cloud Computing aus Sicht von Datensicherheit und Datenschutz

Marktstudie 2011: Cloud Computing im Business Einsatz. Durchgeführt von der AppSphere AG in Kooperation mit BT Germany

Cloud Security geht das?

GPP Projekte gemeinsam zum Erfolg führen

Rechtliche Herausforderungen für IT-Security-Verantwortliche

EIN C.A.F.E. FÜR DEN DATENSCHUTZ

Was ist eigentlich (neu am) Cloud Computing? Vertragsbeziehungen Datenschutz Nutzungsrechte Folgen für die Vertragsgestaltung ÜBERBLICK

Deutsches Forschungsnetz

Cloud Computing Security

Online Data Protection

Spotlight 5 Gründe für die Sicherung auf NAS-Geräten

Das Rechtliche beim Risikomanagement

WIR MACHEN SIE ZUM BEKANNTEN VERSENDER

Gewährleistung und SoftwaremieteVortrag im Rahmen der Veranstaltung IT-Recht - Grundlagen für Informatiker

Informationen zum Datenschutz im Maler- und Lackiererhandwerk

Cloud Computing. ITA Tech Talk, Oberursel, Nicholas Dille IT-Architekt, sepago GmbH

Was meinen die Leute eigentlich mit: Grexit?

Das Rechtliche beim Risikomanagement

Zentrum. Zentrum Ideenmanagement. Zentrum Ideenmanagement. Umfrage zur Nutzung von mobilen Endgeräten im Ideenmanagement

Eva Douma: Die Vorteile und Nachteile der Ökonomisierung in der Sozialen Arbeit

Paul Petzold Firmengründer, Verwaltungsratspräsident und Delegierter der Mirus Software AG

Externe Datensicherung in der Cloud - Chance oder Risiko?

OUTSOURCING ADVISOR. Analyse von SW-Anwendungen und IT-Dienstleistungen auf ihre Global Sourcing Eignung. Bewertung von Dienstleistern und Standorten

Checkliste Überwachung der Arbeitnehmenden

Engagement der Industrie im Bereich Cyber Defense. Blumenthal Bruno Team Leader Information Security RUAG Defence Aarau, 25.

Cloud Computing. Ergebnisse einer repräsentativen Erhebung für das BMELV

Stammdaten Auftragserfassung Produktionsbearbeitung Bestellwesen Cloud Computing

Das Persönliche Budget in verständlicher Sprache

infach Geld FBV Ihr Weg zum finanzellen Erfolg Florian Mock

Pensionskasse des Bundes Caisse fédérale de pensions Holzikofenweg 36 Cassa pensioni della Confederazione

Catherina Lange, Heimbeiräte und Werkstatträte-Tagung, November

Tabelle: Maßnahmen und Datenschutz-Kontrollziele zu Baustein 1.5 Datenschutz

Herzlich willkommen. zur Information Arbeitssicherheit / Gesundheitsschutz / für Kirchgemeinden

Schleupen.Cloud IT-Betrieb sicher, wirtschaftlich und hochverfügbar.

Gesetzliche Aufbewahrungspflicht für s

Immer noch wolkig - aktuelle Trends bei Cloud Services

T H E M E N S E R V I C E

Anleitung zum DKM-Computercheck Windows Defender aktivieren

1. bvh-datenschutztag 2013

Lizenzierung von SharePoint Server 2013

Transparenz und Datenschutz: Gedanken aus Schweizer Sicht

DER SELBST-CHECK FÜR IHR PROJEKT

Geprüfter Datenschutz TÜV Zertifikat für Geprüften Datenschutz

Herzlich Willkommen! MR Cloud Forum Bayreuth

Rechtssichere -Archivierung

Nicht über uns ohne uns

Konzentration auf das. Wesentliche.

Dienstleistungen Externer Datenschutz. Beschreibung der Leistungen, die von strauss esolutions erbracht werden

«Zertifizierter» Datenschutz

Cloud Computing - Umgang mit Unternehmensinformation. und urheberrechtlicher Sicht

(Rechts-)Sicher in die Cloud

Rechtssichere Nutzung von Cloud Services nach Prism Kann man der Cloud noch vertrauen?

synergetic AG Open House 2012 Ihr Unternehmen in der Wolke - Cloud Lösungen von synergetic

Lizenzierung von SharePoint Server 2013

Mit Sicherheit gut behandelt.

Was ist Sozial-Raum-Orientierung?

Sourcing Modell Phase 3

Verpasst der Mittelstand den Zug?

INS Engineering & Consulting AG

Die neue Aufgabe von der Monitoring-Stelle. Das ist die Monitoring-Stelle:

Cloud Vendor Benchmark 2015 Softwareanbieter und Dienstleister im Vergleich

AGROPLUS Buchhaltung. Daten-Server und Sicherheitskopie. Version vom b

Informatiklösungen die punkten. spaïxx gmbh - unsere Kernkompetenzen

ccc cloud computing conference 2011 Cloud Computing Neue Impulse für die Wirtschaft

Sicher ist sicher! itbank Hosting!

Probleme kann man nie mit derselben Denkweise lösen, durch die sie entstanden sind. Albert Einstein BERATUNG

DFN-AAI Sicherheitsaspekte und rechtliche Fragen

Risikomanagement Gesetzlicher Rahmen SAQ Sektion Zürich: Risikomanagement ein Erfolgsfaktor. Risikomanagement

Neues Modul für individuelle Anlagen. Änderung bei den Postleitzahl-Mutationen

Allgemeine Geschäftsbedingungen AGB

Datenschutz in der Cloud Datenschutzrechtliche Besonderheiten bei Services aus der Cloud und der Vertragsgestaltung

Was passiert mit meiner Cloud, wenn es regnet?

Vertrags- und Lizenzfragen im Rahmen des Cloud Computing LES Arbeitsgruppenmeeting 13. Mai 2011

Finanzierung für den Mittelstand. Leitbild. der Abbildung schankz

Informatik für Ökonomen II HS 09

IT-SICHERHEIT IM UNTERNEHMEN Mehr Sicherheit für Ihre Entscheidung

Die Post hat eine Umfrage gemacht

Workshop. Die Wolken lichten sich. Cloud Computing"-Lösungen rechtssicher realisieren

Auslandsaufenthalte: was ist zu beachten?

Checkliste zur Planung einer Webseite

Private oder public welche Cloud ist die richtige für mein Business? / Klaus Nowitzky, Thorsten Göbel

Agenda: Richard Laqua ISMS Auditor & IT-System-Manager

Die Gesellschaftsformen

Sicherheits-Tipps für Cloud-Worker

Transkript:

Alpiq CloudServices Whitepaper Rechtliche Aspekte zur Datensicherheit Alpiq CloudServices Whitepaper Rechtliche Aspekte zur Datensicherheit 04 /15

In Kürze Dieses Whitepaper basiert auf der Veranstaltungsreihe «Cloud-Services und das Gesetz: Was ist beim Auslagern juristisch zu beachten?» vom Herbst 2014 und Frühjahr 2015. Die insgesamt acht Cloud-Events wurden von der Alpiq InTec Gruppe zusammen mit Swisscom und der Anwaltskanzlei de la cruz beranek durchgeführt. Alpiq CloudServices Whitepaper Rechtliche Aspekte zur Datensicherheit 04 /15 2

Index 4 Einleitung 5 Das Cloud Ecosystem 6 Risikobetrachtung 7 Betriebsszenarien 8 Rechtliche Aspekte 9 Verantwortlichkeiten 10 Vertragliche Regelungen 11 Interdisziplinäre Kundenherausforderungen 12 Zusammenfassung 13 Alpiq als Cloud-Provider 14 Kontakt Alpiq CloudServices Whitepaper Rechtliche Aspekte zur Datensicherheit 04 /15 3

Einleitung In einer komplexer werdenden Welt gilt es dem Thema Datensicherheit erhöhte Aufmerksamkeit zu schenken. Seit den Enthüllungen rund um NSA und Co. gilt es, die Risiken der Datenhaltung sorgfältig einzuschätzen und Vorsichtsmassnahmen umsichtig aufzubauen. Dies gilt für die Inhouse-Datenspeicherung, umso mehr aber für die Auslagerung von Daten an externe Rechenzentren oder in die Cloud via Provider. Den Unternehmen ist dabei von Gesetzes wegen eine Instruktions- und Sorgfaltspflicht auferlegt, die vom Verwaltungsrat zu kontrollieren und im Schadensfall zu verantworten ist. Grundsätzlich ist für die Datensicherheit also der Verwaltungsrat eines Unternehmens verantwortlich. Es gehört zu seinen Aufgaben dafür zu sorgen, dass die Datensicherheit in genügendem Masse gewährleistet ist, als Teil eines umfassenden Risiko Managements. Je mehr und je wichtiger die ausgelagerten Daten und Services sind, desto ausgeprägter fällt die Prüfungspflicht für den Verwaltungsrat aus (OR 716a). Der Trend zur Auslagerung in die Cloud ist ungebrochen und stellt darum viele Unternehmen vor die Fragen: Wie schütze ich meine Daten in der Cloud? Und: Was muss ich bei der Auslagerung in Bezug auf den rechtlichen Aspekt beachten? Alpiq CloudServices Whitepaper Rechtliche Aspekte zur Datensicherheit 04 /15 4

Das Cloud Ecosystem Sei es als Internet Access Provider oder Verschlüsselungsanbieter; wenn eine Auslagerung der Daten innerhalb der Schweiz oder auch ins Ausland vorgesehen ist, müssen je nach Fokus zum Teil unterschiedliche rechtliche Themen vertiefter betrachtet werden. Aus dem Blickwinkel des Nutzers, mit Fokus als Anbieter oder auch aus der Perspektive eines Zulieferers versuchen wir anschliessend einige wichtige Faktoren zu beleuchten. Cloud-Anbieter (Schweiz / Ausland) XaaS IaaS PaaS SaaS Internet Access Provider Verschlüsselungsanbieter, IAM-Provider Unternehmen, Cloud-Nutzer: Schweiz Unternehmen, Cloud-Nutzer: Ausland Alpiq CloudServices Whitepaper Rechtliche Aspekte zur Datensicherheit 04 /15 5

Risikobetrachtung Unbestritten ist, dass während des Datentransports das grösste Risiko durch sogenannte MIM-Attacken / Angriffe besteht, die nicht erkannt und abgewehrt werden können trotz harter Verschlüsselung. Denn ist man sich der Tatsache bewusst, dass heute noch 40 Prozent der Daten nicht verschlüsselbar und damit NSA-sicher versandt werden können, wundert man sich nicht über die Aktualität dieses Themas. Als wichtigste Regel gilt, dass der Schlüssel und die Verschlüsselungssoftware ständig up to date zu halten sind, um Serverseitig einem Hacking beim Rechenzentrum / Cloud-Anbieter zuvorzukommen respektive es zu unterbinden. Dazu steht heute eine gute Auswahl unterschiedlichster Sicherheitssoftware-Anbieter zur Verfügung, die in Zusammenarbeit zwischen Provider oder Rechenzentrum evaluiert werden sollten. bezüglich Endgeräten die Einschleusung von Spyware und Typolockern zu verhindern. Dazu ist zu beachten, dass die Endgeräte der verwundbarste Punkt im Sicherheitsnetz darstellen. bezüglich dem Faktor Mensch möglichen Gefahren zu begegnen. Dazu braucht es ein ganzheitliches Vorgehen, das bereits bei der Auswahl passender und vertrauenswürdiger Mitarbeitender beginnt, im fairen täglichen Umgang erprobt wird und durch operative Prozesse präventiv zu verhindern ist. Alpiq CloudServices Whitepaper Rechtliche Aspekte zur Datensicherheit 04 /15 6

Betriebsszenarien Egal welches Szenario gewählt wird, es ist immer die Pflicht des Verwaltungsrates, einen vertrauenswürdigen Cloud-Provider sorgfältig auszuwählen. Dabei ist der Tatsache Rechnung zu tragen, dass je mehr wichtige Services ausgelagert werden, desto höher eine Prüfungspflicht nach OR 716a besteht. Für die Wahl eines Cloud-Providers sind drei Hauptbereiche zu beachten: 1. Standort des Providers 2. Finanzielle Verhältnisse des Providers 3. Die jeweils geltenden gesetzlichen Regulatoren Alpiq CloudServices Whitepaper Rechtliche Aspekte zur Datensicherheit 04 /15 7

Rechtliche Aspekte Die Frage nach dem optimalen Datenschutz stellt sich nicht erst bei der Prüfung, ob eigene neue Hardware angeschafft oder die vielfältigen Cloud- Angebote berücksichtig werden sollen, sondern welche heute vor jeder Softwarebeschaffung zu klären ist. Dabei sind die dazugehörigen unterschiedlichen rechtlichen Aspekte zu beachten. Grundsatzfragen: Cloud ja oder nein? 1 Welche Nachteile hat unser Unternehmen im heutigen Ist-Zustand? 2 Welchen Anspruch haben wir als Unternehmen an die IT-Infrastruktur? Wie zentral ist dies? 3 Welche Flexibilität in den Anforderungen können wir uns leisten? 4 Welche Daten sind unternehmenskritisch? 5 Gehört die Informatik zu den Kernkompetenzen unseres Unternehmens? 6 Welche Verfügbarkeit ist notwendig? 7 Existierten eine Risikoanalyse und entsprechende operative Prozesse für die Behebung von Gefahren? Die rechtlichen Risiken sind durch klare Haftungsregeln zu minimieren. Dazu gehören Schäden infolge von Mitarbeiterfehlern, fehlender zeitlicher Verfügbarkeit, durch Dritte verursachte Fehler oder die Verletzung des Datenschutzes infolge «Force Majeure» etc. Der Zugriff auf Daten durch staatliche Institutionen ist gesetzlich geregelt (Bundesgesetz betreffend die Überwachung des Post- und Fernmeldeverkehrs BÜPF) und muss kontrolliert und transparent abgewickelt werden. Erfolgt ein Zugriff aus regulatorischen und strafrechtlichen Gründen von Drittbehörden wie der Wettbewerbskommission (WEKO), Swissmedic, Strafuntersuchungsbehörden von Drittstaaten etc., so sind dazu die rechtsstaatlichen Prozesse zu beachten. Alpiq CloudServices Whitepaper Rechtliche Aspekte zur Datensicherheit 04 /15 8

Verantwortlichkeiten Bei der Providerevaluation spielt es eine grosse Rolle, ob bekannt und in den Verträgen folgendes definiert ist: 1. Welches Recht anwendbar und welcher Gerichtsstand zuständig ist. Ohne Nennung eines probaten Gerichtsstandes in den Verträgen ist die Durchsetzbarkeit von Ansprüchen oft nicht möglich oder kann das anwendbare Recht nicht richtig definiert bzw. auf ähnliche Rechtsordnung und ähnliche Lösungen verwiesen werden. 2. Wo das Rechenzentrum steht, ob es in einem Risikoland oder einer Risikoregion liegt. Welche Zugriffsmöglichkeiten bestehen? Welche staatliche Gesetzgebung ist massgeblich? Wie ist die Beurteilung der politischen Stabilität dieses Landes? 3. Wer die Firma des Cloud-Anbieters beherrscht. Problematik: Zwangsmittel auf US-amerikanische Firmen oder von Staaten (LIS-System der Schweizer Regierung im Rahmen des BÜPF) und welche Auswirkungen diese haben könnten? 4. Wie das Rechenzentrum kapitalisiert ist. 5. Welche Kooperationen, Drittpartner und Unterbeauftragte Zugriff auf die Daten erheben könnten. 6. Welche Zertifizierungen Mitarbeitenden aufweisen. Alpiq CloudServices Whitepaper Rechtliche Aspekte zur Datensicherheit 04 /15 9

Vertragliche Regelungen Vertragliche Regelungen sollten für folgende Vorgänge definiert werden: Konkrete Service Level Agreements Zulässige Redundanzen und deren Behebung Schnittstellendefinitionen und Vereinbarungen für deren Zuständigkeit Ansprechstellen und zuständige Kontakte Regelungen über die Datenrückgabe und über den Datenzugriff Die Anforderungen für den Daten- und Informationsschutz sind nach dem Grundsatz (Art. 8 Abs. 1 VDSG) Vertraulichkeit, Verfügbarkeit und Integrität zu regeln. Dabei ist die Frage zu beantworten, wer der rechtmässige Besitzer der Daten ist und für welche Zwecke diese Daten wie eingesetzt werden dürfen.als Grundlage dient dabei die Verhältnismässigkeit des zu betreibenden Aufwandes. Eine weitere Frage in Bezug auf den Datenschutz stellt sich hinsichtlich der Erkennbarkeit von Daten, ihrer Transparenz im Allgemeinen sowie auch nach der Richtigkeit des Datenmaterials. Personendaten müssen durch angemessene technische und organisatorische Massnahmen gegen unbefugtes Bearbeiten geschützt werden (Art. 7 DSG). Zur Datensicherheit bedarf es geeigneter technischer und organisatorischer Massnahmen (Art. 8 Abs. 2 VDSG). Alpiq CloudServices Whitepaper Rechtliche Aspekte zur Datensicherheit 04 /15 10

Interdisziplinäre Kundenherausforderungen Als erster Schritt ist die Identifikation der Risiken vorzunehmen, wozu die vorhandenen Daten zu analysieren und zu bewerten sind. Dabei sind die Methoden von Rechenzentrum zu Rechenzentrum und von Cloud-Anbieter zu Cloud-Anbieter unterschiedlich. Bei der Implementation sind die Schnittstellen zu definieren und jeweils ein Verantwortlicher zu benennen. Während des Prozesses ist auf die Überwachung sowie auf die Migration ebenso Wert zu legen, wie auf die laufende Reduzierung von Risiken. Alpiq CloudServices Whitepaper Rechtliche Aspekte zur Datensicherheit 04 /15 11

Zusammenfassung Bezüglich der Sicherheit von Daten in der Cloud sind folgende Empfehlungen zentral: Reduktion der Komplexität durch vertrauenswürdige Partner und Ansprechpersonen anstreben. Verträge sorgfältig untersuchen und redigieren. Compliance bereits beim Setup und bei der Auswahl Evaluation der eigenen Daten anwenden. Backup zu Drittanbietern vorsehen. Escrow-Agreements für Software beachten. Die Infrastruktur und die Unternehmensdaten technisch immer up to date halten. Der Cloud-Kunde hat eine Instruktions- und Sorgfaltspflicht auf Verwaltungsrats-Stufe. Im Vertrag sind: ein Konkursszenario abgebildet und der Migrationsablauf festgelegt, definiert, wer Unterbeauftragter ist (Überbindung der Verpflichtungen) und beim Application Hosting ein Escrow-Agreement (zwei oder drei Parteien) vereinbart. Zusätzliche Datensicherung ist durch regelmässige Backups und Audits zu gewährleisten. Dabei ist auf das Problem der Bandbreite zu achten, um bei Bedarf schnell alle Daten sicher verschieben zu können. Es ist zu prüfen, ob mit einer «Multi-Cloud-Provider-Strategie» die Daten und Applikationen auf mehrere Partner verteilt werden können (Hybrid / Public und Private Cloud), was zwar die Kosten erhöht, sich aber positiv auf die Datensicherheit auswirkt und hilft, einer einseitigen Preiserhöhung präventiv vorzubeugen. Alpiq CloudServices Whitepaper Rechtliche Aspekte zur Datensicherheit 04 /15 12

Alpiq als Cloud-Provider Die folgende Checkliste zeigt, weshalb Alpiq mit Alpiq CloudServices als Anbieter geeignet ist: Schweizer Firma Schweizer Recht Gerichtsstand Schweiz Verschlüsselte Datenübertragung mit Sicherheitszertifikat Überprüfung auf Viren, Spyware und unerwünschte Websites Zertifikatsausstellung durch SwissSign (Tochter der Schweizerischen Post) Service Level während Bürozeiten (ausbaubar auf 24 7) Backup in Zweitstandort Ausbaubar zu redundanten Servern in verschiedenen Rechenzentren IT & TelCom Alpiq InTec gehört zu den führenden Anbietern im Bereich Informations- und Kommunikations-Lösungen. Durch den Einsatz modernster Technologien und mit kompetenten Dienstleistungen aus einer Hand sichern wir unseren Kunden einen substanziellen Mehrwert. Rund 230 hoch qualifizierte Mitarbeitende im Bereich IT & TelCom stehen Ihnen in elf Regionen der Schweiz zur Verfügung. Alpiq CloudServices Whitepaper Rechtliche Aspekte zur Datensicherheit 04 /15 13

Kontakt Alpiq InTec Gruppe IT & TelCom Hohlstrasse 188 CH-8026 Zürich T +41 44 247 44 70 salesit.ait.zuerich@alpiq.com www.alpiq-cloudservices.ch Ihre Ansprechpersonen Thomas Koch Alpiq InTec Ost AG, Zürich T +41 44 247 43 61 thomas.koch@alpiq.com Thomas Müller Alpiq InTec West AG, Basel T +41 61 260 77 55 thomas.mueller@alpiq.com Hans Plüss Alpiq InTec West AG, Olten T +41 62 287 67 61 hans.pluess@alpiq.com Alpiq CloudServices Whitepaper Rechtliche Aspekte zur Datensicherheit 04 /15 14

2024 © DocPlayer.org Datenschutzbestimmungen | Nutzungsbedingungen | Feedback