Dipl.-Inform. Ingmar Camphausen IT-Dienst, Fachbereich Mathematik und Informatik Die Cloud-Richtlinie der Freien Universität Berlin Fünfte Fachtagung für Datenschutzbeauftragte an Hochschulen und anderen wissenschaftlichen Einrichtungen. Berlin, 22./23. März 2012
Das IT-Sicherheits- Umfeld an der FU Berlin IT-Sicherheits-Richtlinie Seit 2005, inzwischen Release 3 kurz vor der Verabschiedung verbindlich für alle Bereiche (Verwaltung und Wissenschaftlerinnen) angelehnt an GS-Handbuch des BSI ( Maßnahmen...) IT-Sicherheit breit strukturell verankert IT-Sicherheitsprozess etabliert (seit ca. 2002) Zentraler IT-Sicherheitsbeauftragter IT-Beauftragte in den verschiedenen zentralen und dezentralen Bereichen AG IT-Sicherheit (ca. 8 Mitwirkende inkl. DSB) als Think Tank und Motor Information von neuen MitarbeiterInnen bei Einstellung Datenschutz-Tagung Abuse Response Team im Rechenzentrum Verfahrensdatenbank (Auftragsentwicklung, web-basiert) zur Dokumentation und Verwaltung der IT- Verfahren und der zugehörigen Verfahrensbeschreibungen 2
FU-Cloud-Richtlinie Entstehung & Status quo 2011: wachsende Verbreitung von Smartphone, ipads & Co. An der FU Frühjahr 2011 (?): Mitarbeiter des RZ bittet FU-CIO um klare Ansage in Bezug auf von Nutzern gewünschte Installation von Cloud-Dienste-Software (Dropbox) 21. Juni 2011: Heise: Dropbox akzeptierte 4 Stunden lang beliebige Passwörter Juli 2011: Auftrag des CIO-Gremiums an die AG IT-Sicherheit der FU Berlin: Formulierung Leitfaden zum Umgang mit Internet-Datenspeichern August Oktober 2011: Ausarbeitung eines Vorschlags für eine "Richtlinie zur Datenablage in der Cloud November 2011: Abstimmung des Entwurfs mit Personalvertretung und IT- Beauftragten der verschiedenen FU-Bereiche 19. Dez. 2011 Heise News: Innenministerium plant sichere Bundes-Cloud Februar 2012: CIO-Gremium der FU beschließt FU- Cloud-Richtlinie 9. März: Veröffentlichung der Richtlinie als FU-Rundschreiben (= In-Kraft-Treten) 24. März 2012: Vorstellung der Richtlinie auf der 5. Datenschutz-Tagung 3
Umfang und Fokus der FU- Cloud-Richtlinie Zielt auf Speicherung von Daten ab ( Lex Dropbox ) Adressaten sind normale Computernutzende der FU Grundannahmen: Mitarbeitende sind (mit Unterstützung) besser selbst in der Lage, ihre Daten und deren Schutzbedürftigkeit einzuschätzen Trennung zwischen privaten und dienstlichen Belangen/Aktivitäten verschwimmt, gerade im Wissenschaftsbereich Sorglose Nutzung von Cloud-Diensten im privaten Bereich Dropbox et al. werden (weiter) genutzt, selbst wenn wir es verbieten Wir wollen mit dem Dokument sensibilisieren AnwenderInnen sollen nicht allein gelassen werden, sondern möglichst konkrete Hinweise erhalten, wann/wie eine zulässige Cloud-Nutzung möglich ist Dokument soll möglichst kurz und gut verständlich sein 11 Seiten, davon 7 Seiten Inhalt + 1 Seite Zusammenfassung (Checkliste) Verworfen: konkrete Empfehlung o.ä. für bestimmte Dienste(-anbieter) 4
Datenkategorien als Anhaltspunkt Schutzbedarf der Daten entscheidendes Kriterium für Eignung zur Ablage Hilfsmittel zur Bestimmung des Schutzbedarfes: Kategorie der Daten: Folgerung: 5
Regelungen Vorrangig hausinterne Dienste nutzen Schutzbedarf der Daten bestimmt den Umfang der Cloud-Nutzung Zuverlässige Löschung von Daten oft nicht nachvollziehbar Daten, die gesetzlichen Löschpflichten unterliegen, für Cloud-Ablage ungeeignet Dienstrechtliche und interne Regelungen beachten (Daten-)sparsame Nutzung von Cloud-Diensten Cloud-Betreiber mit Sitz außerhalb der EU datenschutzrechtlich problematisch SLAs/AGBs regelmäßig prüfen (hohe Änderungsrate bei vielen Anbietern) Auf (Nicht-)Vorhandensein von Zertifizierungen/Gütesiegeln achten Weitere Aspekte nicht außer Acht lassen wie Performance, Bedienbarkeit, Kosten statt Zusammenfassung: Checkliste 6
Checkliste zur Eignungsprüfung (1) Angebot der inneruniversitären IT- Dienstleister (RZ, UB u.a.) geprüft? Interner Service zur Ablage der Daten geeignet? SLAs bzw. AGB des Anbieters angesehen? Passen die Bedingungen zu den Anforderungen? Verfügbarkeitsanforderungen durch den Dienst erfüllt? Integritätsanforderungen erfüllt? Vorkehrungen getroffen, falls hohe Integritätsanforderungen bestehen? 7
Checkliste zur Eignungsprüfung (2) Erlauben die Vertraulichkeitsanforderungen der Daten eine unverschlüsselte Ablage in der Cloud? Falls nur verschlüsselte Ablage erlaubt: Verschlüsselung vor der Abspeicherung? Sind die Schlüssel im Bereich der FU Berlin abgelegt? Sollen personenbezogene Daten abgelegt werden? Wenn ja: Dienstliche pd dürfen nicht in der Cloud abgelegt werden! DS-Anforderungen hinsichtlich Auftrags-DV erfüllt? Erlauben gesetzliche o. a. Vorschriften die externe Ablage der Daten? Unterliegen die Daten bestimmten Löschfristen? Wenn ja: Genügt der Dienst diesen Anforderungen? 8
Links Die Richtlinie zur Datenablage in der Cloud der Freien Universität Berlin: unter 2012, Serie V auf http://www.fu-berlin.de/service/zuvdocs/fu-rundschreiben/index.html Weitere Dokumente der Freien Universität Berlin zur IT-Sicherheit: http://www.fu-berlin.de/sites/eas/it-sicherheit/downloads_zur_it-sicherheit Orientierungshilfe der DSB des Bundes und der Länder zu Cloud-Computing: http://www.datenschutz-bayern.de/technik/orient/oh_cloud.pdf BSI zu Sicherheit beim Cloud-Computing: https://www.bsi.bund.de/shareddocs/downloads/de/bsi/ Mindestanforderungen/Eckpunktepapier-Sicherheitsempfehlungen- CloudComputing- Anbieter.pdf? blob=publicationfile 9
Diskussion FU-Ansatz: mündige NutzerInnen Spielraum erhalten An Realität im Wissenschaftsbetrieb orientiert AK DSBs der Helmholtz- Gemeinschaft: Eine eigenmächtige (...) Nutzung externer [IT-] Dienstleistungen durch Beschäftigte (...) ist sowohl aus datenschutzrechtlichen als auch aus IT-sicherheitstechnischen Gründen abzulehnen (...)! 10
Bitte fragen Sie jetzt! Vielen Dank! Ingmar Camphausen IT-Dienst, FB Mathematik und Informatik Freie Universität Berlin ingmar@mi.fu-berlin.de Tel. 030/838-75179 www.mi.fu-berlin.de 11