Eine brandaktuelle Studie im Auftrag von Fujitsu belegt es aufs Neue: egal, in welcher Branche, sobald es um IT geht, spielt die Sicherheit eine übergeordnete Rolle. Gerade erst im letzten Jahr trat die neue Datenschutz-Grundverordnung (DS-GVO) in Kraft. Ab dem 25. Mai nächsten Jahres wird sie auch zum Bestandteil der deutschen Rechtsordnung gehören. Ohne Daten geht in einer sich digitalisierenden Welt nichts mehr und genau hier ändert sich mit der neuen DS-GVO etwas Grundlegendes.
Gemäß Artikel 1 enthält die neue Verordnung Vorschriften zum Schutz natürlicher Personen bei der Verarbeitung personenbezogener Daten und zum freien Verkehr solcher Daten. Was sich genau verändert und warum die zukünftige Rechtssprechung vor allem Cloud-Computing betrifft, erläutern wir Ihnen mit diesem Beitrag.
Cloud-Computing wird aus Sicht des Datenschutzes mehrheitlich als Auftragsdatenverarbeitung eingestuft. Das heißt, der Anwender und zugleich Auftraggeber behält die Verantwortung über die in die Cloud übertragenen Daten. Damit unterliegt er einer Pflicht. Cloud-Anwender müssen ihren Provider sorgfältig auswählen und die Rechtskonformität der Verarbeitung personenbezogener Daten überprüfen.
Um dies überhaupt zu können, geht die neue DS-GVO noch einen Schritt weiter. Sie fordert die Einführung geregelter datenschutzspezifischer Zertifizierungsverfahren und Datenschutzsiegel. Diese dienen dazu, Verordnungskonformität überprüfen und nachweisen zu können.
Heute vergeben Zertifizierungsstellen typischerweise ihre Gütesiegel mit einer Gültigkeit von bis zu drei Jahren. Danach ist eine Re-Zertifizierung notwendig. Allerdings stellt eine solche Zertifizierung durch die schnelle Entwicklung der Informationstechnologie immer nur eine Momentaufnahme dar. So wie in den folgenden vier Beispielen.
- Die Entwicklungszyklen der quelloffenen OpenStack-Lösungen zum Managen einer Cloud betragen meist nur sechs Monate.
- Fujitsu stellt in kurzen Innovationszyklen neue Cloud-Services in seiner K5 Cloud-Plattform bereit.
- Auch Gesetze ändern sich. Zum Beispiel müssen die geltenden Rechtsvorschriften der Mitgliedsstaaten zum Datenschutz sämtlich mit dem Unionsrecht harmonisiert werden. In Deutschland betrifft das eine Vielzahl von Vorschriften.
- Virtualisierungstechniken erlauben dynamische Zuordnungen von IT-Ressourcen zu Cloud-Services.
Alle diese Fälle belegen Eines: Die Aussagekraft herkömmlicher Gütesiegel wird noch vor Fristablauf anfechtbar und eignet sich somit kaum für den geforderten Konformitätsnachweis der neuen DS-GVO. Was aber können wir dagegen tun? Um dieses Problem zu lösen, müssen wir das Zertifizierungswesen in die Dynamik mit einbeziehen, indem die Prüfverfahren digitalisiert werden. Somit lässt sich der Zertifizierungsstatus kontinuierlich aktualisieren und darstellen.
Das Forschungsprojekt NGCert
Das Forschungsprojekt „NGCert – Next Generation Certification“ hat hierzu wirksame Lösungsansätze zum kontinuierlichen Nachweis des Zertifizierungsstatus von Cloud-Services erforscht, entwickelt und im Feld praktisch erprobt.
NGCert ist Teil des Themenfeldes „Sicheres Cloud-Computing“ der Hightech-Strategie der Bundesregierung und wird vom Bundesforschungsministerium gefördert. Fujitsu wirkt an dieser Stelle als aktives Mitglied im interdisziplinär aufgestellten Konsortium aus Forschung, Wissenschaft und Wirtschaft mit. Darüber hinaus kooperiert Fujitsu eng mit der Universität Passau. Konkret mit Prof. Hermann de Meer, der den Lehrstuhl für Informatik mit dem Schwerpunkt Rechnernetze und Rechnerkommunikation innehat.
Die vielversprechenden Forschungsergebnisse
Mit dem folgenden Abschnitt bieten wir einen Einblick in den entwickelten Lösungsansatz eines dynamischen Zertifizierungswesens, indem die Wertbeiträge der beteiligten Akteure, Cloud-Service-Kunden, Provider und Auditoren, berücksichtigt und miteinander vernetzt sind. Im Fokus des Ganzen steht ein angedachter Zertifizerungsdienst, den eine unabhängige neutrale Stelle verantwortet. Prinzipiell kann dieser Dienst zwei Klassen automatisierter Prüfverfahren ausführen:
- Monitore, die Logdaten im Produktionsstrom des Cloud-Service-Provider erheben,
- Testroutinen, die bestimmte Ergebnisse liefern und zum Beispiel den geografischen Ort eines spezifischen IT-Objekts ermitteln.
Die unabhängige Zertifizierungsstelle soll dabei die Integrität und Vertrauenswürdigkeit der Ergebnisse garantieren, die den jeweiligen Zertifizierungsstatus in Echtzeit belegen.
Das Projekt zeigte, wie die Technik eines zukünftig dynamischen Zertifizierungsdienstes als Cloud-Service rechtsverträglich im Einklang mit der DS-GVO gestaltet sein muss. Erfahrungsgemäß erweist es sich als außerordentlich schwierig, ein rechtliches Modell in ein technisch konkretes Anforderungsmodell zu übersetzen. Hierzu setzten die Experten die Methode zur Konkretisierung rechtlicher Anforderungen zu technischen Gestaltatungsvorschlägen ein, die von der Projektgruppe verfassungsverträgliche Technikgestaltung an der Universität Kassel entwickelt worden ist. Damit konnten die rechtlichen Vorgaben der DS-GVO stufenweise abgeleitet und in eine konkrete Sprache der Technik überführt werden.
Im Rahmen eines online-Experiments analysierten wissenschaftliche Mitarbeiter des Lehrstuhls von Prof. Krcmar der Universität München die Werteinschätzung dynamischer Gütesiegel auf potenzielle Kunden von Cloud-Service-Providern. Fujitsu unterstützte das Experiment. Es zeigte, dass Entscheider den Wert eines dynamischen Gütesiegels hoch einschätzen. Die Vorlage eines dynamischen Gütesiegels beeinflusst Sourcing-Entscheidungen positiv.
Weiter soll das Forschungsprojekt die Frage klären, inwieweit sich Prüf- und Zertifizierungsverfahren automatisieren lassen. Hierzu trugen die Experten einen generischen Katalog mit den Prüfkriterien der gängigsten Zertifizierungsverfahren zusammen. Projektbeteiligte, aber auch Vertreter von Cloud-Service-Providern schätzen das Automatisierungspotenzial als hoch ein.
Ein positiver Ausblick
Die Chancen für einen umfassenden Datenschutz gemäß DS-GVO sind vielversprechend. Voraussetzung ist ein dynamischer Zertifizierungsdienst, wie von NGCert angedacht, der die statischen Verfahren von heute ablösen kann.
Zertifizierungsstellen können die Datenschutzkonformität der Cloud-Provider in Echtzeit zentral überwachen. Cloud-Provider werden Zertifizierungsdienste selbst als Cloud-Service flexibel hinzu buchen können. Dieser Service lässt sich einfach und effizient in den Betriebsablauf integrieren. Auf diese Weise können Provider ihren Kunden Datenschutz in Form verbindlicher Privacy Level Agreements anbieten und in Echtzeit den jeweiligen Zertifizierungsstatus aggregiert aus den Ergebnissen mehrerer Prüfverfahren belastbar und transparent nachweisen. Kunden als Verantwortliche im Sinne des Datenschutzes können so Cloud-Provider souverän auswählen und die Leistungsqualität beurteilen. Zertifizierung wird effizient und effektiv möglich, auch für kleinere und mittelgroße IT-Service-Provider.