close

Mit Sicherheit: Datenschutz im Cloud-Computing

Geschätzte Lesezeit: 4 Minuten

Eine brand­ak­tu­el­le Stu­die im Auf­trag von Fuji­tsu belegt es aufs Neue: egal, in wel­cher Bran­che, sobald es um IT geht, spielt die Sicher­heit eine über­ge­ord­ne­te Rol­le. Gera­de erst im letz­ten Jahr trat die neue Daten­schutz-Grund­ver­ord­nung (DS-GVO) in Kraft. Ab dem 25. Mai nächs­ten Jah­res wird sie auch zum Bestand­teil der deut­schen Rechts­ord­nung gehö­ren. Ohne Daten geht in einer sich digi­ta­li­sie­ren­den Welt nichts mehr und genau hier ändert sich mit der neu­en DS-GVO etwas Grund­le­gen­des.

Gemäß Arti­kel 1 ent­hält die neue Ver­ord­nung Vor­schrif­ten zum Schutz natür­li­cher Per­so­nen bei der Ver­ar­bei­tung per­so­nen­be­zo­ge­ner Daten und zum frei­en Ver­kehr sol­cher Daten. Was sich genau ver­än­dert und war­um die zukünf­ti­ge Rechts­spre­chung vor allem Cloud-Com­pu­ting betrifft, erläu­tern wir Ihnen mit die­sem Bei­trag.

Cloud-Com­pu­ting wird aus Sicht des Daten­schut­zes mehr­heit­lich als Auf­trags­da­ten­ver­ar­bei­tung ein­ge­stuft. Das heißt, der Anwen­der und zugleich Auf­trag­ge­ber behält die Ver­ant­wor­tung über die in die Cloud über­tra­ge­nen Daten. Damit unter­liegt er einer Pflicht. Cloud-Anwen­der müs­sen ihren Pro­vi­der sorg­fäl­tig aus­wäh­len und die Rechts­kon­for­mi­tät der Ver­ar­bei­tung per­so­nen­be­zo­ge­ner Daten über­prü­fen.

Um dies über­haupt zu kön­nen, geht die neue DS-GVO noch einen Schritt wei­ter. Sie for­dert die Ein­füh­rung gere­gel­ter daten­schutz­spe­zi­fi­scher Zer­ti­fi­zie­rungs­ver­fah­ren und Daten­schutz­sie­gel. Die­se die­nen dazu, Ver­ord­nungs­kon­for­mi­tät über­prü­fen und nach­wei­sen zu kön­nen.

Heu­te ver­ge­ben Zer­ti­fi­zie­rungs­stel­len typi­scher­wei­se ihre Güte­sie­gel mit einer Gül­tig­keit von bis zu drei Jah­ren. Danach ist eine Re-Zer­ti­fi­zie­rung not­wen­dig. Aller­dings stellt eine sol­che Zer­ti­fi­zie­rung durch die schnel­le Ent­wick­lung der Infor­ma­ti­ons­tech­no­lo­gie immer nur eine Moment­auf­nah­me dar. So wie in den fol­gen­den vier Bei­spie­len.

  • Die Ent­wick­lungs­zy­klen der quell­of­fe­nen Open­Stack-Lösun­gen zum Mana­gen einer Cloud betra­gen meist nur sechs Mona­te.
  • Fuji­tsu stellt in kur­zen Inno­va­ti­ons­zy­klen neue Cloud-Ser­vices in sei­ner K5 Cloud-Platt­form bereit.
  • Auch Geset­ze ändern sich. Zum Bei­spiel müs­sen die gel­ten­den Rechts­vor­schrif­ten der Mit­glieds­staa­ten zum Daten­schutz sämt­lich mit dem Uni­ons­recht har­mo­ni­siert wer­den. In Deutsch­land betrifft das eine Viel­zahl von Vor­schrif­ten.
  • Vir­tua­li­sie­rungs­tech­ni­ken erlau­ben dyna­mi­sche Zuord­nun­gen von IT-Res­sour­cen zu Cloud-Ser­vices.

Alle die­se Fäl­le bele­gen Eines: Die Aus­sa­ge­kraft her­kömm­li­cher Güte­sie­gel wird noch vor Frist­ab­lauf anfecht­bar und eig­net sich somit kaum für den gefor­der­ten Kon­for­mi­täts­nach­weis der neu­en DS-GVO. Was aber kön­nen wir dage­gen tun? Um die­ses Pro­blem zu lösen, müs­sen wir das Zer­ti­fi­zie­rungs­we­sen in die Dyna­mik mit ein­be­zie­hen, indem die Prüf­ver­fah­ren digi­ta­li­siert wer­den. Somit lässt sich der Zer­ti­fi­zie­rungs­sta­tus kon­ti­nu­ier­lich aktua­li­sie­ren und dar­stel­len.

Das Forschungsprojekt NGCert

Das For­schungs­pro­jekt „NGCert – Next Genera­ti­on Cer­ti­fi­ca­ti­on” hat hier­zu wirk­sa­me Lösungs­an­sät­ze zum kon­ti­nu­ier­li­chen Nach­weis des Zer­ti­fi­zie­rungs­sta­tus von Cloud-Ser­vices erforscht, ent­wi­ckelt und im Feld prak­tisch erprobt.

NGCert ist Teil des The­men­fel­des „Siche­res Cloud-Com­pu­ting” der High­tech-Stra­te­gie der Bun­des­re­gie­rung und wird vom Bun­des­for­schungs­mi­nis­te­ri­um geför­dert. Fuji­tsu wirkt an die­ser Stel­le als akti­ves Mit­glied im inter­dis­zi­pli­när auf­ge­stell­ten Kon­sor­ti­um aus For­schung, Wis­sen­schaft und Wirt­schaft mit. Dar­über hin­aus koope­riert Fuji­tsu eng mit der Uni­ver­si­tät Pas­sau. Kon­kret mit Prof. Her­mann de Meer, der den Lehr­stuhl für Infor­ma­tik mit dem Schwer­punkt Rech­ner­net­ze und Rech­ner­kom­mu­ni­ka­ti­on inne­hat.

Die vielversprechenden Forschungsergebnisse

Mit dem fol­gen­den Abschnitt bie­ten wir einen Ein­blick in den ent­wi­ckel­ten Lösungs­an­satz eines dyna­mi­schen Zer­ti­fi­zie­rungs­we­sens, indem die Wert­bei­trä­ge der betei­lig­ten Akteu­re, Cloud-Ser­vice-Kun­den, Pro­vi­der und Audi­to­ren, berück­sich­tigt und mit­ein­an­der ver­netzt sind. Im Fokus des Gan­zen steht ein ange­dach­ter Zer­ti­fi­ze­rungs­dienst, den eine unab­hän­gi­ge neu­tra­le Stel­le ver­ant­wor­tet. Prin­zi­pi­ell kann die­ser Dienst zwei Klas­sen auto­ma­ti­sier­ter Prüf­ver­fah­ren aus­füh­ren:

  • Moni­to­re, die Log­da­ten im Pro­duk­ti­ons­strom des Cloud-Ser­vice-Pro­vi­der erhe­ben,
  • Test­rou­ti­nen, die bestimm­te Ergeb­nis­se lie­fern und zum Bei­spiel den geo­gra­fi­schen Ort eines spe­zi­fi­schen IT-Objekts ermit­teln.

Die unab­hän­gi­ge Zer­ti­fi­zie­rungs­stel­le soll dabei die Inte­gri­tät und Ver­trau­ens­wür­dig­keit der Ergeb­nis­se garan­tie­ren, die den jewei­li­gen Zer­ti­fi­zie­rungs­sta­tus in Echt­zeit bele­gen.

Das Pro­jekt zeig­te, wie die Tech­nik eines zukünf­tig dyna­mi­schen Zer­ti­fi­zie­rungs­diens­tes als Cloud-Ser­vice rechts­ver­träg­lich im Ein­klang mit der DS-GVO gestal­tet sein muss. Erfah­rungs­ge­mäß erweist es sich als außer­or­dent­lich schwie­rig, ein recht­li­ches Modell in ein tech­nisch kon­kre­tes Anfor­de­rungs­mo­dell zu über­set­zen. Hier­zu setz­ten die Exper­ten die Metho­de zur Kon­kre­ti­sie­rung recht­li­cher Anfor­de­run­gen zu tech­ni­schen Gestalta­tungs­vor­schlä­gen ein, die von der Pro­jekt­grup­pe ver­fas­sungs­ver­träg­li­che Tech­nik­ge­stal­tung an der Uni­ver­si­tät Kas­sel ent­wi­ckelt wor­den ist. Damit konn­ten die recht­li­chen Vor­ga­ben der DS-GVO stu­fen­wei­se abge­lei­tet und in eine kon­kre­te Spra­che der Tech­nik über­führt wer­den.

Im Rah­men eines online-Expe­ri­ments ana­ly­sier­ten wis­sen­schaft­li­che Mit­ar­bei­ter des Lehr­stuhls von Prof. Krcmar der Uni­ver­si­tät Mün­chen die Wert­ein­schät­zung dyna­mi­scher Güte­sie­gel auf poten­zi­el­le Kun­den von Cloud-Ser­vice-Pro­vi­dern. Fuji­tsu unter­stütz­te das Expe­ri­ment. Es zeig­te, dass Ent­schei­der den Wert eines dyna­mi­schen Güte­sie­gels hoch ein­schät­zen. Die Vor­la­ge eines dyna­mi­schen Güte­sie­gels beein­flusst Sourcing-Ent­schei­dun­gen posi­tiv.

Wei­ter soll das For­schungs­pro­jekt die Fra­ge klä­ren, inwie­weit sich Prüf- und Zer­ti­fi­zie­rungs­ver­fah­ren auto­ma­ti­sie­ren las­sen. Hier­zu tru­gen die Exper­ten einen gene­ri­schen Kata­log mit den Prüf­kri­te­ri­en der gän­gigs­ten Zer­ti­fi­zie­rungs­ver­fah­ren zusam­men. Pro­jekt­be­tei­lig­te, aber auch Ver­tre­ter von Cloud-Ser­vice-Pro­vi­dern schät­zen das Auto­ma­ti­sie­rungs­po­ten­zi­al als hoch ein.

Ein positiver Ausblick

Die Chan­cen für einen umfas­sen­den Daten­schutz gemäß DS-GVO sind viel­ver­spre­chend. Vor­aus­set­zung ist ein dyna­mi­scher Zer­ti­fi­zie­rungs­dienst, wie von NGCert ange­dacht, der die sta­ti­schen Ver­fah­ren von heu­te ablö­sen kann.

Zer­ti­fi­zie­rungs­stel­len kön­nen die Daten­schutz­kon­for­mi­tät der Cloud-Pro­vi­der in Echt­zeit zen­tral über­wa­chen. Cloud-Pro­vi­der wer­den Zer­ti­fi­zie­rungs­diens­te selbst als Cloud-Ser­vice fle­xi­bel hin­zu buchen kön­nen. Die­ser Ser­vice lässt sich ein­fach und effi­zi­ent in den Betriebs­ab­lauf inte­grie­ren. Auf die­se Wei­se kön­nen Pro­vi­der ihren Kun­den Daten­schutz in Form ver­bind­li­cher Pri­va­cy Level Agree­ments anbie­ten und in Echt­zeit den jewei­li­gen Zer­ti­fi­zie­rungs­sta­tus aggre­giert aus den Ergeb­nis­sen meh­re­rer Prüf­ver­fah­ren belast­bar und trans­pa­rent nach­wei­sen. Kun­den als Ver­ant­wort­li­che im Sin­ne des Daten­schut­zes kön­nen so Cloud-Pro­vi­der sou­ve­rän aus­wäh­len und die Leis­tungs­qua­li­tät beur­tei­len. Zer­ti­fi­zie­rung wird effi­zi­ent und effek­tiv mög­lich, auch für klei­ne­re und mit­tel­gro­ße IT-Ser­vice-Pro­vi­der.

Schlagwörter: , , , ,

Story Page