Logo Trusted Cloud

Mit der ISO/IEC-Norm 27018 gibt es bereits seit April 2014 eine internationale Norm für den Datenschutz in der Cloud. Inhaltlich baut die Norm auf bereits existierenden Sicherheitsstandards, wie z.B. die ISO/IEC 27002, auf. Allerdings befasst sich die ISO/IEC 27018 speziell mit der Regulierung der Verarbeitung von personenbezogenen Daten in einer public Cloud. Nachprüfen, ob sich ein Cloud Anbieter an diese Mindestanforderungen hält, kann man zur Zeit allerdings noch nicht. Zur CeBIT zeigt eine Arbeitsgruppe aus Politik, Wirtschaft und Wissenschaft jetzt eine Erweiterung dieser Norm, die den fehlenden datenschutzrechtlichen Anforderungskatalog für Deutschland liefert. Auf der Basis dieses Kataloges soll es dann sogar möglich werden, europaweite Zertifikate für Cloud-Anbieter zu vergeben.

Die Trusted-Cloud-Initiative des Bundesministeriums für Wirtschaft und Energie (BMWi) ist ein Verbund aus Industrie, Forschung und Datenschutzaufsichtsbehörden und hat auf der CeBIT  erste Details aus dem Pilotprojekt „Datenschutz-Zertifizierung von Cloud-Diensten“ vorgestellt. Seit anderthalb Jahren erarbeitet die Expertengruppe einen Anforderungskatalog für Deutschland über den die angebotenen Dienste auf das Sicherheitsniveau geprüft und verschiedenen Sicherheitsstufen zugeordnet werden können. Ziel dieser Ergänzung zur ISO Norm ist die Schaffung einer Grundlage für eine datenschutzkonforme Zertifizierung. Ein wesentliches Ziel solch einer Zertifizierung ist die Vergleichbarkeit von Cloud-Anbietern hinsichtlich ihres Datenschutzniveaus. Außerdem soll Rechtssicherheit im Hinblick auf Verpflichtungen nach den geltenden staatlichen Datenschutzgesetzen sichergestellt werden.

Das Pilotprojekt wird von Prof. Dr. Georg Borges (Professor für Bürgerliches Recht, Rechtstheorie und -informatik an der Universität des Saarlandes) vom Kompetenzzentrum Trusted Cloud geleitet. Am 13. April 2015 wird die Arbeitsgruppe „Rechtsrahmen des Cloud Computing“ und das Pilotprojekt „Datenschutz-Zertifizierung für Cloud-Dienste“ wesentliche Ergebnisse vorstellen.

Drei Schutzklassen

Im Vorfeld wurde bereits bekannt, dass die Arbeitsgruppe Cloud-Angebote in drei unterschiedliche Schutzklassen einteilen wird. Diese Schutzklassen und ihre Definitionen sollen den Unternehmen für den benötigten Schutzbedarf ihrer Daten und Anwendungen eine Orientierungshilfe sein. Auf diese Weise soll schnell ein passender Anbieter identifiziert werden können. Das Zertifikat soll für den Anwender auch sicherstellen, dass die eigenen Compliance-Vorgaben auch vom Cloud-Dienstleister eingehalten werden.

Cloud-Anbieter der niedrigsten Schutzklasse 1 müssen durch technische und organisatorische Maßnahmen, die dem Risiko angemessen sind, unter anderem gewährleisten, dass Daten nicht unbefugt verwendet, verändert oder gelöscht werden können. Intressant ist hier, dass die Maßnahmen so gestaltet sein müssen, dass sie dies auch ausschließen, falls technische oder organisatorische Fehler geschehen. Diese Schutzklasse wird wohl ihre Anwendung bei „einfachen“ personenbezogenen Daten finden, wie reinen Adressdaten ohne jeglichen Bezug zu anderen Daten.

Drei bunte Schlüssel

In der mittleren Schutzklasse 2 sind auch technische und organisatorische Fehler durch den Cloud-Anbieter selber (und seine Mitarbeiter) auszuschließen. Weiterhin muss ein umfassender Schutz gegen „bekannte Angriffsszenarien“ gewährleistet sein. Diese Schutzklasse wird vermutlich seine Anwendung finden, sobald personebezogene Daten verknüpft werden.

Die höchste Schutzklasse 3 verlangt, dass die zuvor genannten Maßnahmen dem Stand der Technik entsprechen und zusätzlich forensische Maßnahmen etabliert sind. Das bedeutet, dass der Cloud-Anbieter im Schadensfain der Lage sein muss, Eingriffe und Datenmissbrauch festzustellen und nachzuverfolgen. Diese Klasse betrifft besonders schützenswerte Daten wie beispielsweise Berufsgeheimnisse oder Patienteninformationen und wird daher besonders für die Diakonie von Interesse sein.

Anbieter, die die Anforderungen der Schutzklasse 1 nicht erfüllen, fallen aus dem Raster und können ihren Cloud-Dienst nicht zertifizieren lassen.

Bildquellen

  • logo_trusted_cloud: BMWI