Die Kontrolle von Cloud-Diensten: Das TCDP

Immer mehr Unternehmen verwenden Cloud-Dienste, um das Verarbeiten ihrer Daten outsourcen zu können. Die Weitergabe von empfindlichen Daten an dritte Anbieter stellt jedoch ein datenschutzrechtliches Risiko dar. Dieser Artikel beschäftigt sich mit der Kontrolle dieser Clouddienste und stellt in diesem Rahmen das TCDP vor.

Wer kontrolliert? Was kontrolliert er?

Wenden wir uns zuerst der Frage der Verantwortlichkeit zu. Diese ist im BDSG (Bundesdatenschutzgesetz) §11 geregelt. Der Nutzer des Cloud-Dienstes bleibt für die Sicherheit der personenbezogenen Daten, die in der Cloud gespeichert werden, verantwortlich. Daher ist es auch seine Pflicht, die Sicherheitsmaßnahmen des Cloud-Anbieters zu kontrollieren.

Die nächste Frage, die sich stellt, ist „Auf was soll geprüft werden?“. Auch hier kann auf das BDSG verwiesen werden, das in §9 festlegt, welche Maßnahmen getroffen werden müssen, um personenbezogene Daten zu schützen. Hierbei gibt es folgende Gesichtspunkte, auf der die Cloud untersucht werden kann:

  • Zutrittskontrolle: Der Cloud-Anbieter ist verpflichtet, Unbefugten den Zutritt zu den Datensicherungsanlagen zu verwehren.
  • Zugangskontrolle: Der Cloud-Anbieter ist verpflichtet, die Datenverarbeitungssysteme vor der Nutzung durch Unbefugte zu sichern.
  • Zugriffskontrolle: Der Cloud-Anbieter ist verpflichtet sicherzugehen, dass Personen mit Befugnissen nicht auf Daten außerhalb dieser Befugnisse zugreifen können.
  • Weitergabekontrolle: Es muss verhindert werden, dass die Daten während der Weitergabe vorn Unbefugten gelesen, kopiert, geändert oder gelöscht werden.
  • Eingabekontrolle: Es muss gewährleistet werden, dass man nachträglich nachvollziehen kann, wann welche Daten durch wen verändert oder gelöscht wurden.
  • Auftragskontrolle: Der Cloud-Anbieter muss sicherstellen, dass die Daten entsprechend den Absprachen mit dem Auftraggeber verarbeitet werden.
  • Verfügbarkeitskontrolle: Die Daten müssen vor zufälliger Zerstörung wie Brand oder Wasserschäden geschützt sein.
  • Kontrolle der getrennten Verarbeitung: Daten, die für verschiedene Zwecke erhoben wurden, müssen getrennt verarbeitet werden.

Wie kann man kontrollieren?

Es gibt mehrere Möglichkeiten, wie ein Cloud-Anbieter kontrolliert werden kann. Die erste Variante ist die Vorort-Kontrolle.

  • Bei der Vorort-Kontrolle sucht der Nutzer das Rechenzentrum des Anbieters persönlich auf, um festzustellen, ob die Maßnahmen des Anbieters den Vorgaben gerecht sind. Durch das Besuchen des Rechenzentrums kann er sich persönlich davon überzeugen, ob die Zugriffskontrolle zu den Servern gewährleistet ist. Des Weiteren kann der Auftraggeber überprüfen, wie die Daten vor Zerstörung durch Gefahren wie Brände gesichert sind. Diese Art der Kontrolle hat den Nachteil, dass man bei der Wahl des Cloud-Anbieters eingeschränkt wird, da der Standort der Server zu einem Kostenfaktor werden kann. Mit größerer Entfernung steigen die Reisekosten und es entsteht ein Zeitverlust.
  • Bei einer Selbstauskunft wird dem Anbieter ein Fragenkatalog übergeben, mit dem sich der Nutzer ein Bild von den Sicherheitsvorkehrungen machen möchte. Des ausgefüllte Fragenkatalog wird an den Nutzer zusammen mit ergänzenden Dokumenten zurückgesendet. Diese Form der Kontrolle setzt ein großes Maß an Vertrauen in den Anbieter voraus. Deshalb wird sie oft mit um stichprobenartige Überprüfungen ergänzt.
  • Bei einer Bescheinigung durch Dritte beauftragen entweder der Nutzer oder der Anbieter unabhängige Dritte damit, zu überprüfen, ob die technischen und organisatorischen Maßnahmen des Anbieters den Anforderungen gerecht werden. Neben dem Kostenersparnis im Vergleich zur Vorort-Kontrolle bietet dieses Verfahren auch den Vorteil, dass vom Cloud-Nutzer selbst keine größeren Kenntnisse über die technischen Details benötigt werden. In diese Kategorie gehört auch der Prüfstandard des TCDP, welches ich im Weiteren genauer vorstellen werde.

Wie entstand das TCDP?

Das Trusted Cloud-Datenschutzprofil wurde vom Pilotprojekt „Datenschutzzertifizierung von Cloud-Diensten“ des Ministeriums für Wirtschaft und Energie entwickelt. Ziel war es einen von der deutschen Rechtsordnung abgesegneten Prüfstandart bereitzustellen.

Dieses Projekt hatte in Zusammenarbeit mit Unternehmern, Rechtsanwaltsgesellschaften und weiteren Stiftungen und Verbänden das TCDP erarbeitet. Im April 2015 wurde die Version 0.9 für einige Testzertifizierungen veröffentlicht. Die Version 1.0 erschien im September 2016, welche die aktuellste Version darstellt.

Wie funktioniert es?

Das Trusted Cloud-Datenschutzprofil ist ein Prüfstandard für die Datenschutz-Zertifizierung von Cloud-Diensten, mit dem die Anbieter von Cloud-Diensten nachweisen können, dass sie den Schutzanforderungen im Umgang mit personenbezogenen Daten gerecht werden. Hierfür wird ein Schutzklassenkonzept verwendet. Diese unterscheidet Schutzbedarfsklassen und Schutzanforderungsklassen.

Schutzbedarfsklassen beschreiben den Schutzbedarf der Daten anhand von generellen Merkmalen. Schutzanforderungsklassen definieren die Anforderungen, der die Klasse gerecht wird. Für jede Schutzbedarfsklasse gibt es eine entsprechende Schutzanforderungsklasse. Der Cloud-Nutzer ermittelt die Schutzbedarfsklassen seiner Daten und wählt dann einen Anbieter, der diese erfüllt.

Illustration des Schutzklassenkonzepts

 

Es wird nach folgenden Klassen unterschieden:

Schutzbedarfsklasse 1:
Datenverarbeitungsvorgänge, die persönliche Daten verwenden, die bei unbefugter Nutzung keinen Schaden anrichten.
Schutzanforderungsklasse 1:
Maßnahmen zum Schutz gegen technische und organisatorische Fehler, Mindestschutz gegen Eingriffe.
Schutzbedarfsklasse 2:
Datenverarbeitungsvorgänge, die persönliche Daten verwenden, die bei unbefugter Nutzung Schaden anrichten können.
Schutzanforderungsklasse 2:
Maßnahmen zum Schutz gegen technische und organisatorische Fehler, Schutz gegen bekannte Angriffsszenarien, Maßnahmen zur Feststellung Eingriffen.
Schutzbedarfsklasse 3:
Datenverarbeitungsvorgänge, die persönliche Daten verwenden, die bei unbefugter Nutzung großen Schaden anrichten können.
Schutzanforderungsklasse 3:
Maßnahmen zum Schutz gegen technische und organisatorische Fehler, Schutz gegen die zu erwarteten Eingriffe und bekannte Angriffsszenarien, Maßnahmen zur Feststellung von Eingriffen.

Zusätzlich hierzu gibt es noch zwei weitere Schutzbedarfsklassen. Die Schutzbedarfsklasse 0 für Daten, die keine Schutzmaßnahmen benötigen und die Schutzbedarfsklasse 3+ für Daten, deren Schutzbedarf in den vorhandenen Klassen nicht abgedeckt werden kann, da besondere Umstände vorliegen. Diese beiden Klassen werden nicht zertifiziert und spielen daher keine große Rolle.
Für eine Zertifizierung verständigt sich der Cloud-Anbieter zunächst mit einer Prüfstelle über die zu prüfenden Schnittstellen. Danach sendet der Anbieter der Prüfstelle eine Dokumentation der getroffenen Sicherheitsmaßnahmen zur Überprüfung. Nach dieser ersten Bewertung folgt dann eine Vorort-Kontrolle der Anlagen und Systeme. Das Ergebnis wird in einem Prüfbericht an eine Zertifizierungstelle gesendet. Diese stellt dem Cloud-Anbieter die Zertifizierung sowie ein Prüfzeichen zur Eigenwerbung aus.

Beispiel für ein Prüfzeichen

Fazit

Das TCDP hat durchaus das Potential, sich als Sicherheitsstandart für Cloud-Dienste zu etablieren. Es ist von staatlicher Seite aus akzeptiert und gibt damit den Nutzern die Gewissheit, dass die zertifizierten Cloud-Dienste den gesetzlichen Vorgaben entsprechen. Erste Cloud-Dienste haben sich schon zertifizieren lassen und die Telekom hat in Kooperation mit Uniscon die iDGUARD auf den Markt gebracht, welche nach dem TCDP zertifiziert ist und nach eigenen Angaben bereits von über 1200 Unternehmen genutzt wird.

Quellen

http://www.tcdp.de/index.php letzter Zugriff: 11.05.2017
https://www.gesetze-im-internet.de/bdsg_1990/ letzter Zugriff: 11.05.2017
http://www.com-magazin.de/news/cloud/telekom-kooperiert-versiegelte-cloud-1207356.html letzter Zugriff: 11.05.2017
https://www.sit.fraunhofer.de/fileadmin/dokumente/artikel/DuD_Selzer_ADV_Testat.pdf letzter Zugriff: 11.05.2017
http://subs.emis.de/LNI/Proceedings/Proceedings246/539.pdf letzter Zugriff 11.05.2017
http://www.cloudcomputing-insider.de/tuevit-vergibt-tcdp-zertifikate-a-528265/ letzter Zugriff 11.05.2017

Advertisements

Kommentar verfassen

Trage deine Daten unten ein oder klicke ein Icon um dich einzuloggen:

WordPress.com-Logo

Du kommentierst mit Deinem WordPress.com-Konto. Abmelden / Ändern )

Twitter-Bild

Du kommentierst mit Deinem Twitter-Konto. Abmelden / Ändern )

Facebook-Foto

Du kommentierst mit Deinem Facebook-Konto. Abmelden / Ändern )

Google+ Foto

Du kommentierst mit Deinem Google+-Konto. Abmelden / Ändern )

Verbinde mit %s