Welches Unternehmen denkt heute nicht über die Cloud nach? Laut dem Frühjahresreport 2018 der MSM Research AG zum ICT-Markt Schweiz bleibt die Cloud das Zugpferd des ICT-Marktes. Die für 2018 prognostizierten Wachstumsraten für Cloud-Services von deutlich über 20 Prozent zeigen, dass der starke Kostendruck und neue Trends rund um die Digitalisierung die Auslagerung in die Cloud weiterhin stark forcieren. Der IT-Security wird dabei oft wenig Beachtung geschenkt. Wie steht es um den Datenschutz und den Zugangsschutz, wenn Daten in die Cloud ausgelagert werden?
Teil 1 – Datenschutz – Fixe Leitplanken vorhanden
Beim Thema Cloud wird die Welt schnell zum Dorf. Schnell sind Daten in einer Office365 Cloud: Ob direkt bei Microsoft, oder bei einem Schweizer Anbieter wie Swisscom, T-Systems, die sich als Schweizer Vertragspartner (zu Schweizer Obligationenrecht) preisen – dabei jedoch kein Wort über den Datenschutz verlieren. Egal, denn Fakt ist: ob Private oder Public Cloud, die Schweizer Datenschutzrichtlinien müssen von jedem Cloud-Anbieter, egal in welchem Land er seinen Firmensitz hat, akzeptiert und sichergestellt werden.
Datenschutz bei ausländischen Cloud-Anbietern
In vielen Fällen befinden sich die Cloud-Anbieter nicht in der Schweiz sondern irgendwo sonst auf der Welt. Microsoft Office365, amazon EC2, Microsoft azure – immer mehr Unternehmen entscheiden sich für ausländische Cloud-Services. Die EU verfügt über sehr strenge Datenschutzrichtlinien, die die Schweizer Vorgaben in vielen Bereichen sogar übertreffen. In vielen Staaten sieht es ganz anders aus. Gegenüber den Vereinigten Staaten von Amerika hat der Eidgenössische Datenschutzbeauftragte zum Beispiel nach wie vor einige Vorbehalte. In seiner Länderliste zum weltweiten Stand des Datenschutzes schreibt er zu den USA: «Datenbearbeiter, die in Bezug auf Personendaten, welche aus der Schweiz stammen, Privacy Shield beitreten und auf der Liste des U.S. Department of Commerce verzeichnet sind, garantieren einen angemessenen Schutz im Sinne von Art. 6 Abs. 1 DSG.». Dies erscheint auf den ersten Blick gar nicht schlecht.
Privacy Shield – die Meinungen gehen auseinander
Doch was ist der Privacy Shield geanu? Beim Privacy Shield handelt es sich um den Nachfolger des Safe-Harbour-Abkommens. Er kommt zur Anwendung, wenn Schweizer- oder EU-Personendaten auf US-amerikanischen Servern gespeichert werden. Privacy Shield hat zum Ziel, Daten von Schweizer- und EU-Bürgern zu schützen, bietet einen Ombudsmann für Streitfälle und definiert einen Rechtsweg im Falle von Verletzungen des Datenschutzes.
Neutrale Schweizer Meinung
Der Schweizer Datenschutzbeauftragte hält den Privacy Shield für sinnvoll und hat seine Staatenliste zu Gunsten der unter dem Privacy Shield stehenden Unternehmen angepasst. Er behält sich jedoch ausdrücklich vor, seine Meinung aufgrund der jährlich durchzuführenden Evaluationen von Privacy Shield zu revidieren, sollte dies aufgrund der Erkenntnisse über den tatsächlichen Vollzug angezeigt sein.
Kritische Europäer
Die EU und der deutsche Datenschützer stehen dem Privacy Shield etwas kritischer gegenüber. Die EU-Justizkommissarin sieht gemäss heise.de die von US-Präsident Donald Trump angekündigten Gesetzesänderungen im Bereich Foreign Intelligence Surveillance Act (FISA) als Bedrohung und behält sich vor, im Falle einer Verschlechterung der relevanten Gesetze nicht zögern, dem ‚Privacy Shield‘ den Stecker zu ziehen.
Besonders pikant: Cambridge Analytica, die bei den Wahlkampfskandalen in den USA und Kenia mithilfe von Big Data und insbesondere Facebook-Userdaten federführende PR-Firma, verfügt ebenfalls über ein Zertifikat des Privacy Shields. Dieser Fakt weckt nicht gerade Vertrauen in den Privacy Shield.
Fazit – genauer hinschauen lohnt sich
Wie der Fall von Cambridge Analytica zeigt, ist das Vertrauen in ein Zertifikat wie das des Privacy Shields das eine. Das effektive Hinsehen im Sinne einer detaillierten Prüfung der für den Daten- und Informationsschutz relevanten Controls ist pro Cloud-Anwendung unabdingbar. Um einen verantwortungsvollen Go-to-the-Cloud-Entscheid fällen zu können, sollte jedes einzelne Cloud-Angebot im Detail angeschaut werden.
IT-Security Assessment schafft Klarheit
Das IT-Security Assessment von United Security Providers dient als breit abgestützte Grundlage der Verbesserung der Informationssicherheit. Es beinhaltet auf Wunsch die Überprüfung von Cloud-Service-Anbietern nach allen relevanten Gesichtspunkten – inklusive Datenschutz. Das IT-Security Assessment richtet sich im Cloud-Bereich u.a. nach den Security Controls des Eckpunktepapiers des Bundesamts für Informationstechnik und orientiert sich allgemein an internationalen Standards (ISO 2700x).
Es lohnt sich, gerade bei Cloud-Services ausserhalb der Schweiz oder bei Office365-Angeboten genauer hinzuschauen und diese punkto Datenschutz auf die individuellen Bedürfnisse hin zu prüfen. Nur wer seine Risiken kennt, kann bewusst damit umgehen und so die Grundlage für Kontrolle schaffen. Das IT-Security Assessment ist die beste Basis für Transparenz in der IT-Sicherheit und schafft so die optimalen Voraussetzungen für einen bewussten Umgang mit Risiken, um diese schlussendlich unter Kontrolle zu bringen.
IT-Security Assessment jetzt beantragen
Im nächsten Teil von «Datenschutz & IAM in der Cloud» beleuchten wir das Thema des Benutzerzugriffs auf Cloud-Services. Lesen Sie hier in Kürze mehr dazu.
Weiter zu Teil 2 „IAM in der Cloud“
Andres Wohler war bis 2019 als Senior Security Consultant bei United Security Providers tätig.