Sie sind auf Seite 1von 13

CLOUD STORAGE:

SICHERHEIT UND DATENSCHUTZ

Roberto Valerio, CloudSafe GmbH

2. März 2011
Vodafone CeBIT 2011 Speakers Corner
Roberto Valerio CloudSafe GmbH

Gründer CloudSafe.com Verschlüsselte Cloud Storage


Verschlüsselte Kommunikation
Programmierung : 20 Jahre
IT-Projekte: 10 Jahre Gründung November 2009
Startup-Erfahrung: 5 Jahre Online Plattform: cloudsafe.com
Übersicht

CLOUD STORAGE
๏ Public Cloud Services
๏ Auftragsdatenverarbeiter nach §§ 9, 11 BDSG
๏ Keine Funktionsübertragung: Anbieter bearbeitet die Daten nicht

๏ I. Datenschutz
๏ Vorgaben
๏ Umsetzung
๏ II. Sicherheit
๏ Kriterien
๏ Umsetzung
I. DATENSCHUTZ
๏ Abgrenzung der Daten nach dem BDSG:
๏ Personenbezogene Daten: Kunden- und Mitarbeiterdaten
๏ Besondere personenbezogen Daten: Ethnische Herkunft,
Gesundheit, Politische Ansichten & Religion und weitere (§ 3
Abs. 9 BDSG)
๏ Daten mit Sonderregelungen: Finanzdienstleistungen,
Telekommunikation, steuerrechtlich relevante und
berufsstandbezogene Daten

๏ Einfacher Personenbezug kann jederzeit durch


Anonymisierung aufgehoben werden.
๏ Nutzer von Cloud Storage bleibt verantwortlich für den
Umgang mit den Daten!
Datenschutz

PFLICHTEN
๏ Pflichten für die Auslagerung von personenbezogenen
Daten:
๏ "Sorgfältige" Auswahl:
๏ Nutzer muß selber überprüfen, ob der Anbieter in der
Lage ist, den Datenschutz nach BDSG zu gewährleisten.

๏ Regelmäßige Überprüfung
๏ Hier ist es hilfreich, wenn der Anbieter lokal anerkannte
Zertifikate vorweisen kann, z.B. EuroCloud SaaS Gütesiegel.

๏ Gleiches gilt für implizite Verträge.

๏ Bußgelder bis 50.000 Euro möglich.


Datenschutz

VERTRAGSGESTALTUNG
๏ Schriftform

๏ Gegenstand der Datenverarbeitung

๏ "Welche Daten"?

๏ Sub-Unternehmerschaft

๏ "Erfüllen eventuelle Subunternehmer des Anbieters die


gleichen Kriterien wie der Anbieter?"

๏ Haftungsfrage: Ohne vertragliche Regelung bleibt die


Haftung für alle personenbezogenen Daten beim
Nutzer.
Datenschutz

EXKURS: AUSLAND
๏ Überlassung von personenbezogenen Daten ohne explizite
Erlaubnis der betroffenen Person ist möglich, aber nur
innerhalb der EU/EWR.
๏ Überlassung der Daten an Anbieter außerhalb der EU/EWR
nur nach ergänzender Vertraglichen Regelung.
๏ Z.B. US-EU Safe Harbor: Erhöhte Anforderungen an die
Überprüfung!
๏ Alternative: Die Daten werden innerhalb des gültigen
Raumes verschlüsselt
๏ lokal mit PGP oder intermediär durch CloudSafe oder
ähnliche Anbieter (Stichwort "Host-Proof Hosting")
Datenschutz

ZUSAMMENFASSUNG
๏ Sorgfalt bei der Auswahl des Anbieters.

๏ Regelmäßige Überprüfung - oder Zertifikate.

๏ Im Vertrag unbedingt Haftungsfragen klären.

๏ Ansonsten Haftung gegenüber den eigenen


Kunden einschränken.

๏ Notfalls bei Mitarbeiterdaten auf bestimmte


Cloud Services verzichten.

๏ Alternativ: Rechtskonform verschlüsseln.


II. SICHERHEIT
๏ Erster Schritt ist die Information:

๏ BSI - Bundesamt für Sicherheit in der


Informationstechnik
๏ "Mindestanforderungen an Cloud Computing"

๏ EuroCloud e.V.

๏ "Leitfaden Recht, Datenschutz & Compliance"

๏ BITKOM e.V.

๏ "Leitfaden Cloud Computing – Was Entscheider


wissen müssen" (Kapitel 4)
Sicherheit

TECHNISCHE KRITERIEN
๏ Kriterien zur Evaluierung von Public Cloud Storage Anbietern:
๏ Transport der Daten: "Wie ist der Transport meiner Daten geschützt."
๏ Stellen Sie sicher, daß der Anbieter die Daten bis zum Ablageort durchgängig verschlüsselt.

๏ Ablage der Daten: "Wo und wie werden meine Daten abgelegt."
๏ Redundanz
๏ Betriebssicherheit

๏ Identitäts- und Zugriffsverwaltung "Wer kann auf meine Daten zugreifen."


๏ Transparenz und Nachverfolgbarkeit der Administration beim Anbieter
๏ Alternativ: Verschlüsselung gegenüber dem Anbieter (Host Proof Hosting)
Sicherheit

ORGANISATORISCHE KRITERIEN
๏ Sicherheitsmanagement
๏ ITIL, ISO 27002
๏ Sicherheitsarchitektur
๏ Redundanz, Zugangskontrolle, Netzsicherheit, Server-
und Storage-Sicherheit
๏ Verschlüsselte Kommunikation
๏ Rechtemanagement, Mitarbeiterkontrolle
๏ Monitoring, Incident Management, Notfallmanagement
Sicherheit

ZUSAMMENFASSUNG
๏ Überprüfen Sie den Anbieter, bevor Sie
personengebundene Daten übermitteln.
๏ Halten Sie sich bei der Überprüfung des
Sicherheitskonzepts an Standards
๏ BITKOM, BSI, eco

๏ Bewerten Sie den Anbieter genau so, wie Sie


eine interne Infrastruktur bewerten würden.
VIELEN DANK
für Ihre Aufmerksamkeit