Datenschutz im öffentlichen Sektor

Schutz vor Cloud-Schnüffelei

| Autor / Redakteur: Elmar Eperiesi-Beck * / Stephan Augsten

Datenschutz und -sicherheit sind insbesondere bei der Speicherung in der Cloud wichtig.
Datenschutz und -sicherheit sind insbesondere bei der Speicherung in der Cloud wichtig. (Bild gemeinfrei: TheDigitalArtist / Pixabay)

Datenschutz in der Cloud hängt nicht allein davon ab, wo sensible Informationen geographisch gespeichert wurden. Bei der Zusammenarbeit mit ausländischen Unternehmen, die durchaus lokale Rechenzentren betrieben, spielen noch ganz andere Faktoren eine Rolle.

Die Daten, die Behörden oder Polizei erheben, sind nicht umsonst so stark geschützt. Sie betreffen die persönlichsten Informationen eines jeden Bürgers, wie etwa Angaben über den finanziellen Status, über Gesetzesübertretungen aber auch über Wohnverhältnisse.

Jedoch was nutzt der beste Schutz, wenn unautorisierte Personen durch Nachlässigkeit Zugriff auf sensible Daten erhalten? Ein Risiko ist die Nutzung öffentlicher Cloud-Dienstleistungen – wenn Daten die Behörden eigenen Rechenzentren und damit deren Kontrollbereich verlassen.

Deutsche Behördendaten auf US-Servern

Genau solche Fälle ereignen sich immer wieder. So nutzt die deutsche Bundespolizei die durch Bodycams generierten Daten auf den AWS-Servern des US-Anbieters Amazon. Bei den Bodycams handelt es sich um Videokameras, die Polizeibeamte an sich tragen und die den Einsatz lückenlos dokumentieren. Diese Daten können bei etwaigen Rechtsstreitigkeiten als Beweis vor Gericht verwendet werden.

Zertifizierung allein reicht nicht

Notwendig wurde die Nutzung der Amazon-Cloud nach Angaben der Bundespolizei durch Engpässe in der eigenen IT-Infrastruktur. So soll das US-amerikanische Unternehmen das einzige sein, das eine entsprechende Cloud-Lösung zur Verfügung stellen könne und vom Bundesamt für Sicherheit in der Informationstechnik zertifiziert wurde.

Jedoch stellt sich auch bei einer Zertifizierung die Frage, inwiefern sensible Behördendaten sicher bei einem externen ausländischen Dienstleister aufgehoben sind. Zu den gängigen europäischen und deutschen Gesetzen müssen US-Anbieter zusätzlich dem amerikanischen „CLOUD Act“ entsprechen.

Dieses Gesetz (Clarifying Lawful Oversease Use of Data Act) verpflichtet sie, den US-Behörden Zugriff auf nicht in den USA gespeicherte Daten zu gewähren. Demnach können europäisches und US-amerikanisches Recht kollidieren. Bei der Nutzung von Servern eines europäischen Cloud-Anbieters wäre dieser US-Zugriff nicht oder nur sehr schwer möglich.

Kritik aus dem Bundestag

Ein zusätzlicher Kritikpunkt ist die Zusammenarbeit von Amazon mit der US-Polizei. Diese liefert den US-Behörden ein System zur Gesichtserkennung, die Aufnahmen von Bodycams auswertet. Daher haben bereits einige deutsche Politiker, darunter der stellvertretende Grünen-Fraktionsvorsitzende Konstantin von Notz, Bedenken hinsichtlich des Datenschutzes geäußert.

Die Sorge um die von Behörden gespeicherten Daten ist durchaus berechtigt. Nicht nur die Bundespolizei, auch etwa 46 Dienststellen des Bundes nutzen externe Cloud-Dienste für ihre sensiblen Daten, wie Zahlen aus einer Sitzung des Innenausschusses des Bundestages offenbarten. Über den Umgang mit der Sicherheit der sensiblen Daten kann keine eindeutige Aussage getroffen werden.

Tatsächlich kann den externen Cloud-Anbietern keine mangelhaften Maßnahmen vorgeworfen werden. Doch allein die Tatsache, dass für die Anbieter andere rechtliche Datenschutzvorschriften gelten könnten, gibt Anlass zur Beunruhigung.

Speicherort nicht der wichtigste Faktor

Jedoch geht die Diskussion über den Standort der Cloud-Server am eigentlichen Problem vorbei. Das wesentliche Problem ist nicht das Nutzen eines externen Cloud-Dienstes selbst, sondern der Missstand, dass unklar ist, wie die sensiblen Daten abgesichert, sprich verschlüsselt sind. Liegt eine ausreichend starke ausschließlich vom Kunden kontrollierte Verschlüsselung vor, können ausländische Behörden die Daten schlichtweg nicht nutzen.

Ohne den entsprechenden Schlüssel können nicht-autorisierte Nutzer nur unlesbare Daten stehlen. Der für sie sichtbare „Datenmüll“ ist wertlos. Und auch die Cloud-Betreiber, die üblicherweise sämtliche Daten einsehen könnten, haben bei entsprechenden Schutzmaßnahmen keinen Zugriff auf die Daten.

Verschlüsselung ist nicht gleich Verschlüsselung

Doch was ist bei dem Schutz wichtig? Zunächst erfordert die Datenschutzgrundverordnung (DSGVO) eine Pseudonymisierung der Daten. Dies geschieht über Verschlüsselung bzw. Tokenisierung. Der sprachlichen Einfachheit halber sprechen wir im Folgenden von Verschlüsselung.

Hierbei muss die Verantwortung für die Verschlüsselung der Daten klar definiert sein. Ausschließlich der Kunde darf den gesamten Prozess kontrollieren und dem Cloud-Provider nicht die Verantwortung für die Verschlüsselung übertragen.

Die Gründe hierfür sind ebenso simpel, wie sie scheinbar oft ignoriert werden. Wenn der Cloud-Provider anbietet, die kritischen Kundendaten zu verschlüsseln, muss er zwangsläufig Zugriff auf die unverschlüsselten Daten haben. Die Dauer des Zugriffs ist dabei irrelevant, da auch ein einziges Mal genügen würde, um sensible Daten abzugreifen. Dies wird zu Recht von Datenschützern als kritisiert.

Problematisch wird es insbesondere, wenn für den Cloud-Anbieter aufgrund seiner geografischen und damit rechtlichen Lage andere Datenschutzrichtlinien gelten als für das Unternehmen, das die Daten stellt. Selbst wenn das Unternehmen nach der Cloud-Migration und Datenverschlüsselung im Besitz des einzigen kryptographischen Schlüssels zur Ver- und Entschlüsselung ist, bleibt der Umstand, dass der Cloud-Anbieter zunächst Zugriff auf die personenbezogenen Daten hat.

Ein weiteres rechtliches Problem kann sich für ein Unternehmen ergeben, wenn im Falle einer Verletzung des Schutzes von der in Cloud gespeicherten Daten, die Haftung geprüft wird. Diese übernimmt nämlich nicht der Cloud-Provider, da nicht er, sondern das Unternehmen die sensiblen Daten erhoben hat. Zwar können beide haftbar gemacht werden, doch Experten gehen davon aus, dass ein Gericht die Schuldfrage von IT-Dienstleistern und somit auch von Cloud-Providern großzügig interpretieren wird.

Anders ausgedrückt: Sollte es zu einem Datenleck kommen, kann ein Unternehmen sich nicht darauf berufen, dass der Cloud-Anbieter für die Datensicherheit verantwortlich ist. Das Management kann zur Rechenschaft gezogen werden, wenn es nicht nachweisen kann, dass es die entsprechenden Maßnahmen zum Schutz der Daten in der Cloud getroffen hat. Dabei haften die Verantwortlichen unter Umständen auch mit dem Privatvermögen. Dies stellt eine weitere, nicht zu ignorierende Notwendigkeit für Cloud-Nutzer dar, die Verantwortung für die Verschlüsselung vollständig selbst zu übernehmen.

Einbindung in bestehende Systeme notwendig

Da Behörden natürlich bereits über eine IT-Infrastruktur verfügen, muss diese in die Sicherheitslösung eingebunden werden können. So sollte eine Unterstützung für die gängigen Anwendungen wie etwa Outlook für Windows und Macs, Outlook Web Access (OWA), Apps für mobile Endgeräte, Office-Anwendungen sowie dem Windows Explorer nicht fehlen. Außerdem müssen bestehende Workflows ohne Änderung in das neue Konzept eingebunden werden können. Die Erfahrung zeigt, dass sich Änderungen hier besonders negativ auf die Effizienz der Arbeitsvorgänge auswirken.

Nicht zuletzt ist die enge Zusammenarbeit mit Bundesbehörden – wie etwa dem Bundesamt für Sicherheit in der Informationstechnik (BSI) – wichtig. Hier geht es darum, die Kerntechnologie insoweit von vornherein so klar zu gestalten, dass etwaige Bedenken bezüglich Hintertüren oder Stabilität der Lösung ausgeräumt sind. Beispielsweise hat eperi seine Gateway-Technologie in Zusammenarbeit mit dem BSI entwickelt und den Quellcode unter einer Open-Source-Lizenz veröffentlicht.

Schutz vor ausländischen Behörden notwendig

Angesichts der Sensibilität der von der öffentlichen Hand verarbeiteten Daten kann eine Speicherung ohne oder mit nur unzureichender Verschlüsselung nicht im Sinne der Bürger sein. Denn ausländische Cloud-Dienstleister – selbst, wenn sie sich dem deutschen und europäischen Recht unterwerfen – sind immer noch den Behörden ihres Stammlandes verpflichtet.

Dies gilt insbesondere für US-Unternehmen. Denn auch wenn sich US-amerikanische Cloudanbieter gegen die Übergriffe der amerikanischen Behörden wehren, mit dem CLOUD Act sind ihnen die Hände gebunden. Mehr noch: Nach geltenden US-Gesetzen kann ihnen zusätzlich verboten sein, deutsche Behörden über etwaige Zugriffe der US-Dienste zu informieren. Dies birgt neben den Bedenken der Datensicherheit auch politische Sprengkraft. Da sind deutsche Behörden gut beraten, durch eine effektive und effiziente Verschlüsselung die Daten uninteressant für Dritte zu gestalten, denn schließlich ist Prävention der beste Schutz vor Datenmissbrauch.

Dieser Beitrag erschien zuerst auf unserem Partnerportal CloudComputing Insider.

* Der Autor: Elmar Eperiesi-Beck, CEO und Gründer von eperi

Kommentar zu diesem Artikel abgeben
Wo liegt das Problem? Sensible Daten sind stark zu verschlüsseln. So dass nur der Nutzer...  lesen
posted am 21.10.2019 um 08:49 von Unregistriert


Mitdiskutieren
copyright

Dieser Beitrag ist urheberrechtlich geschützt. Sie wollen ihn für Ihre Zwecke verwenden? Kontaktieren Sie uns über: support.vogel.de/ (ID: 46190956 / Standards & Technologie)