Pressemitteilung
der Gesellschaft für Informatik e.V. (GI) vom 1. Dezember 2010
GI stellt zehn Thesen zu Sicherheit und Datenschutz in Cloud Computing
vor
Bonn,
1. Dezember 2010 Die
Gesellschaft für Informatik e.V. (GI) hat zehn Thesen zu Sicherheit und
Datenschutz in Cloud Computing vorgestellt. Im „Cloud Computing“ werden viele
vernetzte Rechner gemeinsam genutzt.
„Cloud
Computing ist in aller Munde und wird heute in vielfältigen Umgebungen
eingesetzt. Deshalb ist es sehr wichtig, Risiken zu kennen und Handreichungen
für einen verantwortungsvollen Einsatz von Clouds zu definieren.“, sagte
GI-Präsident Stefan Jähnichen. Die GI habe deshalb folgende zehn Thesen
aufgestellt, die die Herausforderungen Identity Management, Access Control und
Integrity Control, Logging und Auditing, Risk Management und rechtlicher
Compliance aus technischer und juristischer Sicht beschreiben.
Cloud
Computing (früher: Grid-Computing
und Utility Computing) bezeichnet
preiswerte zentral und dynamisch organisierte große (verteilte und
virtualisierte) Cluster von IT-Systemen (shared infrastructures, Server-Farmen):
Hardware, Speicher- und Netzkapazitäten, Plattformen (Datenbanken und
Run-Time-Environment) und Anwendungen (verteilte Nutzung von Software: Hosted
Applications). Öffentliche Clouds werden sind in Deutschland und/oder, im
Ausland oder an nicht (näher) spezifizierten Orten und auch off-shore
angesiedelt; jedenfalls kann der Anwender nicht erkennen, an welchem Ort des
weltweiten Internets seine Daten gespeichert oder verarbeitet werden: Die Cloud
ist intransparent und damit unkontrollierbar: Öffentliche Clouds werden von
Outsourcingnehmern auch ohne ausdrückliche Information des Auftraggebers
eingesetzt. Wir alle benutzen Clouds wenn wir z.B. mit Suchmaschinen, Software
as a Service, webbasierten Maildiensten, Social Communities und Kalendern im
Internet arbeiten.
Die
folgenden Herausforderungen hinsichtlich Identity Management, Access Control und
Integrity Control, Logging und Auditing, Risk Management und rechtlicher
Compliance müssen also gelöst werden:
-
Clouds
können ein Sicherheitsrisiko darstellen wegen der außerhalb des Unternehmens
fehlenden Durchsetzungsmöglichkeit unternehmenseigener Sicherheitspolitiken,
-strategien und -verfahren sowie Sicherheitsmaßnahmen und ihrer
Kontrollierbarkeit. Das Gesamt-Sicherheitsniveau bei Cloud Computing kann
naturgemäß nicht höher sein als das Sicherheitsniveau innerhalb des
Unternehmens - durch die unverzichtbare Vor- und Nach-Verarbeitung im
Unternehmen.
-
Daher
lassen bereits heute Unternehmen nur ausgewählte Daten in öffentlichen Clouds
verarbeiten und verarbeiten wertvolle Daten ausschließlich in privaten Clouds
(in-house).
-
Private
Clouds unterscheiden sich unter Sicherheitsaspekten nicht von den
herkömmlichen unternehmenseigenen IT-Systemen, weil sie der
unternehmenseigenen Sicherheitspolitik unterliegen und vollständig
kontrolliert werden können. Entsprechendes gilt für rechtliche Vorgaben für
die innerbetriebliche Informationsverarbeitung.
-
Bei
der Nutzung öffentlicher Clouds (und auch hybrider) sind nationale Gesetze und
branchenspezifische Selbstregulierungsmaßnahmen einzuhalten (Compliance);
daraus folgt für einige Branchen, dass Clouds gar nicht genutzt werden dürfen.
Risikomanagement (z. B. aus § 91 Abs. 2 AktG) und Sicherheitskonzepte sind bei
der Nutzung von Clouds anzupassen. Einschränkungen ergeben sich insbesondere
aus dem Datenschutzrecht, das die Übermittlung personenbezogener Daten in
Staaten außerhalb der EU nur sehr eingeschränkt zulässt und auch innerhalb der
EU Pflichten für die Auftragsdatenverarbeitung festsetzt, die nur eine
eingeschränkte Nutzung öffentlicher Clouds
erlauben.
-
Der
Transport der zu verarbeitenden Daten zu öffentlichen Clouds erfolgt über das
völlig unsichere Internet und kann nur äußerst aufwändig abgesichert
werden.
-
Daten
können zur Erhöhung der Vertraulichkeit in der Cloud verschlüsselt gespeichert
werden; allerdings können Daten nicht verschlüsselt verarbeitet werden, dazu
müssen sie in der Cloud erst wieder entschlüsselt werden – können dann
allerdings in öffentlichen Clouds von Dritten ausgelesen werden. Alle
eingesetzten Standard- und/oder Individualprogramme zum Transport zu Clouds
und zur Verwaltung von Clouds (Virtualisierung, Lastausgleich, geografische
Verteilung, Sicherungs- und Sicherheitsmaßnahmen etc.) und auch
Verschlüsselungsprogramme und Protokolle sind nicht fehlerfrei; sie können
vielmehr kritische (aus dem Internet ausnutzbare) Sicherheitslücken enthalten,
die (unbekannten) Dritten ein Auslesen oder Abhören der Daten
erlauben.
-
Sicherheitsrelevante
Vorfälle müssen sorgfältig untersucht werden können (Forensik). Dies wird
allerdings durch die geografische Verteilung der sehr vielen genutzten
IT-Systeme schwierig bis unmöglich. Die Beschlagnahme lokalisierter
Daten(träger) durch Ermittlungsbehörden verursacht Probleme, weil entweder der
auf Virtualisierung und Mehrmandantenfähigkeit basierende Cloud-Betrieb
gestört wird oder die Alternative eines (potentiell manipulierten) Snapshots
der Daten aus der Cloud nur verminderten Beweiswert vor Gericht
hat.
-
Cloud-Betreiber
können ihre Dienste einstellen - z.B. bei wirtschaftlichen Schwierigkeiten.
Auch in solchen Fällen muss nicht nur vertraglich sondern auch technisch die
volle Kontrolle durch den Anwender erhalten bleiben: Das so genannte
„vendor-lock-in“ könnte etwa durch branchenübergreifende Standards verhindert
werden. Unentgeltliche
Cloud-basierte Dienste werden häufig ohne jegliche Garantie angeboten, so dass
die verarbeiten Daten besonders hohen Risiken ausgesetzt sind. Verträge
bevorzugen zudem derzeit die Cloud-Anbieter und berücksichtigen nicht in
angemessener Form die Interessen der
Cloud-Nutzer.
-
Bei
vertraglichen Vereinbarungen besteht häufig eine Diskrepanz zur technischen
Durchsetzung (z.B. technische Unmöglichkeit der Datenlöschung bei Vertragsende
oder besonderen Ereignissen wie Insolvenz).
-
Zur
Beherrschung der Risiken durch gemeinsame Nutzung von Hard- und Software
(Internet, Infrastruktur, Software und Verfahren) gleichzeitig mit unbekannten
Dritten muss Cloud Computing dem Wert der verarbeiteten Daten entsprechend
abgesichert werden. Öffentliche Clouds müssen wie Kritische Infrastrukturen
behandelt werden, sofern sie allgemein und weitverbreitet genutzt werden
sollen. Dabei sind auch kartellrechtliche Aspekte wie die
„Essential-facilities-Doktrin“ zu beachten.
Insgesamt
ergeben sich stark erhöhte Anforderungen an die Absicherung unternehmenseigener
und auch privater Datenverarbeitung bei Cloud Computing und zwar hinsichtlich
Vertraulichkeit, Integrität, Verbindlichkeit (z.B. Authentifizierung
Berechtigter) und Verfügbarkeit der verarbeiteten Daten und genutzten
IT-Systeme, ferner auch stark erhöhte Anforderungen an die rechtliche
Absicherung.
Die
Pressemitteilung mit weiterführenden Literaturhinweisen finden Sie unter www.gi.de/presse.
Die Gesellschaft für Informatik e.V.
(GI) ist eine gemeinnützige Fachgesellschaft zur Förderung der Informatik in all
ihren Aspekten und Belangen. Gegründet im Jahr 1969 ist die GI mit ihren heute
rund 24.000 Mitgliedern die größte Vertretung von Informatikerinnen und
Informatikern im deutschsprachigen Raum. Die Mitglieder der GI kommen aus
Wissenschaft, Wirtschaft, öffentlicher Verwaltung, Lehre und
Forschung.
Bei
Abdruck Belegexemplar erbeten. Vielen Dank!