Werbung

IT-Ratsbeschluss zur Verwendung von Cloud-Diensten überholt

Share on facebook
Share on twitter
Share on linkedin
Share on xing
Share on whatsapp
Share on email
Share on print

IT-Ratsbeschluss zur Verwendung von Cloud-Diensten überholt

Share on facebook
Share on twitter
Share on linkedin
Share on xing
Share on whatsapp
Share on email
Share on print
Wann dürfen im öffentlichen Dienst Cloud-Angebote genutzt werden? Eine Frage, die in diesem Sommer die Verantwortlichen in der öffentlichen Verwaltung verstärkt beschäftigte. Der Rat der IT-Beauftragten der Bundesregierung verfasste dazu nun einen Beschluss. Dieser Beschluss vom 29. Juli 2015 erklärt vorab, dass eigene IT-Systeme „zu bevorzugen“ sind, Cloud-Dienste von Privatanbietern jedoch eingesetzt werden können, wenn sie den Leistungsanforderungen entsprechen.
745495_original_r_b_by_gabriele_planthaber_pixelio

Wann dürfen im öffentlichen Dienst Cloud-Angebote genutzt werden? Eine Frage, die in diesem Sommer die Verantwortlichen in der öffentlichen Verwaltung verstärkt beschäftigte. Der Rat der IT-Beauftragten der Bundesregierung verfasste dazu nun einen Beschluss. Dieser Beschluss vom 29. Juli 2015 erklärt vorab, dass eigene IT-Systeme „zu bevorzugen“ sind, Cloud-Dienste von Privatanbietern jedoch eingesetzt werden können, wenn sie den Leistungsanforderungen entsprechen.

Der Beschluss fasst die Kriterien für die Nutzung von Cloud-Diensten der IT-Wirtschaft durch die Bundesverwaltung zusammen. Eine zentrale Forderung ist, dass die Cloud-Dienst-Angebote gerade in Bezug auf Sicherheit intensiv zu prüfen sind, bevor Daten und deren Verarbeitung ausgelagert werden.

Wichtiges Kriterium für die Nutzung von Cloud-Diensten ist ein äußerst hohes Maß an Sicherheit, der Rat führt zum Beispiel explizit eine Zertifizierung nach ISO-Standard 27001 an. Einen erweiterten Schutz fordert der Rat insbesondere dann, wenn die ausgelagerten Daten Amtsgeheimnisse beinhalten. Die §§ 203 und 353b StGB, die den Umgang mit personenbezogenen Daten und Geheimnissen behandeln, setzen hierbei den gesetzlichen Rahmen. Professor Alexander Roßnagel, Professor für Öffentliches Recht und Technikrecht an der Universität Kassel, fasst zusammen, was dies genau bedeutet: „Nur wenn technische Maßnahmen die Kenntnisnahme von Geheimnissen ausschließen, dürfen Beamte oder Mitarbeiter des öffentlichen Dienstes eine Public Cloud nutzen.“

Deutscher Datenschutz muss im vollen Umfang gewährleistet sein  

Generell muss bei der Verarbeitung der Daten der deutsche Datenschutz im vollen Umfang gewährleistet sein und es muss sichergestellt werden, dass unbefugte Dritte keine Daten einsehen oder bearbeiten können. Für den Fall einer Insolvenz oder eines Verkaufs eines Cloud-Anbieters muss eine zuvor definierte Alternative zur Verfügung stehen. Ferner dürfen keine Cloud-Dienste gewählt werden, die ausländischen Rechtsordnungen unterliegen und anderen Staaten zur Auskunft verpflichtet sind, was etwa bei US-Unternehmen der Fall ist.

Zertifizierungen nach ISO-Standard 27001 sagen jedoch bis heute noch nichts über die tatsächliche Datensicherheit in Cloud-Umgebungen aus, denn der Anbieter wird nur nach seinen selbstdefinierten Regeln zertifiziert. Diese Regelungen beziehen sich auf eine strukturierte Arbeitsweise, die eine Voraussetzung für die IT-Sicherheit eines Unternehmens ist. Das Schutzniveau für die Daten lässt sich daraus nicht ableiten. Eine Tatsache, die gerade bei Amtsgeheimnissen und personenbezogenen Daten einen Interpretationsspielraum eröffnet und dem Anwender nicht wirklich bei der Bewertung von Angeboten hilft.

Außerdem betrifft die ISO 27001 nur die Infrastruktur einer Organisation, Cloud-Dienste werden dort gar nicht berücksichtigt. Dazu gibt es den im Beschluss nicht adressierten ISO-Standard 27018, der jedoch keine harten Anforderungen formuliert, die einen Vergleich der Datensicherheit von Diensten ermöglichen würden. Dies soll sich durch das unter der Schirmherrschaft des Bundeswirtschaftsministeriums erarbeitete Trusted-Cloud-Datenschutzprofil (TCDP) bald ändern. Das TCDP beinhaltet einen genauen Anforderungskatalog, der die Cloud-Dienstangebote in Schutzklassen einteilt.

Auf der Basis des Trusted-Cloud-Datenschutzprofils zertifizierte Cloud-Dienste entsprechen klar definierten Muss-Anforderungen hinsichtlich des Datenschutzes. Drei Schutzklassen geben konkret Auskunft über das Niveau der Datensicherheit und erlauben dem Anwender einen direkten Vergleich. Die höchste Schutzklasse – unter die zum Beispiel Amtsgeheimnisse fallen – muss unter anderem garantieren, dass eine technische Sicherung besteht, die verhindert, dass Dritte die Daten einsehen können. Selbst der Betreiber der Rechenzentren muss von einer möglichen Kenntnisnahme ausgeschlossen sein. In diesem Zusammenhang sieht Roßnagel die in Deutschland entwickelte Sealed-Cloud-Technologie als „ein gelungenes Beispiel für datenschutzgerechte Technikgestaltung“. Denn die Sealed Cloud ist derzeit noch die einzige Cloud-Umgebung, die mit rein technischen Maßnahmen sicherstellt, dass Daten für Betreiber und unbefugte Dritte nicht einsehbar sind. Die technische Realität und das Trusted-Cloud-Datenschutzprofil (TCDP) haben die Forderung des Beschlusses nach einer ISO/IEC 27001 also bereits überholt. 

Dr. Huber Jäger, GF von Uniscon und IT-Sicherheitsexperte: „Der Beschluss ist ein wichtiger Schritt in die richtige Richtung, da er unter anderem klarstellt, dass die §§ 203 und 353b StGB einzuhalten sind. Die Forderung, eigene IT-Systeme seien zu bevorzugen, greift dagegen zu kurz. Man muss sagen, dass IT-Technologien oft einen oder mehrere Schritte weiter sind, als es Beschlüsse widerspiegeln. Es ist höchste Zeit, dass Daten in der Cloud sachgerecht geschützt werden. Die Frage ist, kann Anwendern und IT-Fachkräften von Behörden und öffentlichen Einrichtungen allein zugemutet werden, Cloud-Angebote in Sachen Datensicherheit zu beurteilen, oder sollten sie sich nicht besser mit externen IT-Sicherheitsexperten zusammentun, deren täglicher Job darin besteht, Technologien, Systeme und Angebote auch auf Datensicherheit zu überprüfen?“

Share on facebook
Facebook
Share on twitter
Twitter
Share on linkedin
LinkedIn
Share on xing
XING
Share on whatsapp
WhatsApp
Share on email
E-Mail
Share on print
Drucken

Ihre Meinung zum Artikel

Abonnieren
Benachrichtige mich bei
guest
0 Comments
Inline Feedbacks
View all comments

Andere Leser haben sich auch für die folgenden Artikel interessiert

Werbung

Redaktionsbrief

Tragen Sie sich zu unserem Redaktionsbrief ein, um auf dem Laufenden zu bleiben.

Werbung
Werbung

Aktuelle Ausgabe

Topthema: Auf dem daten Friedhof

Dark Data: Wirtschaftliche Chancen mit Cloud, KI und BI nutzen.

Mehr erfahren

Wir wollen immer besser werden!

Deshalb fragen wir SIE, was Sie wollen!

Nehmen Sie an unserer Umfrage teil, und helfen Sie uns noch besser zu werden!

zur Umfrage

Tragen Sie sich jetzt kostenlos und unverbindlich ein, um keinen Artikel mehr zu verpassen!

    * Jederzeit kündbar

    Entdecken Sie weitere Magazine

    Schön, dass Sie sich auch für weitere Fachmagazine unseres Verlages interessieren.

    Unsere Fachtitel beleuchten viele Aspekte der Digitalen Transformation entlang der Wertschöpfungskette und sprechen damit unterschiedliche Leserzielgruppen an.