Das Dokument thematisiert den Datenschutz im Cloud-Computing und betont die Vereinbarkeit beider Aspekte, während es auf bestehende Probleme hinsichtlich Vertragssicherheit, IT-Sicherheit und Marktstandards hinweist. Es fordert Anbieter auf, aussagekräftige Sicherheitsverträge zu erstellen und empfiehlt Kunden, auf zertifizierte Sicherheitsstandards zu bestehen. Insgesamt wird ein solides Fundament für Cloud-Computing angestrebt, um Transparenz und Sicherheit zu gewährleisten.

1. Datenschutz beim Cloud-Computing
Heiße Luft vs. solides Handwerk
Sven Thomsen
11.08.2011

2. www.datenschutzzentrum.de
Agenda
•Heiße Luft?
•Qualität in Verträgen: Das große Vergessen?
•IT-Sicherheit: Wo bleibt die Fortentwicklung?
•Markt: Wo bleiben die Mindeststandards?
•Solides Handwerk!
SecTXL 11 2/127

3. www.datenschutzzentrum.de
Heiße Luft?
SecTXL 11 3

4. www.datenschutzzentrum.de
SecTXL 11 4

5. www.datenschutzzentrum.de
Klarstellung
• Datenschutz und Cloud Computing sind vereinbar
• Cloud Computing kann sogar datenschutzfördernd sein
 Höhere Revisionsfähigkeit durch höhere Automation
 Automatisierte Prüfbarkeit von Sicherheitsmaßnahmen
• Datenschützer sind offensichtlich aktuell „Spielverderber“
 kritisieren bestehende Angebote
 legen gesetzliche Vorgaben korrekt aus
 hinterfragen die Qualität von Cloud-Angeboten
SecTXL 11 5/127

6. www.datenschutzzentrum.de
Qualität in Verträgen:
Das große Vergessen?
SecTXL 11 6/43

7. www.datenschutzzentrum.de
Qualität in Verträgen?
… has subsidiaries and affiliated legal entities around the world.
Sometimes, these companies will be providing the Services to you on
behalf of …. itself. You acknowledge and agree that Subsidiaries and
Affiliates will be entitled to provide the Services to you.
You acknowledge and agree that the form and nature of the Services
which …. provides may change from time to time without prior notice
to you.
As part of this continuing innovation, you acknowledge and agree
that … may stop (permanently or temporarily) providing the Services
(or any features within the Services) to you or to users generally at
…….’s sole discretion, without prior notice to you.
….. reserves the right (but shall have no obligation) to pre-screen,
review, flag, filter, modify, refuse or remove any or all Content from
any Service.
SecTXL 11 7

8. www.datenschutzzentrum.de
Qualität in Verträgen?
You are responsible for properly configuring and using the Service and
taking your own steps to maintain appropriate security, protection and
backup of Your Content, which may include the use of encryption
technology to protect Your Content from unauthorized access and routine
archiving Your Content.
We may access or disclose your personal information, including the
content of your communications, in order to comply with the law
Except where otherwise specified in a Service, information that is
collected by or sent to ….. may be stored and processed in the United
States or any other country in which ….. or its affiliates, subsidiaries, or
service providers maintain facilities.
SecTXL 11 8

9. www.datenschutzzentrum.de
Qualität in Verträgen
• Aktuelle Situation:
 keine Sicherheitszusagen zum Produkt
 keine Sicherheitszusagen zur Infrastruktur
 keine Sicherheitszusagen zum Operating
• Was ist aus den Erfahrungen der Outsourcing-Wellen der
80er und 90er-Jahre geworden?
 Detailliertes Know-How zum Management von
Outsourcing war doch vorhanden?
 Gab es einen kollektiven Gedächtnisverlust?
SecTXL 11 9

10. www.datenschutzzentrum.de
Qualität in Veträgen
SecTXL 11 10

11. www.datenschutzzentrum.de
Qualität in Verträgen
SecTXL 11 11

12. www.datenschutzzentrum.de
Qualität in Verträgen
Anbieter:
Erstellt endlich aussagekräftige Verträge mit
Leistungs- und Sicherheitszusagen!
Kunden:
Sorgt für ausbalancierte IT-Sicherheit! Defizite
beim Anbieter müssen ausgeglichen werden!
SecTXL 11 12

13. www.datenschutzzentrum.de
IT-Sicherheit:
Wo bleibt die Fortentwicklung?
SecTXL 11 13/43

14. www.datenschutzzentrum.de
IT-Sicherheit: Fortentwicklung?
• IT-Sicherheit für Cloud-Computing kommt nur bedingt mit
Standardsicherheitsmaßnahmen aus
• Komponentensicherheit
 Härtung auf Cloud-Betrieb anpassen
 Kein „Grundschutz“, sondern spezielle Maßnahmen
• Verbundsicherheit
 Zusammenspiel aller Komponenten betrachten
 Skaleneffekte in großen Cloud-Infrastrukturen?
SecTXL 11 14

15. www.datenschutzzentrum.de
IT-Sicherheit: Fortentwicklung?
• Angriffe auf administrative Frontends und APIs
 vgl. XSS, SOAP- und XML-RPC-Manipulationen
• Angriffe auf Virtualisierungsschicht
 vgl. PS3-Hacks, Treiberhacks für virtualisierte Hardware
• „Anbieter als Angreifer“
 Sicherheitsprobleme beim Anbieter
 Fokus auf administrative Plattformen
• Cloud-Plattformen als „Waffe“
 Schwache Identifikation von Kunden
 „Spurloser“ Technikeinsatz
SecTXL 11 15

16. www.datenschutzzentrum.de
IT-Sicherheit: Fortentwicklung?
• Beschreibung von Sicherheitsmaßnahmen verbessern
• Schwerpunkt legen auf:
 Mandantentrennung
(Datentransport, Datenverarbeitung, Datenspeicherung)
 Sicherheit der administrativen Schnittstellen
 Sicherheit der administrativen Plattform
• Standardmaßnahmen der Hersteller ergänzen
 Security Guides der Hersteller
 CC-evaluierte Konfigurationen
 Cloud-Service-spezifische Härtung
SecTXL 11 16

17. www.datenschutzzentrum.de
IT-Sicherheit: Fortentwicklung
Anbieter:
Dokumentiert Eure Sicherheitsarchitektur!
Fokussiert auf kundenrelevante
Sicherheitsbetrachtungen!
Kunden:
Prüft und bewertet das Modell „Anbieter als
Angreifer“!
SecTXL 11 17

18. www.datenschutzzentrum.de
Markt:
Wo bleiben die Mindeststandards?
SecTXL 11 18/43

19. www.datenschutzzentrum.de
Markt: Mindeststandards?
• Aktuell:
 Heterogener Markt
 Kaum Standardisierung bezgl. IT-Sicherheit und
Datenschutz
 keine cloud-spezifischen Zertifizierungen
 Bestehende Zertifizierungen (ISO27001, BSI
Grundschutz, …) nicht auf spezifische Risiken des Cloud-
Computing angepasst
SecTXL 11 19

20. www.datenschutzzentrum.de
Markt: Mindeststandards?
• Notwendig:
 Best Practices erarbeiten, analog zu IT Service
Management und IT-Sicherheit (vgl. ISO2700er-Reihe
und ISO20000er Reihe)
 Zertifizierungsschemata und Prüfsiegel erarbeiten
 Automatisierte Prüfung ermöglichen
 Elektronische Sicherheitszusagen
 Elektronische Siegel
 Elektronische Prüfberichte
SecTXL 11 20

21. www.datenschutzzentrum.de
IT-Sicherheit: Fortentwicklung
Anbieter:
Arbeitet an Standards zum Cloud-Computing und
an Zertifizierungsverfahren mit! Lasst Euch
zertifizieren!
Kunden:
Fordert Zertifizierungen und Gütesiegel!
SecTXL 11 21

22. www.datenschutzzentrum.de
Solides Handwerk!
SecTXL 11 22/43

23. www.datenschutzzentrum.de
Solides Handwerk!
• Cloud-Computing wird „langweilig“. Im positiven Sinn.
• Anwender besinnen sich auf langjährig Erlerntes:
 Belastbare Sicherheitsarchitekturen durch cloud-
spezifische Sicherheitsbetrachtungen und -maßnahmen
 Effektives IT-Controlling durch belastbare Verträge
• Anbieter erkennen, dass Märkte „begehbar“ sein müssen
 Transparente Sicherheit, Fokus auf Kunde
 Nachweisorientierung durch Zertifizierungen und
Standards
SecTXL 11 23

24. www.datenschutzzentrum.de
SecTXL 11
From Technology to Law
„Kick butt and have fun!”
(Scott McNealy)
SecTXL 11 24

25. www.datenschutzzentrum.de
Vielen Dank für Ihre Aufmerksamkeit!
Kontaktdaten
Unabhängiges Landeszentrum für Datenschutz
Sven Thomsen
Holstenstraße 98
24103 Kiel
0431-988-1211
uld3@datenschutzzentrum.de
SecTXL 11 25