Verantwortung klug teilen
Von Dirk Bongardt
Wenn in den Schlagzeilen von den Risiken des Cloud Computing die Rede ist, dann oft, weil sich Kriminelle trickreich Zugang verschafft und zum Beispiel Nacktfotos von Promis erbeutet haben. Die Cloud, so die Wahrnehmung in der breiten Öffentlichkeit, sei kein sicherer Ort. Und schuld daran seien die Cloud-Dienstleister, ob sie nun Apple, Google oder Microsoft heißen. Doch so einfach ist die Schuldfrage nicht zu klären.
Panzerschrank mit offener Tür
Wer einen Tresor kauft, um seine Wertsachen zu schützen, dann aber dessen Tür weit geöffnet lässt, wird kaum den Hersteller verantwortlich machen können, wenn er bestohlen wird. Hier ist das Prinzip der geteilten Verantwortung klar: Der Hersteller verantwortet die Stabilität der Tresorwände und die Widerstandsfähigkeit des Schlosses. Die Tür verschließen und den Schlüssel sicher verwahren muss der Käufer des Tresors. Das ist umso wichtiger, wenn er darin nicht nur die eigenen Preziosen verwahrt, sondern Wertsachen lagert, die andere ihm anvertraut haben.
Mit diesen oder ähnlichen Bildern beschreiben auch Anbieter von Cloud-Dienstleistungen das Modell der geteilten Verantwortung (Shared Responsibility). Die Hintergründe zu den von Hackern erbeuteten Promi-Nacktfotos scheinen den Cloud-Dienstleistern recht zu geben: Es waren keine Hintertüren oder Programmierfehler, über die sich die Diebe Zugang zu den Fotos verschafft haben, sondern die Vordertüren, gesichert mit leicht zu erratenden Kennwörtern, unter Verzicht auf eine Zwei-Faktor-Authentifizierung oder irgendeine andere Sicherungsmaßnahme. Die Fotos lagen, um im Bild zu bleiben, zwar in einem Tresor, in dessen Schloss aber noch der Schlüssel steckte.
Schwarz auf Weiß
Dieser Beitrag erschien zuerst in unserer Heise-Beilage „Privacy für Unternehmen – Cloud as a Service“. Einen Überblick mit freien Download-Links zu sämtlichen Heften bekommen Sie online im Pressezentrum des MittelstandsWiki.
Keine Verantwortung zu gleichen Teilen
Auch die DSGVO kennt das Prinzip der geteilten Verantwortung. Die ruht aber nicht zu gleichen Teilen auf den Schultern von Unternehmen und Cloud-Dienstleister: Die hauptsächliche Last der Verantwortung trägt die „natürliche oder juristische Person, Behörde, Einrichtung oder andere Stelle, die allein oder gemeinsam mit anderen über die Zwecke und Mittel der Verarbeitung von personenbezogenen Daten entscheidet“ (Art. 4, Nr. 7 DSGVO).
Das ist zunächst einmal das Unternehmen, dem die Kunden ihre personenbezogenen Daten anvertrauen. Die Verantwortlichen dieses Unternehmens haben es in der Hand, die Daten selbst zu verarbeiten oder die Dienste eines Auftragsverarbeiters in Anspruch zu nehmen. Wenn sie das machen, müssen sie entscheiden, welchen Dienstleister sie mit der Datenverarbeitung beauftragen. Dazu finden sich in der DSGVO Leitlinien: So darf ein Verantwortlicher nur mit Auftragsverarbeitern zusammenarbeiten, die „geeignete technische und organisatorische Maßnahmen“ garantieren und so „den Schutz der Rechte der betroffenen Person gewährleiste[n]“ (Art. 28 (1) DSGVO).
Wieder drängt sich die Analogie zum oben genannten Bild auf: Wer sich bewusst oder fahrlässig einen Tresor anschafft, dessen Rückwand sich nach dem Lösen von ein paar Schrauben abnehmen lässt, haftet selbst, wenn Diebe sich am Inhalt dieses Tresors bedienen. Dem Hersteller des Tresors entsteht allenfalls ein Imageschaden.
Teil 1 beginnt dort, wo der Datenschutz am wichtigsten ist: bei den Auftragsdatenverarbeitern für Kommunen. Dabei geht es auch gleich um die zentralen Vorgaben der Privacy Compliance. Teil 2 nimmt sich dann den deutschen Norden und Osten vor, um zu prüfen, welche Rechenzentren sich dort anbieten. Teil 3 berichtet mitten aus dem Digitalisierungskessel an Rhein und Ruhr, Teil 4 sichtet die Lage im deutschen Südwesten, bevor Teil 5 sich in Bayern umsieht. Auch ein Seitenblick nach Österreich und eine Übersicht über die dortigen Cloud-Anbieter sind bereits online, ebenso eine Vorschau auf das Projekt Gaia-X, das namentlich für den Mittelstand interessant sein könnte. Zur Frage der Datenhoheit könnten Zertifizierungen und nicht zuletzt Open Source gute Cloud-Antworten geben. Ein Extra-Beitrag widmet sich außerdem den Fragen der App-Portabilität.
Dass sich viele Unternehmen dieses Risikos bewusst sind, zeigt die Studie Cloud Security 2021 von IDG Research in Kooperation mit dem TÜV Süd vom März 2021: 83,3 % der in der Studie befragten IT-Entscheider geben an, dass die Zertifizierung der geplanten Cloud ein wichtiges Auswahlkriterium für einen Cloud-Dienstleister sei. Als Gründe dafür nennen die Verantwortlichen handfeste Erfahrungen: Jedes dritte Unternehmen erlitt der Studie zufolge in den vergangenen zwölf Monaten einen wirtschaftlichen Schaden durch Angriffe auf die von ihm genutzten Cloud-Dienste. In fast einem Drittel der Fälle kam es zu einem Verlust geschäftskritischer Daten.
Wann der Auftragsverarbeiter haftet
Der Auftragsverarbeiter, also der Cloud-Dienstleister, ist allerdings nicht vollständig aus der Haftung. So heißt es in der Datenschutz-Grundverordnung, ein Auftragsverarbeiter, der unter Verstoß gegen diese Verordnung die Zwecke und Mittel der Verarbeitung bestimme, gelte in Bezug auf diese Verarbeitung als Verantwortlicher (Art. 28 (10) DSGVO). Im Klartext: Auftragsverarbeiter, die über den Auftrag hinaus oder gänzlich unabhängig davon die ihnen überlassenen Daten verarbeiten, haften für den daraus resultierenden Missbrauch, Schaden oder Bruch der Vertraulichkeit.
Compliance
Neben den Anforderungen des Datenschutzes gilt es auch, sonstige rechtliche Bestimmungen einzuhalten. Jeder Cloud-Dienstleister sollte detailliert darlegen können, welche rechtlichen Anforderungen er erfüllt, damit der Auftraggeber entscheiden kann, ob diese seinen jeweiligen Bedürfnissen genügen. Denn abgesehen von den Bestimmungen zum Schutz personenbezogener Daten können sich rechtliche Anforderungen zum Beispiel aus den Vorschriften des Telekommunikationsgesetzes (TKG), des Handelsgesetzbuchs (HGB) oder auch des Strafgesetzbuchs (StGB) ableiten.
Eine gleiche Verantwortung kommt dem eigentlich Verantwortlichen und dem Auftragsverarbeiter ebenfalls zu, wenn es darum geht, ein Verzeichnis von Verarbeitungstätigkeiten zu führen. Auch ein Auftragsverarbeiter muss auf Verlangen der Datenschutzaufsicht ein solches Verzeichnis vorlegen können.
Das Modell der geteilten Verantwortung lässt sich am Beispiel IaaS (Infrastructure as a Service) verdeutlichen: Der Provider trägt die Verantwortung für die Sicherheit von Server, Storage, Netzwerk und Virtualisierung. Dagegen haftet der Verantwortliche für Betriebssystem, Middleware, Runtime, Applikationen und Daten. In dem Moment, in dem der Auftragsverarbeiter etwa ins Betriebssystem eingreift oder eigene Applikationen einsetzt, wird er im Sinne der DSGVO zum Verantwortlichen.
Was Verantwortliche tun können
Im Zweifel wird allerdings der Auftraggeber dem Auftragsverarbeiter nachweisen müssen, dass ein Schaden in dessen Verantwortungsbereich liegt. Tatsächlich sehen Experten die häufigste Ursache für Sicherheitsprobleme in der Cloud nicht bei den Cloud-Dienstleistern, sondern bei ihren Kunden – und zwar nicht nur den unbedarften Privatanwendern, die „1234“ für ein sicheres Passwort halten. In fast allen Fällen, in denen es zu Sicherheitsvorfällen in der Cloud kam, lagen die Ursachen entweder in einem unsicher konfigurierten Zugriff auf Cloud-Ressourcen oder darin, dass Daten in der Cloud unverschlüsselt gespeichert waren – oder sogar in einer Kombination dieser beiden Faktoren.
An dieser Stelle können Verantwortliche die entscheidenden Hebel ansetzen: Ein Verfahren zur Mehr-Faktor-Authentifizierung in Kombination mit einem starken Passwort hätte zum Beispiel genügt, um die sehr privaten Fotos von Jennifer Lawrence und etlicher ihrer Kolleginnen vor Datendieben zu schützen. Bei einer Mehr-Faktor-Authentifizierung genügt die Kenntnis des Passworts allein nicht, um auf die Ressourcen zugreifen zu können. Erst nach Bestätigung mithilfe eines oder mehrerer weiterer Faktoren gewährt ein so gesichertes System Zugang. Im privaten Bereich hat sich die Zwei-Faktor-Authentifizierung (2FA) etwa beim Onlinebanking durchgesetzt. Wer von seinem PC aus Geld überweisen möchte, muss die Transaktion dann zum Beispiel über eine App auf seinem Mobilgerät bestätigen.
Empfehlungen des BSI
Das Bundesamt für Sicherheit in der Informationstechnik (BSI) gibt in seinem Eckpunktepapier „Sicherheitsempfehlungen für Cloud Computing Anbieter“ einen Überblick zu den Bereichen des Cloud Computing, in denen Sicherheitsmaßnahmen umgesetzt werden sollten. Die Empfehlungen richten sich zwar in erster Linie an die Service-Provider selbst, sind jedoch ebenso eine nützliche Orientierungshilfe für Unternehmen bei der Auswahl eines Cloud-Dienstleisters und bilden zugleich die Grundlage für eine individuelle Ausgestaltung der Vereinbarung zwischen Auftraggeber und Auftragsverarbeiter. (Bild: Bundesamt für Sicherheit in der Informationstechnik – BSI)
Praktisch alle etablierten Cloud-Dienstleister bieten eine konfigurierbare Mehr-Faktor-Authentifizierung an. Die kann zum Beispiel immer dann zum Einsatz kommen, wenn ein neuer Client erstmals auf die Ressourcen der Cloud zugreifen soll. Oder sie kann in regelmäßigen oder willkürlichen Abständen wiederholt werden müssen – ganz nach den individuellen Sicherheitsbedürfnissen. Sicherheitsexperten empfehlen zudem ein Least-Privilege-Konzept: Mitarbeiter bekommen bei diesem Konzept nur Zugriffsrechte, die sie für ihre Tätigkeit tatsächlich benötigen. Verschafft sich ein Krimineller dann mit den Rechten eines einzelnen Mitarbeiters Zugang zur Cloud, hält sich der Schaden, abhängig von den Zugriffsrechten des Mitarbeiters, in Grenzen.
Auch für die Verschlüsselung der in der Cloud zu lagernden Daten kann der Verantwortliche sorgen. Wer etwa einen in den USA beheimateten Cloud-Dienstleister einsetzt und sicherstellen will, dass US-Behörden keinen Zugriff auf personenbezogene Daten erhalten, verlässt sich am besten nicht auf die von dem Auftragsverarbeiter zugesicherte Verschlüsselung. Providerunabhängige Verschlüsselungsdienste, wie zum Beispiel die Angebote von Boxcryptor oder Tresorit, können wirksam verhindern, dass Dritte, die sich Zugang zur Cloud verschaffen konnten, mit den erbeuteten Daten irgendetwas anfangen können.
In komplexeren Cloud-Infrastrukturen ist es damit allerdings nicht getan. PaaS-, IaaS- und SaaS-Umgebungen bergen ihre ganz eigenen Herausforderungen. Werkzeuge, die Cloud-Infrastrukturen kontinuierlich und automatisiert überwachen, können hier eine weitere Hilfe bieten.
Nicht immer schuld, aber immer verantwortlich
Wer die Entscheidung trifft, der haftet. Der Verantwortliche im Sinne der DSGVO ist zunächst immer der Unternehmer, der Daten verarbeitet oder den Auftrag dazu vergibt. Mit der Auftragsvergabe gibt er allenfalls einen Teil der Verantwortung weiter – und tut gut daran, zu prüfen, an wen. Denn auch für die Wahl des Auftragsverarbeiters trägt er die Verantwortung.
Dirk Bongardt hat vor Beginn seiner journalistischen Laufbahn zehn Jahre Erfahrung in verschiedenen Funktionen in Vertriebsabteilungen industrieller und mittelständischer Unternehmen gesammelt. Seit 2000 arbeitet er als freier Autor. Sein thematischer Schwerpunkt liegt auf praxisnahen Informationen rund um Gegenwarts- und Zukunftstechnologien, vorwiegend in den Bereichen Mobile und IT.
Dirk Bongardt, Tel.: 05262-6400216, mail@dirk-bongardt.de, netknowhow.de
