Vertragsgestaltung und Datenschutz beim Cloud Computing

Question 1

Was ist Cloud Computing?

Answer 1

• Entkoppelung vom Speicherplatz
• Anforderungen an Informationsschutz (Integrität, Vertraulichkeit, Verfügbarkeit) steigen an
• Cloud Anbieter muss evaluiert und überwacht

Question 2

wichtige vom Cloud Anbieter zu implementierende Maßnahmen

Answer 2

• festgelegte Regelwerke und Vorgensweisen zum Schutz sensibler Daten
• Einhaltung Standards, Zertifizierung
• Kenntnis Vorgehensweise des Cloud-Anbieters beim Einrichtungen virtueller Maschinen
• Separierung sensibler Unternehmensdaten und Anwendung Verschlüsselung

Question 3

Schutzmaßnahmen im Unternehmen

Answer 3

• starke Authentifizierung
• beim Endgerät “End Point Security” (Virenscanner, Firewall, sichere Grundkonfiguration
• Mobile Device Management
• aktuelle Patches und Updates für Client-Betriebssystem + Brwoser
• regelmäßige AUdits und Risikomanagement bzgl. Zugänge zur Cloud
  Security Polisy muss auf Cloud Computing abgestimmt mit gestgelegten Vereinbarungen mit Anbieter bzgl. Ausgestaltung und Überprüfung Sicherheitsmaßnahmen (insb. adäquater Zugriffsschutz) + Konsequenzen bei Nichteinhaltung

Question 4

unterschiedliche Cloud-Modelle

Answer 4

private Clouds
- IT-Infrastruktur mit virtuellem Server, Speicher, Netzwerke, Applikationen
- nur exklusiv für Unternehmen
- Zugriff über Intranet
- über SLAs mit Anbieter Regelwerk für Zugriffskontrolle, Compliance, Sicherheit

Community Clouds
- ähnlich wie oben
- wird von Anbieter wenigen Kunden mit Geschäftsbeziehungen zueinander exklusiv zur Verfügung gestellt

Public Clouds
- von externem Anbieter vorgegeben und überwacht
AGBs

Hybrid Clouds
- Mischform

Question 5

Sicherheitsanalyse beim Cloud Computing

Answer 5

• achten auf Garantien von Übertragungsbandbreiten, Verfügbarkeit, Zuverlässigkeit, Verzögerungszeiten
• Sicherheitsanalyse sollte vor Vertragsabschluss, damit nicht Kontrolle und Know How über eigenes System verloren geht

Inhalt Sicherheitsanalyse
- Indetifikation der Sicherheitsobjekte: welche Objekte müssen geschützt? (z.B. Kunden- oder Patientendaten, Logs für Zugriffsdaten, Authentifizierungsdaten); welche Eigenschaften müssen überwacht?
- Bedrohungsanalyse: welche Szenarien nach Wahrscheinlichkeit und Auswirkung relevant
- Identifikation von praxistauglichen Schutzmaßnahmen + wie Wirksamkeit überprüfen

Question 6

Katalog von Sicherheitsmaßnahmen, die vertraglich vereinbart werden sollten

Answer 6

• Dokumentation der Zugangskontrolle zu den Rechenzentren des Cloud-Anbieters, (Videoüberwachung, Brandmelder, Sensoren für Umgebungssicherheit, Sicherheitspersonal etc.)
• Funktionsbeschreibung der Fernadministrationsmöglichkeiten für Katastrophenfälle
• Maßnahmen zur Netzwerksicherheit, die beim Cloud-Anbieter installiert sind
• SPAM-Filter bei dem Bezug von E-Mail-Diensten
• Vorkehrungen gegen Distributed Denial of Service (DDoS)-Attacken
• Betrieb von aktuellen Intrusion Prevention und Detection-Systemen
• Betrieb von aktuellen Malware-Scannern, Server-Sicherheit mit Logfile-Analyse beim Cloud-Anbieter
• Dokumentierte Härtung von Betriebssystemen
• Betrieb von serverbasierten Firewalls und Intrusion Prevention / Detection,
• Nachweis qualitätsgesicherter Images für virtuelle Betriebssysteme (Entwicklung - Test/Qualitätssicherung Produktion)
• nachvollziehbares Patch- und Konfigurationsmanagement
• Qualitätsgesicherte Updates
• Überprüfung und Überwachung der IT-Sicherheit des Cloud-Anbieters durch interne Audits und Überprüfung der Wirksamkeit der implementierten Sicherheitsmaßnahmen
• Überprüfung der Einhaltung von Sicherheitsstandards (z.B. ISO 27001)
• Regelmäßige Auswertung von LOG-Dateien
• Realisierung eines Vier-Augen-Prinzips bei sicherheitsrelevanten administrativen Aufgaben (z.B. Einrichtung von privilegierten Accounts (“Administratoren-Konten”), Anpassung der Regelbasis von
  hostbasierten Firewalls); zwei “Augen” sollten zum Kunden gehören
• Regelmäßige Sicherheits-Reports (Abwehr Viren bzw. Trojaner, Update der Virenscanner, Firewall Reports etc.)
• regelmäßige Vulnerability Tests (= Tests auf Schwachstellen)
• Programmierrichtlinien für Kunden und Überwachung ihrer Einhaltung
  vertragliche Vereinbarung und Überwachung der Hardware-Separierung von Kundendaten
• Separierung der Netzwerke durch Multiprotocol Label Switching (MPLS), VPNs, VLANs und interne Firewalls
• Verwendung von starker Kryptographie (Implementierung, Schlüsselmanagement etc.),
• Separierung auf der Anwendungsschicht (z.B. Einrichtung von Mandanten),
• Evaluierung der beim Cloud-Anbieter implementierten Maßnahmen zur Gewährleistung der vertraglich vereinbarten Verfügbarkeit
• engmaschige Überwachung der vereinbarten Verfügbarkeit auf Kundenseite, dokumentierte Notfallplanung bzw. Desaster Management für Ausfälle der Cloud auf Anbieter- und Kundenseite
• Public Clouds nicht für “mission critical”-Applikationen (= Anwendungen, die höchstens für eine sehr kurze vordefinierte Zeitspanne ausfallen dürfen; dazu zählen beispielsweise Steuerungen für Produktionsstraßen) verwenden,
• Überprüfbarkeit der geforderten Zertifizierungen (z.B. Sarbanes-Oxley) des Cloud-Anbieters,
• Überprüfbare geografische Einschränkungen - EU-Datenschutz, wenn der Ort der Datenspeicherung und der Verarbeitung nicht in einem unsicheren Drittland sein darf
• strikte Erfüllung von Compliance für gesetzliche und regulatorische Vorgaben (beispielsweise BDSG bei einer Personaldatenverarbeitung in der Cloud, Sarbanes-Oxley Act bei Prozessen zur Bilanzerstellung in der Cloud) durch den Cloud-Anbieter (Nachweis!)
• Datenarchivierung nach Gesetzen und Vorgaben,
• Möglichkeit der Verschlüsselung von Daten mit vollständiger Kontrolle über das Schlüsselmanagement,
• Nachweis des Information Life Cycle (Generierung, Verarbeitung, Ausgabe, Vernichtung),
• sicheres Löschen der Daten,
• dokumentierte sichere Entsorgung von Datenträgern,
• Rechte- und Zugriffsänderungen auf die Cloud-Dienste innerhalb der vertraglich vereinbarten Frist durch
• den Cloud-Anbieter, z.B. bei Organisationsänderungen beim Kunden (Versetzung, Entlassung, Ruhestand etc.),
• Bericht über Sicherheitsverstöße, die von Mitarbeitern des Kunden innerhalb der Cloud verursacht werden, an die benannten Verantwortlichen auf Kundenseite
• Sind alle Anwendungen der Cloud vollständig einem angepassten Risk-Management-Prozess unterzogen worden?
• Wo genau werden die übertragenen Daten gespeichert?
• Wo genau werden die Daten verarbeitet?
• Welche rechtlichen Bestimmungen (z.B. für den Datenschutz) bestehen dort?
• Wie sieht Qualität und Verfügbarkeit der Serviceerbringung aus; existieren vertragliche Service Level
• Agreements (SLA)?
• Wie sieht das Sicherheitsmanagement des Cloud-Anbieters aus? Wie, von wem und wann wird es überprüft?
• Welche Zertifizierungen kann der Anbieter vorweisen?
• Wer genau ist für welche Dienste der Servicepartner? Welche Dienste werden von welchen Subkontraktoren erbracht?
• Welche Authentifizierungsformen werden beim Zugriff auf welche Dienste verwendet?
• Wie wird die Verfügbarkeit zu welchem Niveau garantiert? Wie sieht das Notfall-Management und die Business Continuity-Planung (= Geschäftsfortführung) für die Services aus?
• Handelt es sich um einen individuellen Vertrag oder ist es ein Auftrag nach AGB?
• Wie sehen Service Levels, MTPDs (= Maximum Tolerable Period of Disruption, Tolerierbare Höchstdauer einer Störung) und Haftungsregelungen aus?
• Ist die personelle Sicherheit nach ISO 27001 (Clearing des Personals) des Cloud-Anbieters gegeben?
• Welche Sicherheitsvorgaben werden bei der Verarbeitung eingehalten?
• Kann die Sicherheit noch an die eigenen Vorgaben des Unternehmens angepasst werden?
• Ist die sichere Datenlöschung bei Providerausfall und Providerwechsel gewährleistet?
• Wie erfolgt die Kontrolle bzw. Überwachung der Cloud-Services: Selbsterklärungen des Anbieters,
• Nachweise oder Protokolle, Prüfungen bzw.Inspektionen durch den Auftraggeber, Audit durch einen Dritten? Oder liegt eine ISO oder BSI-Zertifizierung vor?