Umbau in der Wolke: Mit der EU-DSGVO Transparenz und Sicherheit in der Cloud-Branche schaffen
Vom privaten Foto-Sharing bis zum System für ortsunabhängigen Programmzugriff: Cloud-Computing erlebt seit Jahren einen anhaltenden Boom. Die Nutzungsmöglichkeiten der Cloud sind vielseitig, sie schafft die Grundlage für IoT- oder Industrie 4.0-Anwendungen und birgt vor allem für Unternehmen eine ganze Reihe von Wettbewerbsvorteilen in der sich weiter digitalisierenden Wirtschaft.
Doch wie bei jedem technologischen Fortschritt treten auch Bedenken auf den Plan: Die Zunahme von Cyber-Kriminalität und Datenmissbrauch zeigt, wie wichtig die gleichzeitige Entwicklung angepasster Sicherheitssysteme und -regelungen für die Cloud sind. Die neue EU-Datenschutz-Grundverordnung (EU-DSGVO), die nach zweijähriger Übergangszeit am 25. Mai 2018 in Unternehmen vollständig umgesetzt sein muss, setzt nun neue gesetzliche Maßstäbe – und fordert die vielfältige Cloud-Computing-Branche zur Adaption der Datenschutzregulationen auf. Das Forschungsprojekt AUDITOR entwickelt dazu eine einheitliche Zertifizierung für Cloud-Dienste – und bringt damit Transparenz und Sicherheit in den gegenwärtigen Dschungel an Angeboten und Gütesiegeln rund um die Wolke.
Cloud-Computing übernimmt heute in Privat- und Berufsalltag immer mehr und immer zentralere Aufgaben. Nicht nur in der Freizeit ist dank Smartphone und entsprechender Software die Verfügbarkeit von Fotos, Musik oder Mails ganz selbstverständlich geworden. Auch in der Arbeitswelt ist der Gang in die Cloud und damit einer der größten Schritte in Richtung des volldigitalisierten Unternehmens allgegenwärtig: In Private oder Public Clouds werden die alltäglichen Arbeitsressourcen – von schlichten Datensätzen bis hin zu Spezialsoftware – zur Verfügung gestellt.
Dank der Auslagerung ins Netz sind diese dann sowohl am Firmenstandort als auch zu hause oder auf Geschäftsreisen überall in der Welt verfügbar. Gleichzeitig bietet der gegenwärtige Markt von verschiedensten Cloud-Providern für die Unternehmen auch in der Abwägung einer geeigneten IT-Lösung ökonomische Vorteile. Unternehmen und Institutionen aller Art bleiben so flexibler und müssen weniger finanzielle und personelle Ressourcen für den Aufbau, die Bereitstellung und die Wartung interner Lösungen binden. Vor allem kleine bis mittlere Unternehmen verzichten häufig aus Kostengründen auf die Anschaffung und den Betrieb eigener, leistungsstarker Serverhardware und buchen stattdessen virtuelle Rechenpower bei Cloud-Anbietern.
Der globale Trend in Sachen Cloud-Computing zeigt eindeutiges Wachstum: Wurden im Jahre 2016 noch etwa 6,8 Zettabyte Daten in der Cloud verarbeitet, soll sich die Datenmenge laut dem Cisco Global Cloud Index bis zum Jahr 2021 auf 20,6 Zettabyte mehr als verdreifachen [1]. Einer der Hintergründe für den zu erwartenden steigenden Cloud-Traffic bis zum Jahre 2021 ist die rasante Entwicklung in den Bereichen IoT, Künstliche Intelligenz und Industrie 4.0. Sie werden in den nächsten Jahren immer mehr Einfluss auf unseren beruflichen und privaten Alltag haben. So werden beispielsweise immer mehr Geräte und Sensoren über das Internet miteinander vernetzt. Laut Gartner steuern bereits etwa 4,9 Milliarden Geräte u. a. Produktions- und Fertigungsabläufe, um sie besser planen und kosten- sowie zeiteffizienter gestalten zu können [2]. Auch in Deutschland sehen die Unternehmen immer mehr die Vorteile, die sich aus der Nutzung der Cloud ergeben. Nutzten im Jahr 2014 immerhin etwa 44 Prozent aller deutschen Unternehmen Dienste aus der Cloud, waren es im Jahr 2016 schon 65 Prozent, also in etwa zwei Drittel, so der "Cloud Monitor 2017" des Branchenverbandes Bitkom [3]. Tendenz weiter steigend.
Wachsender Bedarf, Wachsender Markt, Wachsendes Risiko
Während der Cloud-Boom sowohl zu einem rasant steigenden Bedarf an Rechenzentren und Datenverkehr führt, ist auch der Markt an Anbietern, Lösungen und gleichzeitig Gütesiegeln und Zertifizierungsstellen rund um die Wolke gewachsen. Allein in Deutschland kursieren mehrere Zertifizierungen, deren Standards leider für Unternehmen und Endverbraucher nicht nachprüfbar sind, teils auch nur eine Selbstverpflichtung ausdrücken, wie etwa der Titel "Software hosted in Germany", das vom BITMi, dem Bundesverband des IT-Mittelstandes, vergeben wird [4]. Weitere Möglichkeiten stellt aktuell beispielsweise die ISO27001-Zertifizierung dar. Diese genießt zwar eine hohe Sichtbarkeit und Anerkennung – hat aber ebenfalls mit der Herausforderung der sich stetig wandelnden Cloud-Technologien zu kämpfen, die nicht immer schnell in dieser Zertifizierung abgebildet werden können.
Für die Nutzer – auch hier vorrangig kleine Unternehmen oder der klassische Mittelstand – stellen diese Punkte im wachsenden Digitalisierungsdruck eine enorme Herausforderung dar: "Die vielfältigen Angebote der immer steigenden Anzahl an Anbietern im Cloud-Umfeld machen es beinahe unmöglich, den Überblick zu behalten und Cloud-Dienste auszuwählen, welche den eigenen Anforderungen entsprechen", erklärt Prof. Dr. Ali Sunyaev, Professor am Institut für Angewandte Informatik und Formale Beschreibungsverfahren des Karlsruher Instituts für Technologie (KIT).
Darüber hinaus sind auch heute die Vorurteile und Bedenken gegenüber einem Umzug in die Cloud noch hoch. Fällt die verarbeitende IT aus, verzögern sich Arbeitsprozesse mit verheerenden Folgen. Laut einer Studie kostet jeder Datenverlust Unternehmen im Schnitt eine halbe Million Euro [5]. Und dies ist leider keine Seltenheit: In einer repräsentativen Studie des Bitkom gaben fast 40 Prozent der befragten Unternehmen an, in den vergangenen zwei Jahren vom Diebstahl digitaler Daten betroffen gewesen zu sein, darunter zu einem großen Teil sensible Finanz- und Kundendaten [6]. Prominente Beispiele mit massiven Auswirkungen gibt es genügend, wie beispielsweise den Angriff auf die Cloud des Fahrdienstleisters Uber 2016, bei dem Millionen von Kundendaten gestohlen wurden [7]. Ein weiteres Beispiel sind die erst Anfang März bekanntgewordenen Angriffe auf das deutsche Regierungsnetz, bei dem wohl Daten von Unbekannten gestohlen werden konnten [8].Mit den gehäuften Berichten über Cyber-Attacken auf E-Mail- oder Internet-Provider wächst das Misstrauen, auch nur die eigenen Privatfotos in der Cloud und damit im Internet abzuspeichern. Die Auslagerung von sensiblen Prozessen und Daten für den unternehmerischen Erfolg – gerade im Falle von Berufsgeheimnisträgern – wird aufgrund des Kontrollverlusts umso kritischer gesehen. Welche Angebote sind sicher und erfüllen objektive Kriterien in Bezug auf den Datenschutz? Wie zuverlässig sind die unterschiedlichen Anbieter?
Herausforderung DSGVO
Wer Licht ins Dunkel bringen und sich eine angemessene Bewertung und Einordnung der am Markt agierenden Cloud-Provider schaffen möchte, kommt an einer einheitlichen, rechtlich geprüften Zertifizierung von Cloud-Angeboten nicht vorbei. Tatsächlich erscheint die Vielfalt der Gütesiegel und Zertifizierungsstellen derzeit wie ein Dschungel, der die Intransparenz am Markt und somit die Nutzerbedenken nur befördert. Für die Zukunftsfähigkeit und Vertrauenswürdigkeit von Cloud-Diensten und damit der ganzen Branche ist deshalb vorrangig wichtig, dass sich aus der Masse an Angeboten und Klassifizierungen ein einheitliches System entwickelt. Ein System, das Nutzern wie Betreibern ein klares, allumfassendes und den jüngsten gesetzlichen Regularien für Datenschutz in Europa und Deutschland entsprechendes Tool zur Einstufung der Angebote an die Hand gibt.
Denn überall dort, wo Daten anfallen, verarbeitet, gespeichert und an Dritte zur Weiterverarbeitung übermittelt werden, sind nun strikte Regelungen einzuhalten. Für personenbezogene Daten, also für alle Informationen, die sich auf eine identifizierte oder identifizierbare natürliche Person beziehen (wie z. B. Kunden-, Bank- oder Onlinedaten), hat die Europäische Union nun die anwendbaren Vorschriften in der EU-Datenschutz-Grundverordnung (EU-DSGVO) manifestiert. Sie soll ausdrücklich die bis dato mannigfaltigen europäischen Gesetze für Datenschutz und Privatsphäre harmonisieren. Das hat Auswirkungen auf Unternehmen jeder Art, Größe und Branche. "Zwar existiert bislang auf nationaler Ebene mit dem § 9 a BDSG bereits seit dem Jahre 2001 eine Vorschrift, die die Thematik datenschutzrechtlicher Zertifizierungen aufgreift, es ist allerdings bei einer freiwilligen, nicht allgemeinen Einführung und Regulierung geblieben. Dieser Umstand bedingt, dass aktuell eine enorme, schwer zu überblickende Fülle von Datenschutz-Zertifikaten angeboten wird", kommentiert Jörg Schlißke von der TÜV Informationstechnik GmbH (TÜViT) die derzeitige Situation am Markt.
Die am 25. Mai 2018 endgültig in Kraft tretende EU-DSGVO löst bislang geltende nationale Regelungen, wie z. B. das auf nationaler Ebene anwendbare Bundesdatenschutzgesetz (BDSG), ab und ersetzt diese durch EU-weit standardisierte Vorschriften und Anforderungen an die Verarbeitung personenbezogener Daten. Um die Einhaltung in allen EU-Staaten strikt sicherzustellen, sind nationale Behörden befugt, Sanktionen in Höhe von bis zu vier Prozent des gesamten weltweiten Jahresumsatzes eines Unternehmens bzw. höchstens 20 Millionen Euro zu verhängen. Das ist kein Pappenstiel. Sofern noch nicht geschehen, ist Unternehmen demnach dringend geraten, zu überprüfen, ob sie personenbezogene Daten verarbeiten und ob sie die Regelungen der EU-DSGVO bereits einhalten.
Nicht selten sitzt der Teufel im Detail, denn gerade in nahezu allen modernen und digitalen Unternehmen existieren oft komplexe Vorgänge, die von einer Vielzahl an (Sub-)Unternehmen ausgeführt werden. Folgendes Beispiel aus der Logistikbranche zeigt es sehr anschaulich. Allein in der simplen Warenlieferung etwa einer Waschmaschine können schnell gleich mehrere Speditionen oder Transporteure beteiligt sein: Vom Hersteller zum Lager, vom Lager zum Kundenspediteur, von dort zum Kunden selbst. Sie alle haben über synchronisierte Systeme oder entsprechende Schnittstellen meist Zugriff auf die Kundendaten; gleichzeitig kommen weitere personenbezogene Daten wie die des verantwortlichen Fahrers oder Sachbearbeiters auf den Schirm. Die Kette zeigt, dass jedes Glied an der Datenverarbeitung beteiligt ist – und daher ebenso die neuen EU-DSGVO-Standards erfüllen muss.
AUDITOR – ein einheitliches Zertifikat für mehr Sicherheit und Effizienz
Doch die EU-DSGVO bringt nicht nur Herausforderungen – sie schafft ebenso einmalige Voraussetzungen für EU-weit einheitliche Standards. Auf dieser Basis wurde das Forschungsprojekt AUDITOR ins Leben gerufen, mit einem ambitionierten Ziel [9]: Es möchte eine EU-weit gültige Zertifizierung für Cloud-Provider entwickeln und mit Partnern aus der Praxis prototypisch erproben. Ziel ist schlussendlich, Licht in den Dschungel der Zertifizierungen zu bringen und auch für den Laien eine verständliche Vergleichsbasis zu schaffen.
Gegenwärtig sammelt und klassifiziert das Projektkonsortium bestehende Sicherheitskriterien und Zertifizierungsmerkmale in Hinblick auf die neuen Anforderungen der EU-DSGVO. Danach soll erarbeitet werden, wie diese Standards kontrolliert und erprobt werden können. Anschließend werden auch die Nutzungsmöglichkeiten in der Praxis für die entsprechenden Geschäftsmodelle validiert. Nur so kann zur Erstellung eines EU-weiten Standards beigetragen werden, der sich in der Praxis etabliert und somit Unternehmen und Privatpersonen bei der Datensicherheit in der Cloud auch wirklich dauerhaft unterstützt.
- Cisco Global Cloud Index
- Silicon.de: Gartner prognostiziert 20 Milliarden IoT-Geräte bis 2020
- Bitkom: Cloud Monitor 2017
- BITMi
- EMC-Studie: Jeder Datenverlust kostet deutsche Unternehmen eine halbe Million Euro
- Bitkom: Wirtschaftsschutz in der digitalen Welt
- Zeit online: Uber vertuschte großen Hackerangriff
- Zeit online: Sicherheitskreise: Hacker im deutschen Regierungsnetz
- AUDITOR