BSI-C5-Testat und Informationssicherheit
Johannes Nehlsen, Stabsstelle IT-Recht für die bayerischen staatlichen Hochschulen und Universitäten
Nicht nur die Tagesschau berichtete am 2. März 2019 über die Entscheidung der Bundespolizei, Bodycam-Aufnahmen auf Amazon-Servern zu speichern, sondern auch andere Medien wie etwa der Nachrichtendienst heise online und die Neue Osnabrücker Zeitung. Das Bundespolizeipräsidium teilte der NOZ als Begründung für seine Anbieterwahl mit, dass derzeit noch keine ausreichende staatliche Infrastruktur zur Verfügung stehe, die die Anforderungen erfülle. Amazon sei mit AWS (Amazon Web Services) gegenwärtig der einzige Anbieter in Deutschland, der eine entsprechend vom Bundesamt für Sicherheit in der Informationstechnik (BSI) zertifizierte Cloud bereitstelle. Das Bundesinnenministerium verwies außerdem darauf, dass dabei deutsche Datenschutzstandards eingehalten würden und die Daten verschlüsselt auf Servern in Frankfurt am Main gespeichert seien.
Vorgaben des BSI
Das Vorgehen der Behörde stieß dennoch auf teils heftige Kritik. Sprecher der Opposition im Bundestag sahen ein „kaum kalkulierbares Risiko“ in der Entscheidung für Amazon, sie stehe zudem „im klaren Widerspruch zu Bemühungen der Bundesregierung für mehr digitale Souveränität Deutschlands“. In diversen Berichterstattungen gab es jedoch auch einige Ungenauigkeiten, zum Beispiel über die Begriffe „Testat“ und „Zertifizierung“.
Für staatliche und Landesbehörden sowie für die Kommunalverwaltungen gelten, bezogen auf die Informationssicherheit, besondere rechtliche Pflichten, die es zu beachten gilt. So unterliegt etwa die Bundespolizei als Bundesbehörde den Vorgaben des BSI, die sich aus § 8 Abs. 1 S. 1 BSIG ergeben. Für die Nutzung von externen Cloud-Diensten hat das BSI unter anderem das BSI-C5-Testat als eine Voraussetzung für Anbieter festgelegt, die Bundesbehörden Leistungen aus der Public Cloud anbieten.
Entscheidend ist freilich, dass dies nur ein Testat und keine Zertifizierung ist, da dieses Testat auf der bestehenden Zertifizierung zur Informationssicherheit aufsetzt. Für Behörden, die keine Bundesbehörden sind, stellen die Standards des BSI allerdings keine Verpflichtung dar. Dennoch werden sie beispielsweise im Bereich der Verschlüsselung oder der Archivierung als Stand der Technik angesehen. Für die externe Nutzung von Cloud-Diensten hört man aus dem BSI, dass eine Nichtbeachtung des Standards, der auf das BSI-C5-Testat verweist, bei der Auswahl von Dienstleistern etwa von Kommunen teilweise als grob fahrlässig im Hinblick auf die rechtlichen Pflichten zur Informationssicherheit angesehen werden kann.
Anbieter mit Testat
Schaut man auf die Anbieter, die bereits Testate haben, sind dies zum Beispiel Microsoft für Azure und Office 365 für die Region Deutschland, AWS (Amazon) für den Standort Frankfurt, Alibaba für die Rechenzentren in Frankfurt und Singapur, Google für Google Cloud und GSuite weltweit sowie IBM. Zu den Diensteanbietern aus Europa zählen unter anderen SAP, Cancom Pironet, T-Systems, Box und Fabasoft. Aus dieser Liste wird ersichtlich, dass der zumindest formal beste Cloud-Anbieter Google ist.
Im konkreten Fall wird die Lösung der Bundespolizei gleich mit einer Cloud angeboten, sodass die Geräte umfassendem Management unterliegen und die strengen Vorgaben aus § 27a BPolG (Bundespolizeigesetz) erfüllt werden können. Gleichzeitig wäre – soweit die Verschlüsselung der Daten richtig implementiert worden ist und die Vernichtungs- bzw. Löschpflichten auch die verschlüsselten Daten erfassen – wohl kaum ein Einwand gegen die Cloud durchgreifend.
Informationssicherheit nachweisen!
Kommunen sollten Ihre vertrauten und bewährten regionalen externen IT-Dienstleister anhalten, die Nachweisbarkeit der Informationssicherheit zu verbessern, damit diese künftig nicht bei Ausschreibungen gegenüber den großen Anbietern den Kürzeren ziehen. So hat etwa Art. 11 Abs. 1 S. 1 BayEGovG (Bayerisches E-Government-Gesetz) die Umsetzung von IT-Sicherheit als Aufgabe schon für fast alle Behörden verpflichtend gemacht. Nicht zuletzt deshalb waren in Ausschreibungen aus dem Hochschulbereich BSI-C5-Testate bereits Anforderung für die Rechenzentren der Dienstleister, auch um die Anforderungen gerade bei besonders kritischen Diensten aus dem BayEGovG zu erfüllen.
Johannes Nehlsen hat als Jurist die Stabsstelle IT-Recht für die bayerischen staatlichen Hochschulen und Universitäten am Rechenzentrum der Julius-Maximilians-Universität Würzburg inne. Zu seinen Aufgaben gehört die hochschulübergreifende Beratung in IT-Rechtsfragen, schwerpunktmäßig in den Bereichen Datenschutz, IT-Sicherheit, IT-Verträge und E-Government.
Universität Würzburg, Rechenzentrum, Am Hubland, 97074 Würzburg, johannes.nehlsen@uni-wuerzburg.de, www.rz.uni-wuerzburg.de