Von uns aus ist die Wolke durchsichtig
Datenverarbeitung findet schon lange nicht mehr nur in Firmennetzwerken und auf betrieblichen Servern und Endgeräten statt. Cloud Computing bietet über das Internet ausreichend IT-Ressourcen und wird zunehmend genutzt: 64 % der ITK-Unternehmen in Deutschland setzen Cloud Computing ein, so eine BITKOM-Umfrage. Bei der Nutzung im Branchenvergleich liegen die Finanzdienstleister mit einem Anteil von 56 % auf dem zweiten Platz. Es folgt der Wirtschaftszweig Verkehr und Logistik mit 49 %. Je nach Branche sind davon mehr oder weniger viele personenbezogene Daten betroffen.
Cloud-Nutzung nachvollziehen
Diese personenbezogenen Daten müssen auch in der Cloud geschützt bleiben – ein Umstand, der vielen Unternehmen Sorgen bereitet, die meisten aber nicht von der Cloud-Nutzung abhält. Die Anwenderunternehmen stehen vor der schwierigen Herausforderung, die vom Bundesdatenschutzgesetz (BDSG) geforderten Schutzmaßnahmen auch in der Cloud umzusetzen bzw. sich von der Umsetzung durch den Cloud-Anbieter zu überzeugen. Verschlüsselung, regelmäßige Backups und starke Zugangspasswörter sind dafür wichtig, aber nicht genug. So besteht u.a. auch die Pflicht zur Eingabekontrolle.
Eingabekontrolle bedeutet, dass sich auch bei Daten, die sich irgendwo im Internet befinden, noch im Nachgang feststellen lässt, wer zu welchem Zeitpunkt etwas geändert, eingegeben oder gelöscht hat. Damit man diese Fragen beantworten kann, sind Nutzerspuren erforderlich – für den Datenschutz, wohlgemerkt. Das mag verwundern, weil doch der Datenschutz meist bemüht ist, möglichst wenig Datenspuren zuzulassen, doch es ist so.
Spurensuche und -sicherung
Unternehmen, die eine Eingabekontrolle für ihre Datenverarbeitung in der Cloud angehen wollen, sollten sich überlegen, wo die notwendigen Protokolldaten zu den Eingaben, Änderungen und Löschungen personenbezogener Daten anfallen könnten und wie die digitalen Identitäten in der Cloud sichergestellt sind. Wie bereits in Teil 1 dieser Serie angemerkt wurde, reichen Protokolldaten alleine für die Eingabekontrolle nicht aus, denn es soll ja geprüft werden können, wer genau die Daten in der Cloud manipuliert hat.
Entsprechende Spuren der Cloud- und Datennutzung können sich in den Berichten des Cloud-Providers befinden, in einem zusätzlichen Cloud-Logging des Anwenderunternehmens und letztlich auch auf den Endgeräten der Nutzer, z.B. bei Verwendung von Apps.
Teil 1 beginnt mit einem Vexierbild, in dem ausgerechnet der Datenschutz scharf auf Nutzerspuren ist. Teil 2 skizziert die Probleme, die bei der Eingabekontrolle mit der Cloud auftreten Teil 3 sieht sich Konzepte an, die eine Kontrolle der Eingaben, Änderungen und Löschungen auf Mobilgeräten garantieren.
Die Protokolle, ob sie nun vom Cloud-Anbieter, von eigenen Logging-Systemen oder von den Endgeräten der Nutzer stammen, müssen manipulationssicher und vor unbefugten Zugriffen und Auswertungen geschützt sein. Dazu sollten Zeitstempel, digitale Signaturen und Verschlüsselung der Protokolldaten nicht fehlen. Zudem sollten die Nutzer sich über eine sichere Anmeldung an ihre Cloud-Dienste gelangen, sodass man die in den Protokollen genannten Identitäten auch wirklich den Nutzern zuordnen kann.
Protokolle gegen Missbrauch sichern
An dieser Stelle kommt der Datenschutz ein weiteres Mal ins Spiel, diesmal von der anderen Seite: Weder der Cloud-Anbieter noch ein unbefugter Dritter oder ein unbefugter Mitarbeiter darf die Protokolle zur Eingabekontrolle zu eigenen Zwecken missbrauchen, wie z.B. für eine heimliche Leistungs- und Verhaltenskontrolle. Deshalb ist es entscheidend, dass die Protokolle providerunabhängig verschlüsselt werden.
Gerade bei einer Protokollierung über das genutzte Endgerät müssen Unternehmen zudem darauf achten, dass z.B. eine erlaubte private Internet-Nutzung nicht ungewollt mitprotokolliert wird. Diese Gefahr besteht speziell dann, wenn Mitarbeiter einen Cloud-Dienst, der per Protokollierung überwacht wird, sowohl privat als auch betrieblich nutzen.
- Im dritten und letzten Teil dieser Serie sehen wir uns die mobile Eingabekontrolle genauer an, denn auch die Datenverarbeitung auf und über mobile Endgeräte so weit transparent erfolgen, dass man bei Bedarf nachträglich überprüfen und feststellen kann, ob und von wem personenbezogene Daten eingegeben, verändert oder entfernt worden sind. Der Newsletter des MittelstandsWiki informiert Sie, sobald ein neuer Beitrag erscheint.
Oliver Schonschek bewertet als News Analyst auf MittelstandsWiki.de aktuelle Vorfälle und Entwicklungen. Der Fokus liegt auf den wirtschaftlichen Aspekten von Datenschutz und IT-Sicherheit aus dem Blickwinkel des Mittelstands. Er ist Herausgeber und Fachautor zahlreicher Fachpublikationen, insbesondere in seinem Spezialgebiet Datenschutz und Datensicherheit.
Oliver Schonschek, Tel.: 02603-936116, www.schonschek.de