News

TeleTrusT - Bundesverband IT-Sicherheit e.V. - Der IT-Sicherheitsverband.

In dieser Publikation wird die sichere Nutzung von Public Cloud-Anwendungen am TeleTrusT- Bundesverband IT-Sicherheit e.V. (TeleTrusT) als Beispiel einer Verbandgeschäftsstelle untersucht. Die Untersuchung kann als Referenz für Vereine und KMU angesehen werden, die sichere Public Cloud Services verwenden wollen.

Untersucht wurden von TeleTrusT benötigte Anwendungen E-Mail, Cloud-Datenspeicher und CRM. Im Rahmen der Publikation wurden verschiedene Marktangebote aus diesem Bereich im Hinblick auf Anforderungen aus funktionaler Sicht, rechtlicher Sicht und aus der Sicht der IT-Sicherheit evaluiert.

Dass Cloud-Angebote hinsichtlich Funktionalität oft mehr bieten als zu vergleichbaren Kosten betriebene interne Lösungen, hat diese Untersuchung bestätigt. Die Untersuchung hat aber auch gezeigt, dass viele Anbieter sich noch immer schwertun, konkrete Aussagen zur Sicherheit und Verfügbarkeit ihrer Services zu treffen, ganz unabhängig von der Größe der Anbieter.

Organisationen mit vereinfachter Infrastruktur können oft keine besonderen Bedingungen und SLAs mit den Anbietern aushandeln, umso mehr müssen sie die Bedingungen der Standardangebote sorgfältig prüfen. Die Organisation ist und bleibt auch im Cloud Computing der "Herr der Daten" und somit für die Authentizität, Integrität, Verfügbarkeit und Vertraulichkeit der Daten voll verantwortlich. Ob ein Cloud-Angebot die Anforderungen einer Organisation besser erfüllt als eine intern betriebene Lösung, sollte deshalb im Einzelfall geprüft werden.

Welche Anforderungen an eine sorgfältige Auswahl und die Kontrollen bestehen, hängt insbesondere von den betroffenen Datenarten, den Verarbeitungszwecken, den Betroffenenkreisen sowie dem festzustellenden Risikopotenzial der Auftragsdatenverarbeitung ab. Da es aber grundsätzlich weder faktisch möglich, noch rechtlich erforderlich ist, die Kontrollen persönlich oder vor Ort vorzunehmen, können vielfach Datenschutz-Gütesiegel oder ITSicherheitszertifikate von unabhängigen, fachkundigen Stellen anstatt einer eigenen Prüfung herangezogen werden. Ohne Anspruch auf Vollständigkeit sind folgende Zertifikate grundsätzlich geeignet, die Erfüllung der datenschutzrechtlichen Anforderungen an die Auftragsdatenverarbeitung durch den Cloud-Anbieter glaubhaft zu machen:

• Zertifikat zur Auftragsdatenverarbeitung der datenschutz cert GmbH;
• SaaS-Gütesiegel "EuroCloud SaaS Star Audit" des EuroCloud Deutschland_eco e.V.;
• "EuroPriSe" (European Privacy Seal) des Unabhängigen Landeszentrums für Datenschutz
• Schleswig-Holstein;
• Zertifizierung nach ISO 27001 auf der Basis von IT-Grundschutz, Bundesamt für Sicherheit in der Informationstechnologie.

Eine "Selbstzertifizierung" gilt nicht als Zertifizierung im obigen Sinne und genügt den gesetzlichen Mindestvoraussetzungen in keinem Falle.

Kann der Cloud-Anbieter ein entsprechendes Zertifikat nicht vorweisen, sollte zumindest ein Testat eines unabhängigen und fachkundigen Dritten angefordert werden, das durch ein IT-Sicherheitskonzept des Cloud-Anbieters sowie ein Auditprotokoll des betrieblichen Datenschutzbeauftragten ergänzt wird. Inwieweit solche Unterlagen rechtlich hinreichend sind, sollte eingehend geprüft werden.