nach oben

nächstes Kapitel Grundprinzip der Sealed Cloud

Tipp

Weitere Kapitel dieses Buchs durch Wischen aufrufen

2020 | OriginalPaper | Buchkapitel

1. Herausforderung Datenschutz und Datensicherheit in der Cloud

Autoren: Hubert A. Jäger, Ralf O. G. Rieken, Edmund Ernst

Verlag: Springer Fachmedien Wiesbaden

Erschienen in: Manipulationssichere Cloud-Infrastrukturen

» Jetzt Zugang zum Volltext erhalten

Zusammenfassung

Der Begriff ,,Verschlüsselung“ wird klassisch fast synonym zum Begriff ,,Sicherheit“ gebraucht. Welche Sicherheitslücken offen bleiben, selbst wenn man Verschlüsselung nach allen Regeln der Kunst anwendet, und welche Herausforderung es bedeutet, diese zu schließen, wird in diesem ersten Kapitel behandelt. Zunächst wird die Verteilung der Rollen, der Verantwortung und der Haftung beim Cloud-Computing betrachtet. In diesem Zusammenhang spielt die Zertifizierung von Cloud-Diensten eine entscheidende Rolle. Anschließend werden die Angriffsmöglichkeiten, die Herausforderung des Datenschutzes und der Datensicherheit mit dem Fokus auf das spezielle Problem der Insider-Attacken und dem damit verbundenen Vertrauensdilemma besprochen. Daraus ergeben sich schließlich die Anforderungen an sicheres Cloud-Computing, die am Ende dieses Kapitels formuliert werden.

Bitte loggen Sie sich ein, um Zugang zu diesem Inhalt zu erhalten

Jetzt einloggen Kostenlos registrieren

Sie möchten Zugang zu diesem Inhalt erhalten? Dann informieren Sie sich jetzt über unsere Produkte:

Springer Professional "Wirtschaft+Technik"

Online-Abonnement

Mit Springer Professional "Wirtschaft+Technik" erhalten Sie Zugriff auf:

über 69.000 Bücher
über 500 Zeitschriften

aus folgenden Fachgebieten:

Automobil + Motoren
Bauwesen + Immobilien
Business IT + Informatik
Elektrotechnik + Elektronik
Energie + Umwelt
Finance + Banking
Management + Führung
Marketing + Vertrieb
Maschinenbau + Werkstoffe
Versicherung + Risiko

Testen Sie jetzt 30 Tage kostenlos.

Jetzt informieren

Springer Professional "Technik"

Online-Abonnement

Mit Springer Professional "Technik" erhalten Sie Zugriff auf:

über 50.000 Bücher
über 380 Zeitschriften

aus folgenden Fachgebieten:

Automobil + Motoren
Bauwesen + Immobilien
Business IT + Informatik
Elektrotechnik + Elektronik
Energie + Umwelt
Maschinenbau + Werkstoffe

Testen Sie jetzt 30 Tage kostenlos.

Jetzt informieren

Springer Professional "Wirtschaft"

Online-Abonnement

Mit Springer Professional "Wirtschaft" erhalten Sie Zugriff auf:

über 58.000 Bücher
über 300 Zeitschriften

aus folgenden Fachgebieten:

Bauwesen + Immobilien
Business IT + Informatik
Finance + Banking
Management + Führung
Marketing + Vertrieb
Versicherung + Risiko

Testen Sie jetzt 30 Tage kostenlos.

Jetzt informieren

Die umgekehrte Reihenfolge, dass etwa der Betreiber und Anbieter des Cloud-Dienstes einen unabhängigen Prüfer beauftragt, der seine Ergebnisse dann der Konformitätsberwertungs- bzw. Zertifizierungsstelle vorlegt, ist entsprechend einer Entscheidung der Deutschen Akkreditierungsstelle (DAkkS) nicht zulässig [ 1].

Ob hierfür eine weitere gesetzliche Grundlage nachgewiesen werden muss, ist umstritten. Diese datenschutzrechtliche Debatte ist für Deutschland mit der EU-Datenschutzgrundverordnung (DSGVO) neu aufgeflackert. Bisher (vor dem Inkrafttreten der DSGVO) wurde von einem gesetzlich speziell eingeräumten Privileg gesprochen, wenn der Cloud-Nutzer in ein Auftragsdatenverarbeitungsverhältnis eintrat und hierfür keine weitere gesetzliche Grundlage nachgewiesen werden musste.

Wie zuvor erwähnt, ist die Notwendigkeit einer gesonderten Rechtsgrundlage umstritten.

Mit ,,textlich“ ist hier eine rein elektronische aber in Textform abgefasste Vereinbarung gemeint, die aber nicht auf Papier mit einer von Hand aufgebrachten Unterschrift versehen sein muss.

Der Cloud-Nutzer muss einen Dienst auswählen, der einen für seine Zwecke angemessenen Schutz gewährleistet. Dazu muss er zunächst seinen konkreten Schutzbedarf kennen. Dieser hängt unter anderem von der Art der verarbeiteten Daten, der Menge der verarbeiteten Datensätze und dem Verwendungszweck der Daten ab. Dann wählt er einen Cloud-Dienst aus, dessen technisch-organisatorische Maßnahmen den Schutzbedarf risikoangemessen abdecken. Um diese Bedarfsermittlungs- und Cloud-Auswahl-Prozesse zu vereinfachen, wurden in den Datenschutzzertifizierungsverfahren (TCDP bzw. AUDITOR) so genannte Schutzklassen eingeführt, in denen jeweils ähnliche Schutzbedarfe und ähnliche Schutzanforderungen zusammengefasst sind.

Die genannten Maßnahmen reduzieren zu einem kleinen Teil auch die Wahrscheinlichkeit erfolgreicher Insider-Angriffe. Primär sind diese Maßnahmen jedoch zum Schutz gegen Angriffe von außen konzipiert.

Der zweite Satz dieser Definition wurde inzwischen in den Kriterienkatalog der DIN Spec 27557 zur Datenschutzzertifizierung übernommen (Projekt ,,AUDITOR“). Dort wird in den Erläuterungen zum Kriterium Nr. 2.4 – Zugriffskontrolle, der Begriff ,,manipulationsicher“ folgendermaßen definiert: ,,Technische Maßnahmen sind manipulationssicher, wenn sie nur durch das Zusammenwirken von mehreren unabhängigen Parteien verändert werden können.“ [ 8].

Alleine durch die Personalkostenstruktur kann bei skalierenden Cloud-Anwendungen kein manueller, privilegierter Eingriff auf Weisung des Cloud-Nutzers erfolgen. Solche Eingriffe sind bei üblichen Nutzungsentgelten für die Cloud-Dienste nicht wirtschaftlich. Des Weiteren erfolgen solche Eingriffe zeitlich verzögert, ein Umstand, den der moderne Cloud-Nutzer nicht mehr geneigt ist zu akzeptieren, da er inzwischen an automatisch in Sekundenschnelle umgesetzte Ausführung von Computerbefehlen gewöhnt ist.

Der Begriff ,,Trusted Execution Environment“ (TEE) steht für eine sichere bzw. vertrauenswürdige Laufzeitumgebung im Allgemeinen und wurde schon früh im Bereich der Prozessortechnik verwendet. Allerdings entsprachen TEEs keineswegs von Anbeginn den hier formulierten Sicherheitsanforderungen. Daher wurde der Begriff von den Autoren anfangs vermieden. In der Zwischenzeit gewinnt der Begriff TEE, vor allem im Bereich der Intel-Technologie ,,Software Guard Extensions“ (SGX) an Bedeutung und kann auch für die hier beschriebenen besonders geschützten Verarbeitungseinheiten verwendet werden.

Ein Begriff, der beispielsweise vom BSI im Anforderungskatalog nach § 113f TKG verwendet wird und bezeichnet, dass schützenswerte Daten nur in eine Richtung fließen können sollen.

Die Einführung von Verschlüsselung und deren Qualität als Anforderung ist eine technologieabhängige Aussage. Wegen der hervorragenden Rolle und dem hohen Grad an Transparenz und Standardisierung im Bereich der Kryptografie darf davon ausgegangen werden, dass durch diese technologische Festlegung keine Benachteiligung von Anbietern stattfindet. Die ISO-Kataloge, TCDP und AUDITOR enthalten bereits Anforderungen zur Kryptografie.

Deutsche Akkreditierungsstelle. (2018). Auslegungsentscheidung des DAkkS-Horizontal-Komitees zur Unzulässigkeit von bestimmten Vertragskonstellationen zwischen KBS und Evaluatoren. https://www.dakks.de/content/auslegungsentscheidung-des-dakks-horizontal-komitees-zur-unzul%C3%A4ssigkeit-von-bestimmten, abgerufen am 31. März 2019.

Louisa Specht, Wolfgang Kerber (2018) DATENRECHTE – EINE RECHTS- UND SOZIALWISSENSCHAFTLICHE ANALYSE IM VERGLEICH DEUTSCHLAND - USA. Gutachten 01IS15016A des Förderprojekts ABIDA des Bundesministeriums für Bildung und Forschung. http://www.abida.de/sites/default/files/ABIDA_Gutachten_Datenrechte.pdf, abgerufen am 8. Juni 2018.

Kroschwald, Wicker (2012). Zulässigkeit von Cloud-Computing für Berufsgeheimnisträger. in Taeger, IT und Internet – mit Recht gestalten. S. 733 ff.

Bundesrepublik Deutschland. Gesetz zum Schutz von Geschäftsgeheimnissen (GeschGehG) http://www.gesetze-im-internet.de/geschgehg/BJNR046610019.html. abgerufen am 26. Juni 2020.

DAS EUROPÄISCHE PARLAMENT UND DER RAT DER EUROPÄISCHEN UNION (2016). Verordnung zum Schutz natürlicher Personen bei der Verarbeitung personenbezogener Daten, zum freien Datenverkehr und zur Aufhebung der Richtlinie 95/46/EG (Datenschutz-Grundverordnung) https://eur-lex.europa.eu/legal-content/DE/TXT/HTML/?uri=CELEX:32016R0679&from=DE, abgerufen am 7. Juni 2018.

I. Kunz and P. Stephanow. (2017). A process model to support continuous certification of cloud services. In: 31th International Conference on Advanced Information Networking and Applications (AINA).

W Shi, J Cao, Q Zhang, Y Li und L Xu. (2016). Edge computing: Vision and challenges. IEEE Internet of Things Journal. Vol 3. Pages 637–646.

Projekt AUDITOR-Cert. (2020). AUDITOR-Kriterienkatalog v.0,99. https://www.auditor-cert.de/wp-content/uploads/2020/06/Kriterienkatalog-v0.99.pdf, abgerufen am 29. Juni 2020.

International Organization for Standardization. (2013). ISO/IEC 27000 family - Information security management systems. https://www.iso.org/isoiec-27001-information-security.html, abgerufen am 15. Juni 2018.

10.

Deutsches Bundesamt für Sicherheit in der Informationstechnik. (2017). BSI-Standards IT-Grundschutz. https://www.bsi.bund.de/DE/Themen/ITGrundschutz/ITGrundschutzStandards/ITGrundschutzStandards_node.html, abgerufen am 15. Juni 2018.

11.

Cloud Security Alliance. (20xx). Cloud Controls Mantrix. https://cloudsecurityalliance.org/download/cloud-controls-matrix-v3-0-1/, abgerufen am 15. Juni 2018.

12.

Deutsches Bundesamt für Sicherheit in der Informationstechnik. (2016). The Cloud Computing Compliance Controls Catalogue. https://www.bsi.bund.de/EN/Topics/CloudComputing/Compliance_Controls_Catalogue/Compliance_Controls_Catalogue_node.html, abgerufen am 19. Juni 2018.

13.

International Federation of Accountants. (2011). International Standards for Assurance Engagements (ISAE). http://isae3402.com/, abgerufen am 19. Juni 2018.

14.

American Institute of Certified Public Accountants. (2017). System and Organization Controls: SOC Suite of Services. https://www.aicpa.org/interestareas/frc/assuranceadvisoryservices/sorhome.html, abgerufen am 19. Juni 2018.

15.

Projekt TCDP. (2016). Trusted Cloud Datenschutz-Profil für Cloud-Dienste (TCDP). https://tcdp.de/, abgerufen am 18. Juni 2018.

16.

Projekt TCDP. (2016). Schutzklassenkonzept für die Datenschutz-Zertifizierung nach TCDP Version 1.0. https://tcdp.de/data/pdf/Schutzklassenkonzept-fuer-die-Datenschutz-Zertifizierung-nach.-TCDP-Version-1-0.pdf, abgerufen am 19. Juni 2018.

17.

Uniscon GmbH. (2016). TCDP-Schutzbedarfsrechner. https://www.idgard.de/schutzbedarf-check/, abgerufen am 18. Juni 2018.

18.

Projekt AUDITOR-Cert. (2018). AUDITOR-Kriterienkatalog v.0,8. http://www.auditor-cert.de/, abgerufen am 18. Juni 2018.

19.

Projekt AUDITOR-Cert. (2019). AUDITOR-Kriterienkatalog v.0,9. http://www.auditor-cert.de/, abgerufen am 21. März 2019.

20.

L. Abdullah, F. Freiling, J. Quintero, and Z. Benenson. (2018). Sealed Computation: Abstract Requirements for Mechanisms to Support Trustworthy Cloud Computing. 2nd International Workshop on SECurity and Privacy Requirements Engineering-SECPRE 2018 in conjunction with ESORICS2018.

Titel

Herausforderung Datenschutz und Datensicherheit in der Cloud

Buch

Manipulationssichere Cloud-Infrastrukturen

Print ISBN: 978-3-658-31848-2

Electronic ISBN: 978-3-658-31849-9

https://doi.org/10.1007/978-3-658-31849-9

DOI

https://doi.org/10.1007/978-3-658-31849-9_1

Autoren:

Hubert A. Jäger
Ralf O. G. Rieken
Edmund Ernst

Verlag

Springer Fachmedien Wiesbaden

Sequenznummer

Kapitelnummer

Premium Partner

Bildnachweise