Beschreibt den Einfluss von Datenschutz- vs. IT-Sicherheitsrisiken in der Cloud

Von Philipp Hoernes und Thomas Rischbeck

«Public Cloud is here to stay» schreibt Daniel Albisser – und er hat recht.

Der grösste Nutzen der Public Cloud ist wohl der erleichterte Zugang zu Innovation. Man kann sagen: Die Cloud ist die Plattform der digitalen Transformation.

Und ja, Public Cloud ist sicher. Die Milliarden-Investitionen der globalen Hyperscaler sorgen für kontinuierliche Innovation gerade bei der Sicherheit. Die eigene IT im Rechenzentrum wird da nicht mitkommen.

Aber es gibt einen Haken bei der Sache. Das sind Risiken, die sich spezifisch für die «Public Cloud» ergeben. Die meisten davon sind nicht-technisch.

  1. Rechtliche und politische Risiken: Der „Cloud Act“ sei hier nur als pars pro toto für eine Vielzahl von gesetzlichen Fallgruben genannt. Wird des einen Landes «lawful access» zur Datenschutz-Verletzung des anderen Staates?
  2. Risiken durch mangelnde Kontrolle bzw. den Transfer von Kontrollaufgaben an die Cloud Provider
  3. Wirtschaftliche Risiken in Zusammenhang mit Verfügbarkeit. Hier muss man sich Fragen stellen wie zum Beispiel: Was, wenn Kommunikationsnetze ausfallen und kein Zugriff auf die Cloud möglich ist? Was, wenn Unternehmens-Assets aufgrund Produkt-Entscheiden eines Cloud-Providers nicht mehr zugänglich sind (Lock-in)?

Unser Titelbild zeigt die Entwicklung dieser Risiken bei der Nutzung der Public Cloud. Diese Risiken ergeben sich zwangsweise aus dem Geschäftsmodell der Public Cloud. Sie werden nicht verschwinden.  Man muss diese Risiken ernst nehmen – aber sich nicht von ihnen erschrecken lassen.

Das ist entscheidend: Nicht für jedes Geschäft ist der allfällige Datenzugriff durch US-amerikanische Behörden wirklich ein Risiko. Nicht jedes Geschäft hat die gleichen Anforderungen an Verfügbarkeit.  Jedes Unternehmen muss sich eine eigene, spezifische Kombination aus mitigierenden Gegenmassnahmen (z.B. Architektur, Verschlüsselung) und Risk Acceptance definieren.

RISIKOABWÄGUNG AM BEISPIEL DATENSCHUTZ UND CLOUD ACT

Ein wesentliches rechtliches Risiko bei der Nutzung der Public Cloud ist der angemessene Schutz von Personendaten bzw. besonders schützenswerten Personendaten. Darauf wollen wir uns in diesem Beispiel konzentrieren (Aus Risikosicht separat sind natürlich auch andere Regulierungen, z.B. FINMA, BAG zu berücksichtigen).

Bisher konnten sich Firmen beim Datenschutz pauschal auf den Swiss-US Privacy Shield berufen.  Der EDÖB attestierte den USA im Januar 2017 einen «angemessenen Schutz unter bestimmten Bedingungen» gemäss dem Schweizer DSG. Mit dem Schremms-II Urteil des EuGH hat sich die Einschätzung des EDÖB verändert. Er stuft den Mangel an Transparenz verbunden mit der Interpretation «Cloud Act» nun als unvereinbar mit dem DSG ein. Die USA werden damit auf die gleiche Stufe wie Russland gestellt (siehe Material unten).

Konsequenterweise sieht der EDÖB daher  gemäss seiner Anleitung begleitende technisch-organisatorische Massnahmen als unumgänglich an, um Personendaten auf US-Clouds ablegen zu können.

Was tun?  Es hilft nicht, auf die Schweizer Rechenzentren der Public Cloud Provider Amazon und Microsoft auszuweichen. Gemäss den Ausführungen des EDÖB ist der Standort des Rechenzentrums nämlich unerheblich, wenn die Provider «direkt oder indirekt einer staatlichen Rechtsordnung eines Staates ohne angemessenem Datenschutzniveau» unterstehen.
Die folgenden Massnahmen stehen zur Verfügung, um einen Klardaten-Zugriff durch Cloud Provider zu verhindern:

  • Rechtliche Mitigation: eine explizite Zustimmung der betroffenen Personen
  • Pseudonymisierung / Tokenisierung
  • Encryption (z.B. format-preserving Encryption) mit einem Schlüssel ausserhalb der Cloud (bring-your-own-key)
  • (Weitgehende) Risiko-Vermeidung: Wahl einer Architektur, bei der kritische Daten «on prem» verbleiben und nur Front-End und mobile Provisionierung in die Cloud verlagert wird.
  • Risiko-Vermeidung: Nutzung der Services von Anbietern ohne US-Bezug, die in der Schweiz oder in der EU domiziliert sind und damit einer Rechtsordnung mit angemessenem Datenschutzniveau unterstehen.

All das ist aber mit Kosten und Aufwand verbunden; Cloud-Vorteile gehen ggf. verloren. Die Komplexität steigt.

Die grosse (und nicht letztlich geklärte) Frage ist, ob ein Verzicht auf solche Massnahmen einen Rechtsbruch darstellt, wie es einige Datenschützer behaupten.

In der Praxis ist sicher die Frage relevant: Wie gross ist das Risiko wirklich?
Einige Schweizer Datenschutzanwälte propagieren jedenfalls einen risikobasierten Ansatz. David Rosenthal von Vischer hat ein Self-Assessment Tool publiziert, mit dem sich die Wahrscheinlichkeit eines Cloud Act Zugriffs «mathematisch» auswerten lässt. Dieses Tool wird von einigen Schweizer Firmen angewendet und kommt auf typischerweise äusserst geringe Wahrscheinlichkeiten für ein Szenario eines ungerechtfertigten Behördenzugriffs (1 in 100 Jahren)

Self-Assessment Tool zur Risikobeurteilung Lawful Access (David Rosenthal)

Abbildung 2: Self-Assessment Tool zur Risikobeurteilung Lawful Access (David Rosenthal)

 

FAZIT: DAS TOP-MANAGEMENT IST GEFORDERT

Jedes Unternehmen muss Risiken eingehen – ohne Risiken findet auch keine Wertschöpfung statt und die Innovation kommt zum Erliegen.  Es ist die Aufgabe des Managements sicherzustellen, dass Risiken und Nutzen in einem sinnvollen Verhältnis zueinander stehen.

Es geht hier nun um eine Entscheidung über Risiken in einem unsicheren Umfeld und mit teilweise unsicheren Rahmenbedingungen.

Die Entscheidung über Risikoappetit und Risk Acceptance ist zwingend «Chefsache» und kann nicht an Implementierungs-Projekte oder gar an die IT delegiert werden.  Es müssen klare Grundlagen – und damit die notwendigen Rahmenbedingungen für die Nutzung der Public Cloud geschaffen werden.  Das grundlegende Dilemma der Cloud ist leider nicht auf einfache Weise lösbar – nur eine differenzierte Betrachtung für jedes Unternehmen und ggf. jeden einzelnen Use Case hilft weiter.

Wir bei der ITMC meinen: 100% Sicherheit gibt es nicht, und man sollte sich nicht von übertriebenen Bedenken davon abhalten lassen, die Chancen der Cloud zu nutzen.

Jedes Unternehmen muss für sich klare Regeln definieren und entscheiden, welche Risiken akzeptabel sind und welche nicht.  Eine Auseinandersetzung mit den technischen Möglichkeiten (z.B. in Sachen Encryption) ist notwendig. Klare Vorgaben sollten ein Ergebnis sein.

Auch der Gesetzgeber ist gefordert: Das neue Schweizer Datenschutzgesetz wird (hoffentlich) für weitere Aufklärung sorgen. Die Diskussion wird aber mit Sicherheit weitergehen. Das ist durchaus auch eine Chance, nicht nur für lokale Schweizer Serviceanbieter.

MATERIAL / REFERENZEN

Autoren
Thomas Rischbeck
Dr. Thomas Rischbeck
Begleitung von Unternehmen in der Digitalen Welt
Philipp Hoernes
Dr. Philipp Hoernes
Strategischer Einsatz von IT für Business-Nutzen

Beliebte Beiträge

Das Credo “Living Strategy®” ist vielschichtig

Als Firma leben wir die Strategiearbeit – und unsere Kunden erhalten «lebendige» Ergebnisse, die sich entfalten und nicht in der Schublade verstauben.

Zeigt die drei Interpretationen von "Living Strategy": lebendige Strategie, gelebte Strategie und "wir leben Strategiearbeit".