Trusted CloudStandards für die Sicherheit

Sie ist einfach zu nutzen und schwer zu schützen – die Cloud. Um sie auch wirklich sicher zu machen, wurden einheitliche Standards für die Sicherheit in der Datenwolke definiert. Das Pilotprojekt Datenschutzzertifizierung wurde im Rahmen des Technologieprogramms Trusted Cloud, gefördert durch das Bundesministerium für Wirtschaft und Energie (BMWi), durchgeführt. Vertreter aus Industrie, Forschung und von Datenschutzbehörden erarbeiteten in einem sehr intensiven Prozess einheitliche Richtlinien. Mit am Tisch: der kommunale IT-Dienstleister regio iT als „Experte aus der Praxis“, wie regio iT-Unternehmensarchitekt Peter Niehues sagt.
Mit dem Trusted Cloud Datenschutz Profil (TCDP) sollen vertrauenswürdige Cloud-Services und Cloud-bezogene Dienstleistungen ausgezeichnet und die Orientierung für Cloud-Anwender erleichtert werden. Zudem soll künftig nachgewiesen werden, dass ein Cloud-Dienst konform zum Bundesdatenschutzgesetz und der kommenden EU-Datenschutz-Grundverordnung (DSGVO) betrieben wird. „Datenschutz und gesetzeskonformer Datentransfer spielen gerade in der öffentlichen Verwaltung eine große Rolle“, so Niehues. Damit Behörden von den Vorzügen des Teilens und der gemeinsamen Bearbeitung von Daten in einer Cloud profitieren können, muss diese hohen Sicherheitsanforderungen genügen.

regio iT bringt kommunale Erfahrungen ein

IT-Dienstleister regio iT hat schon früh auf Sicherheit gesetzt und kann besonders sensible Daten in einer eigenen Cloud sicher speichern. IDGARD – ein Produkt des regio iT-Partners UNISCON – verschlüsselt automatisch alle Daten in der ucloud, der hochsicheren regio iT-Datenwolke. Damit kann niemand, der nicht vom Verfasser des Dokuments ausdrücklich eingeladen wurde, darauf zugreifen. „Auch nicht der Administrator“, ergänzt Niehues. Die Wolke selbst liegt in einem zertifizierten Rechenzentrum, das mit modernster Sicherheitstechnik ausgestattet ist. Ein externer Zugriff auf die Festplatten ist nicht möglich und auch Stromausfälle können den Servern nichts anhaben. Hard- und Software sind so sicher, dass sie auch den Voraussetzungen des § 203 StGB genügen: totale Geheimhaltung.
Seine Erfahrungen als Cloud-Anbieter brachte der kommunale IT-Dienstleister in das Pilotprojekt mit ein. „Unsere Rolle war klar definiert. Wir wissen, was in der Praxis unabhängig von der Unternehmensgröße umsetzbar ist. Damit die Entwicklung insbesondere nicht an den kleinen und mittleren Unternehmen vorbeigeht, haben wir aufgezeigt, was nicht nur realisierbar, sondern auch finanziell darstellbar ist“, erläutert Niehues die Aufgabe von regio iT bei der Erarbeitung des Trusted Cloud Datenschutz Profils. Nach intensiven Diskussionen wurde unter anderem das Verfahren festgelegt sowie drei Schutzklassen definiert.

Pilot bei der Zertifizierung

In der ersten Schutzklasse muss durch technische und organisatorische Maßnahmen sichergestellt werden, dass Daten nicht unbemerkt bearbeitet oder gelöscht werden können. In Klasse zwei müssen zudem Fehler seitens des Cloud-Betreibers ausgeschlossen sein. Es muss beispielsweise sichergestellt werden, dass beim Austausch einer Festplatte diese nicht einfach im Müll landet und Daten in falsche Hände geraten. Klasse drei erfordert zusätzliche Schutzmaßnahmen, die beispielsweise eine forensische Analyse ermöglichen. Mithilfe der Forensik können Angriffe auf IT-Systeme nachverfolgt werden. Die Vorschläge sollen voraussichtlich auch in die EU-Datenschutz-Grundverordnung einfließen und eine europaweite Zertifizierung ermöglichen. Ein Pilotverfahren wurde entwickelt und getestet und auch hier war regio iT dabei: Als einer von bundesweit sechs Anbietern hatte der kommunale IT-Dienstleister den Antrag auf Zertifizierung seines bürgerportals und der Cloud-Dienste eingereicht. Das bürgerportal bietet als virtuelles Rathaus online Zugang zu Verwaltungsleistungen – jederzeit und von jedem Ort aus. Durch den modularen Aufbau und modernste Internet-Technologien ist eine Einbindung des bürgerportals in vorhandene Systeme medienbruchfrei umsetzbar.

Aufwand rechnet sich

Das zweistufige Verfahren zur Zertifizierung war zeit- und arbeitsintensiv. Der Aufwand ist aus Sicht von Niehues aber „absolut gerechtfertigt“. Nicht nur, weil die Cloud-Dienste durch die Zertifizierung vergleichbar werden, sondern weil am Ende des Verfahrens ein wirkliches Qualitätssiegel steht. Stufe eins sieht die Festlegung des Zertifizierungsgegenstandes vor (Target of Audit). Was kommt rein, was nicht? Die inhaltlichen Anforderungen an die begleitende Dokumentation sind hoch: Einsatzzweck, die Art der verarbeiteten personenbezogenen Daten, informationstechnische Geräte einschließlich des Standorts, verwendete Programme und die zur Inbetriebnahme getätigten Schritte, die physikalischen und logischen Verbindungen zu anderen informationstechnischen Geräten (Netzplan) und einiges mehr werden niedergeschrieben. Die Dokumentation wird dem Auditoren-Team zur Prüfung vorab zur Verfügung gestellt. Diese erstellen daraus den Auditplan für die Prüfung vor Ort – Stufe zwei der Zertifizierung. „Wir haben zwei sehr gut vorbereitete Auditoren in Aachen begrüßen können“, so Niehues. Einen Tag lang wurde die eingereichte Dokumentation Punkt für Punkt abgeklopft. Wie ist das Back-up-Prozedere? Wie sehen die Zutrittsberechtigungen für die Server-Räume aus? Am Ende dieses Audits steht die Nachbesserung der Dokumentation, die dann an die Zertifizierungsstelle geschickt wird.

Gütesiegel für das bürgerportal

Nach dreimonatiger Arbeit war es Ende September vergangenen Jahres schließlich so weit: Das bürgerportal von regio iT wurde von der Zertifizierungsstelle der TÜV Informationstechnik GmbH (TÜViT) gemäß dem „Trusted Cloud Datenschutz Profil für Cloud-Dienste“ zertifiziert. „Das ist ein Gütesiegel für unser bürgerportal und eine tolle Belohnung für den hohen Aufwand, den unsere Mitarbeiterinnen und Mitarbeiter betrieben haben“, so Dieter Rehfeld, Vorsitzender der regio iT-Geschäftsführung, bei der Übergabe des Zertifikats im Bundeswirtschaftsministerium. Als einer von nur vier bundesweit ausgewählten Diensten wurde regio iT im Pilotverfahren zertifiziert. Damit bietet das bürgerportal des kommunalen IT-Dienstleisters einen hochsicheren Cloud-Dienst, der das Bundesdatenschutzgesetz in vollem Umfang berücksichtigt und schon jetzt die Anforderungen der noch in der Umsetzung befindlichen EU-Datenschutz-Grundverordnung erfüllt.
„Wenn die Kunden im Bürgerportal die ucloud als Dateiablage nutzen, sind unsere Daten nicht nur verschlüsselt, sondern versiegelt“, erläutert Niehues die Vorzüge des bürgerportals mit Dateiablage in der ucloud. Er wird auch die nächsten Schritte begleiten: „Wir werden nun die Zertifizierung nach TCDP 1.0 in Angriff nehmen und streben diese auch für weitere Services an“, kündigt Rehfeld an.