Wo Cloud-Provider im Datenschutz helfen können

Auch wenn das Anwenderunternehmen für den Schutz seiner Daten in einer Cloud verantwortlich ist und nicht der Provider: Viele Datenschutz-Tools der Cloud-Provider bieten ihre Unterstützung an. Wenn man ihre Grenzen kennt, macht es Sinn, sie im Datenschutzkonzept für die Cloud-Nutzung zu berücksichtigen.

Datenschutz ist weiterhin ein zentrales Thema im Cloud Computing, wie der aktuelle Cloud Monitor 2020 von Bitkom zeigt. Unternehmen ohne Public-Cloud-Lösungen haben vor allem Sicherheitsbedenken. Sieben von zehn Nichtnutzern (70 Prozent) fürchten einen unberechtigten Zugriff auf sensible Unternehmensdaten.

Cloudmonitor 2020 (Quelle: Bitkom, KPMG)Cloudmonitor 2020 (Quelle: Bitkom, KPMG)

Allerdings ist das Bild vom Cloud-Datenschutz nicht immer stimmig. Umfragen unter Cloud-Nutzern haben mehrfach gezeigt, dass ein Teil der Anwender meint, der Cloud-Provider sei für den Datenschutz und die IT-Sicherheit des eingesetzten Cloud-Dienstes verantwortlich. Ein solches Missverständnis kann Folgen haben: Man kümmert sich als Cloud-Nutzer nicht ausreichend um den Datenschutz für die Cloud-Daten.
Selbst bei Cloud-Diensten, die zum Beispiel ein Testat nach C5 (Cloud Computing Compliance Criteria Catalogue) oder eine Datenschutzzertifizierung vorweisen können, ist der Datenschutz und die IT-Sicherheit nicht etwa die Angelegenheit des Anbieters.

Das Bundesamt für Sicherheit in der Informationstechnik (BSI) unterstreicht dies ebenfalls: Die Verwendung von C5 oder den genannten Zertifizierungen ändert nichts daran, dass der jeweilige Cloud-Kunde selbst in der Verantwortung ist, den Datenschutz zu gewährleisten und die ergriffenen Maßnahmen zur Einhaltung des Datenschutzes zu bewerten.

Die Datenschutz-Grundverordnung (DSGVO / GDPR) regelt dies insbesondere in Artikel 28 DSGVO (Auftragsverarbeitung).

AWS: Shared Responsibility Model V2.59 (Grafik: AWS)AWS: Shared Responsibility Model V2.59 (Grafik: AWS)

Doch Provider bieten Unterstützung

Cloud-Provider wie AWS bieten nicht nur ein Modell der geteilten Verantwortung für Sicherheit und Compliance, sie haben auch eine Vielzahl von Datenschutz-Tools im Angebot, die der Cloud-Nutzer einsetzen kann, um seine Aufgaben im Cloud-Datenschutz besser umsetzen zu können.

Ein Beispiel ist Amazon Macie, das kürzlich um mehrere Funktionen im Bereich Datenschutz erweitert wurde. So ist der Cloud-Kunde zwar für die Verwaltung der eigenen Daten (einschließlich Verschlüsselungsoptionen) und für die Klassifizierung der eigenen Assets verantwortlich. Doch ein Dienst wie Amazon Macie kann helfen.

AWS beschreibt seinen entsprechend Dienst so: Kunden wählen die Buckets aus, die sie zur Erkennung vertraulicher Daten senden möchten, und Amazon Macie scannt diese Buckets mithilfe von maschinellem Lernen und Mustervergleich, um die Daten anhand eines vordefinierten Satzes gängiger vertraulicher Datentypen zu identifizieren und zu kategorisieren.

AWS Macie (Bild: AWS)

Die Kunden erhalten umsetzbare Sicherheitsergebnisse, in denen alle Daten aufgelistet sind, die zu diesen sensiblen Datentypen passen, einschließlich personenbezogener Daten (PII wie z. B. Kundennamen und Kreditkartennummern) und Kategorien, die in Datenschutzbestimmungen wie der DSGVO definiert sind. Die Datenerkennungs-Engine von Amazon Macie wurde laut AWS vollständig überarbeitet, um die zugrunde liegenden Speicher- und Rechenressourcen besser zu nutzen und eine schnellere und skalierbarere Erkennung durchzuführen.

Die Modelle für maschinelles Lernen von Amazon Macie wurden aktualisiert, um eine genauere Erkennung in einer wachsenden Liste von PII-Typen zu ermöglichen. Beispielsweise wurden die Modelle verbessert, um internationale Kunden besser zu unterstützen, indem geografische Unterschiede in den Datentypen besser erkannt werden, z. B. Unterschiede in den Postanschriftformaten in den USA und in Deutschland oder regionale Namenskonventionen, die durch Standardmusterabgleich nur schwer zu erkennen sind.

Kunden können jetzt auch ihre eigenen Datentypen mithilfe regulärer Ausdrücke erstellen – ein weit verbreiteter Standard zum Definieren von Suchmustern -, sodass Amazon Macie vertrauliche Daten erkennen kann, die für das Geschäft eines Kunden spezifisch sind oder innerhalb eines Unternehmens eindeutig formatiert sind (z. B. Patienten-ID-Nummern).

Zum Beispiel fordert der Mindeststandard des BSI zur Mitnutzung von externen Cloud-Diensten:

  • In der Risikoanalyse und Datenkategorisierung sind zusätzlich zum Schutzbedarf, Geheim- und Datenschutzaspekte sowie Personen-und Dienstgeheimnisse zu ermitteln. Die Daten sind im Rahmen der Datenkategorisierung den nachfolgenden Kategorien zuzuordnen: Kategorie 1 = Privat- und Dienstgeheimnisse gemäß §§203 und 353b StGB, Kategorie 2 = personenbezogene Daten gemäß Artikel 4 Nr. 1 DSGVO, Kategorie 3 = Verschlusssachen gemäß dem Gesetz über die Voraussetzungen und das Verfahren von Sicherheitsüberprüfungen des Bundes und den Schutz von Verschlusssachen (SÜG) und Kategorie 4 = sonstige Daten (weder Kategorie 1, noch 2, noch 3). Solche Kategorien kann man dann definieren und entsprechend suchen und klassifizieren lassen.

Provider-Tools entbinden aber nicht von den Datenschutz-Pflichten

So hilfreich solche Dienste für die Klassifizierung zu schützender Daten auch sein können, Cloud-Nutzer sollten immer an die Grenzen dieser Tools und die bleibende Verantwortung denken, wenn sie Provider-Sicherheitsdienste in ihre Datenschutzkonzept für die Cloud einbeziehen.

Offensichtlich wurde Amazon Macie kürzlich weiter optimiert, um weitere Datenkategorien identifizieren und klassifizieren zu können. Im Umkehrschluss konnte Amazon Macie also bestimmte Klassifizierungen bisher nicht.

Wenn aber zu schützende Daten in der Cloud bisher nicht oder nur unvollständig erkannt und klassifiziert wurden oder auch in Zukunft werden, ist dies nicht etwa die Verantwortung des Providers. Die Nutzung von Provider-Tools ändert nichts an der Aufgabenteilung zwischen Provider und Kunde und schon gar nicht an der datenschutzrechtlichen Verantwortung.

Wer sich also dafür entscheidet, Datenschutzaufgaben mit einem bestimmten Provider-Tool anzugehen, verschiebt die Verantwortung nicht auf den Provider, sondern als Verantwortlicher entscheidet man sich für eine bestimmte Maßnahme im Datenschutz, zum Beispiel für ein Provider-Tool. Provider-Sicherheitsdienste können also im Cloud-Datenschutz helfen, die Aufgabe und Verantwortung und damit die große Bedeutung des Datenschutzes für eine Entscheidung pro Cloud Computing bleiben bestehen.

ANZEIGE

HPE GreenLake: Optimale Basis für Ihre Cloud

HPE GreenLake ist ein IT-as-a-Service-Angebot, das das Cloud-Erlebnis in Ihre On-Premises-Infrastruktur bringt und Ihre Edges, Clouds und Rechenzentren vereinheitlicht. Lernen Sie in diesem Webinar, wie Sie die Vorteile der HPE-Lösung optimal für Ihr Unternehmen nutzen.

Themenseiten: Cloud-Computing

Fanden Sie diesen Artikel nützlich?
Content Loading ...
Whitepaper

Artikel empfehlen:

Neueste Kommentare 

Noch keine Kommentare zu Wo Cloud-Provider im Datenschutz helfen können

Kommentar hinzufügen

Schreibe einen Kommentar

Deine E-Mail-Adresse wird nicht veröffentlicht. Erforderliche Felder sind markiert *