Categories: Cloud

Wo Cloud-Provider im Datenschutz helfen können

Datenschutz ist weiterhin ein zentrales Thema im Cloud Computing, wie der aktuelle Cloud Monitor 2020 von Bitkom zeigt. Unternehmen ohne Public-Cloud-Lösungen haben vor allem Sicherheitsbedenken. Sieben von zehn Nichtnutzern (70 Prozent) fürchten einen unberechtigten Zugriff auf sensible Unternehmensdaten.

Cloudmonitor 2020 (Quelle: Bitkom, KPMG)

Allerdings ist das Bild vom Cloud-Datenschutz nicht immer stimmig. Umfragen unter Cloud-Nutzern haben mehrfach gezeigt, dass ein Teil der Anwender meint, der Cloud-Provider sei für den Datenschutz und die IT-Sicherheit des eingesetzten Cloud-Dienstes verantwortlich. Ein solches Missverständnis kann Folgen haben: Man kümmert sich als Cloud-Nutzer nicht ausreichend um den Datenschutz für die Cloud-Daten.
Selbst bei Cloud-Diensten, die zum Beispiel ein Testat nach C5 (Cloud Computing Compliance Criteria Catalogue) oder eine Datenschutzzertifizierung vorweisen können, ist der Datenschutz und die IT-Sicherheit nicht etwa die Angelegenheit des Anbieters.

Das Bundesamt für Sicherheit in der Informationstechnik (BSI) unterstreicht dies ebenfalls: Die Verwendung von C5 oder den genannten Zertifizierungen ändert nichts daran, dass der jeweilige Cloud-Kunde selbst in der Verantwortung ist, den Datenschutz zu gewährleisten und die ergriffenen Maßnahmen zur Einhaltung des Datenschutzes zu bewerten.

Die Datenschutz-Grundverordnung (DSGVO / GDPR) regelt dies insbesondere in Artikel 28 DSGVO (Auftragsverarbeitung).

AWS: Shared Responsibility Model V2.59 (Grafik: AWS)

Doch Provider bieten Unterstützung

Cloud-Provider wie AWS bieten nicht nur ein Modell der geteilten Verantwortung für Sicherheit und Compliance, sie haben auch eine Vielzahl von Datenschutz-Tools im Angebot, die der Cloud-Nutzer einsetzen kann, um seine Aufgaben im Cloud-Datenschutz besser umsetzen zu können.

Ein Beispiel ist Amazon Macie, das kürzlich um mehrere Funktionen im Bereich Datenschutz erweitert wurde. So ist der Cloud-Kunde zwar für die Verwaltung der eigenen Daten (einschließlich Verschlüsselungsoptionen) und für die Klassifizierung der eigenen Assets verantwortlich. Doch ein Dienst wie Amazon Macie kann helfen.

AWS beschreibt seinen entsprechend Dienst so: Kunden wählen die Buckets aus, die sie zur Erkennung vertraulicher Daten senden möchten, und Amazon Macie scannt diese Buckets mithilfe von maschinellem Lernen und Mustervergleich, um die Daten anhand eines vordefinierten Satzes gängiger vertraulicher Datentypen zu identifizieren und zu kategorisieren.

Die Kunden erhalten umsetzbare Sicherheitsergebnisse, in denen alle Daten aufgelistet sind, die zu diesen sensiblen Datentypen passen, einschließlich personenbezogener Daten (PII wie z. B. Kundennamen und Kreditkartennummern) und Kategorien, die in Datenschutzbestimmungen wie der DSGVO definiert sind. Die Datenerkennungs-Engine von Amazon Macie wurde laut AWS vollständig überarbeitet, um die zugrunde liegenden Speicher- und Rechenressourcen besser zu nutzen und eine schnellere und skalierbarere Erkennung durchzuführen.

Die Modelle für maschinelles Lernen von Amazon Macie wurden aktualisiert, um eine genauere Erkennung in einer wachsenden Liste von PII-Typen zu ermöglichen. Beispielsweise wurden die Modelle verbessert, um internationale Kunden besser zu unterstützen, indem geografische Unterschiede in den Datentypen besser erkannt werden, z. B. Unterschiede in den Postanschriftformaten in den USA und in Deutschland oder regionale Namenskonventionen, die durch Standardmusterabgleich nur schwer zu erkennen sind.

Kunden können jetzt auch ihre eigenen Datentypen mithilfe regulärer Ausdrücke erstellen – ein weit verbreiteter Standard zum Definieren von Suchmustern -, sodass Amazon Macie vertrauliche Daten erkennen kann, die für das Geschäft eines Kunden spezifisch sind oder innerhalb eines Unternehmens eindeutig formatiert sind (z. B. Patienten-ID-Nummern).

Zum Beispiel fordert der Mindeststandard des BSI zur Mitnutzung von externen Cloud-Diensten:

  • In der Risikoanalyse und Datenkategorisierung sind zusätzlich zum Schutzbedarf, Geheim- und Datenschutzaspekte sowie Personen-und Dienstgeheimnisse zu ermitteln. Die Daten sind im Rahmen der Datenkategorisierung den nachfolgenden Kategorien zuzuordnen: Kategorie 1 = Privat- und Dienstgeheimnisse gemäß §§203 und 353b StGB, Kategorie 2 = personenbezogene Daten gemäß Artikel 4 Nr. 1 DSGVO, Kategorie 3 = Verschlusssachen gemäß dem Gesetz über die Voraussetzungen und das Verfahren von Sicherheitsüberprüfungen des Bundes und den Schutz von Verschlusssachen (SÜG) und Kategorie 4 = sonstige Daten (weder Kategorie 1, noch 2, noch 3). Solche Kategorien kann man dann definieren und entsprechend suchen und klassifizieren lassen.

Provider-Tools entbinden aber nicht von den Datenschutz-Pflichten

So hilfreich solche Dienste für die Klassifizierung zu schützender Daten auch sein können, Cloud-Nutzer sollten immer an die Grenzen dieser Tools und die bleibende Verantwortung denken, wenn sie Provider-Sicherheitsdienste in ihre Datenschutzkonzept für die Cloud einbeziehen.

Offensichtlich wurde Amazon Macie kürzlich weiter optimiert, um weitere Datenkategorien identifizieren und klassifizieren zu können. Im Umkehrschluss konnte Amazon Macie also bestimmte Klassifizierungen bisher nicht.

Wenn aber zu schützende Daten in der Cloud bisher nicht oder nur unvollständig erkannt und klassifiziert wurden oder auch in Zukunft werden, ist dies nicht etwa die Verantwortung des Providers. Die Nutzung von Provider-Tools ändert nichts an der Aufgabenteilung zwischen Provider und Kunde und schon gar nicht an der datenschutzrechtlichen Verantwortung.

Wer sich also dafür entscheidet, Datenschutzaufgaben mit einem bestimmten Provider-Tool anzugehen, verschiebt die Verantwortung nicht auf den Provider, sondern als Verantwortlicher entscheidet man sich für eine bestimmte Maßnahme im Datenschutz, zum Beispiel für ein Provider-Tool. Provider-Sicherheitsdienste können also im Cloud-Datenschutz helfen, die Aufgabe und Verantwortung und damit die große Bedeutung des Datenschutzes für eine Entscheidung pro Cloud Computing bleiben bestehen.

ANZEIGE

HPE GreenLake: Optimale Basis für Ihre Cloud

HPE GreenLake ist ein IT-as-a-Service-Angebot, das das Cloud-Erlebnis in Ihre On-Premises-Infrastruktur bringt und Ihre Edges, Clouds und Rechenzentren vereinheitlicht. Lernen Sie in diesem Webinar, wie Sie die Vorteile der HPE-Lösung optimal für Ihr Unternehmen nutzen.

Kai Schmerer

Kai ist seit 2000 Mitglied der ZDNet-Redaktion, wo er zunächst den Bereich TechExpert leitete und 2005 zum Stellvertretenden Chefredakteur befördert wurde. Als Chefredakteur von ZDNet.de ist er seit 2008 tätig.

Recent Posts

Ungepatchte Lücke in der Windows-Druckwarteschlange verschafft Malware Admin-Rechte

Forscher umgehen einen von Microsoft im Mai bereitgestellten Patch. Die neue Lücke soll das Einschleusen…

2 Tagen ago

Bericht: Microsoft strebt Übernahme des weltweiten Geschäfts von TikTok an

Dazu gehören auch die Märkte in Europa und Indien. US-Präsident Trump verstärkt indes den Druck…

2 Tagen ago

Durchgesickerte interne Dokumente: Intel prüft Einbruch in seine Systeme

Ein Hacker stiehlt angeblich 20 GByte Daten von Intel. Es handelt sich zum Teil um…

2 Tagen ago

Cisco warnt vor Sicherheitslücken in Routern, Switches und AnyConnect VPN

Sie erlauben Denial-of-Service-Angriffe und den Diebstahl vertraulicher Informationen. Der AnyConnect-Client für Windows gibt Hackern Zugriff…

3 Tagen ago

295 Chrome-Erweiterungen kapern Suchanzeigen von Google und Bing

AdGuard entdeckt sie bei der Suche nach gefälschten Adblockern. Die Erweiterungen bringen es zusammen auf…

3 Tagen ago

Samsung verlängert Android-Upgrades auf drei Jahre

Die Änderung gilt auch für ältere Smartphones wie das Galaxy S10. Es erfährt 2021 nun…

3 Tagen ago