Sie sind hier: Home » Markt » Hintergrund

Cloud-Dienste in der öffentlichen Verwaltung


Neuer IT-Ratsbeschluss zur Verwendung von Cloud-Diensten bereits überholt
Wichtiges Kriterium für die Nutzung von Cloud-Diensten ist ein äußerst hohes Maß an Sicherheit, der Rat führt zum Beispiel explizit eine Zertifizierung nach ISO-Standard 27001 an

(27.11.15) - Wann dürfen im öffentlichen Dienst Cloud-Angebote genutzt werden? Eine Frage, die in diesem Sommer die Verantwortlichen in der öffentlichen Verwaltung verstärkt beschäftigte. Der Rat der IT-Beauftragten der Bundesregierung verfasste dazu nun einen Beschluss. Dieser Beschluss vom 29. Juli 2015 erklärt vorab, dass eigene IT-Systeme "zu bevorzugen" sind, Cloud-Dienste von Privatanbietern jedoch eingesetzt werden können, wenn sie den Leistungsanforderungen entsprechen. Der Beschluss fasst die Kriterien für die Nutzung von Cloud-Diensten der IT-Wirtschaft durch die Bundesverwaltung zusammen. Eine zentrale Forderung ist, dass die Cloud-Dienst-Angebote gerade in Bezug auf Sicherheit intensiv zu prüfen sind, bevor Daten und deren Verarbeitung ausgelagert werden.

Lesen Sie zum Thema "Cloud Computing" auch: SaaS-Magazin.de (www.saasmagazin.de)

Wichtiges Kriterium für die Nutzung von Cloud-Diensten ist ein äußerst hohes Maß an Sicherheit, der Rat führt zum Beispiel explizit eine Zertifizierung nach ISO-Standard 27001 an. Einen erweiterten Schutz fordert der Rat insbesondere dann, wenn die ausgelagerten Daten Amtsgeheimnisse beinhalten. Die §§ 203 und 353b StGB, die den Umgang mit personenbezogenen Daten und Geheimnissen behandeln, setzen hierbei den gesetzlichen Rahmen. Professor Alexander Roßnagel, Professor für Öffentliches Recht und Technikrecht an der Universität Kassel, fasst zusammen, was dies genau bedeutet: "Nur wenn technische Maßnahmen die Kenntnisnahme von Geheimnissen ausschließen, dürfen Beamte oder Mitarbeiter des öffentlichen Dienstes eine Public Cloud nutzen."

Generell muss bei der Verarbeitung der Daten der deutsche Datenschutz im vollen Umfang gewährleistet sein und es muss sichergestellt werden, dass unbefugte Dritte keine Daten einsehen oder bearbeiten können. Für den Fall einer Insolvenz oder eines Verkaufs eines Cloud-Anbieters muss eine zuvor definierte Alternative zur Verfügung stehen. Ferner dürfen keine Cloud-Dienste gewählt werden, die ausländischen Rechtsordnungen unterliegen und anderen Staaten zur Auskunft verpflichtet sind, was etwa bei US-Unternehmen der Fall ist.

Zertifizierungen nach ISO-Standard 27001 sagen jedoch bis heute noch nichts über die tatsächliche Datensicherheit in Cloud-Umgebungen aus, denn der Anbieter wird nur nach seinen selbstdefinierten Regeln zertifiziert. Diese Regelungen beziehen sich auf eine strukturierte Arbeitsweise, die eine Voraussetzung für die IT Sicherheit eines Unternehmens ist. Das Schutzniveau für die Daten lässt sich daraus nicht ableiten. Eine Tatsache, die gerade bei Amtsgeheimnissen und personenbezogenen Daten einen Interpretationsspielraum eröffnet und dem Anwender nicht wirklich bei der Bewertung von Angeboten hilft.

Außerdem betrifft die ISO 27001 nur die Infrastruktur einer Organisation, Cloud-Dienste werden dort gar nicht berücksichtigt. Dazu gibt es den im Beschluss nicht adressierten ISO-Standard 27018, der jedoch keine harten Anforderungen formuliert, die einen Vergleich der Datensicherheit von Diensten ermöglichen würden. Dies soll sich durch das unter der Schirmherrschaft des Bundeswirtschaftsministeriums erarbeitete Trusted Cloud Datenschutzprofil (TCDP) bald ändern. Das TCDP beinhaltet einen genauen Anforderungskatalog, der die Cloud-Dienstangebote in Schutzklassen einteilt.

Auf der Basis des Trusted Cloud Datenschutzprofils zertifizierte Cloud-Dienste entsprechen klar definierten Muss-Anforderungen hinsichtlich des Datenschutzes. Drei Schutzklassen geben konkret Auskunft über das Niveau der Datensicherheit und erlauben dem Anwender einen direkten Vergleich. Die höchste Schutzklasse – unter die zum Beispiel Amtsgeheimnisse fallen – muss unter anderem garantieren, dass eine technische Sicherung besteht, die verhindert, dass Dritte die Daten einsehen können. Selbst der Betreiber der Rechenzentren muss von einer möglichen Kenntnisnahme ausgeschlossen sein. In diesem Zusammenhang sieht Roßnagel die in Deutschland entwickelte Sealed Cloud-Technologie als "ein gelungenes Beispiel für datenschutzgerechte Technikgestaltung". Denn die Sealed Cloud ist derzeit noch die einzige Cloud-Umgebung, die mit rein technischen Maßnahmen sicherstellt, dass Daten für Betreiber und unbefugte Dritte nicht einsehbar ist. Die technische Realität und das Trusted Cloud Datenschutzprofil (TCDP) haben die Forderung des Beschlusses nach einer ISO/IEC 27001 also bereits überholt.

Dr. Huber Jäger, GF von Uniscon und IT-Sicherheitsexperte, erklärte: "Der Beschluss ist ein wichtiger Schritt in die richtige Richtung, da er unter anderem klarstellt, dass die §§ 203 und 353b StGB einzuhalten sind. Die Forderung, eigene IT-Systeme seien zu bevorzugen greift dagegen zu kurz. Man muss sagen, dass IT-Technologien oft einen oder mehrere Schritte weiter sind, als es Beschlüsse widerspiegeln. Es ist höchste Zeit, dass Daten in der Cloud sachgerecht geschützt werden. Die Frage ist, kann Anwendern und IT-Fachkräften von Behörden und öffentlichen Einrichtungen allein zugemutet werden, Cloud-Angebote in Sachen Datensicherheit zu beurteilen, oder sollten sie sich nicht besser mit externen IT-Sicherheitsexperten zusammentun, deren täglicher Job darin besteht, Technologien, Systeme und Angebote auch auf Datensicherheit zu überprüfen?"
(Uniscon: ra)

Uniscon universal identity control: Steckbrief

Der Informationsanbieter hat seinen Kontakt leider noch nicht freigeschaltet.


Kostenloser Compliance-Newsletter
Ihr Compliance-Magazin.de-Newsletter hier >>>>>>


Meldungen: Markt / Hinweise & Tipps

  • Vorsicht vor Betrug bei Festgeldanlagen

    Wer auf der Suche nach attraktiven Tages- oder Festgeldanlagen ist, nutzt häufig eine Suchmaschinensuche oder ein Vergleichsportal im Internet. Doch hier heißt es, wachsam zu sein. Auch Unternehmensseiten wie Bankportale und Vergleichsportale können perfekt gefälscht sein.

  • Bestandteil der Investmentsteuer

    Die Vorabpauschale für Investmentfonds ist bereits seit 2018 Bestandteil der Investmentsteuer in Deutschland ist. Die Berechnung der Vorabpauschale basiert allerdings auf dem sogenannten Basiszins, der in der Vergangenheit oft im negativen Bereich lag. Daher wurde die Vorabpauschale erst wieder Anfang 2024 für das Vorjahr, also das Jahr 2023, erhoben. Doch was ist die Vorabpauschale und wie funktioniert sie? In diesem Artikel zeigen wir Ihnen, worauf Sie achten sollten.

  • KI, Datenschutz & Datensicherheit

    Bevor Unternehmen generative KI einführen, sollten sie sich einige Fragen stellen, damit die neuen Dienste nicht den Datenschutz und die Datensicherheit gefährden. Forcepoint verrät, welche Fragen das sind. Die meisten Unternehmen haben den Mehrwert von generativer KI inzwischen erkannt und wollen entsprechende Dienste einführen, um ihre Mitarbeiter zu entlasten und Abläufe effizienter zu gestalten.

  • Cybersicherheit & NIS2-Compliance

    Mit der neuen EU-Richtlinie für Cybersicherheit erweitert sich der Kreis der betroffenen Firmen von rund 2.000 Unternehmen auf geschätzte 30.000. Während sich Großbetriebe von ihren Rechtsabteilungen beraten lassen, sind viele Mittelständler auf sich gestellt - und verunsichert.

  • Investitionen in nachhaltige Rechenzentren

    Digitale Technologien spielen eine wesentliche Rolle, um schädliche Emissionen zu reduzieren und die Klimaziele in Deutschland zu erreichen. So ergab eine aktuelle Bitkom-Studie zum Einsatz von digitaler Lösungen in Sektoren wie Energie, Industrie und Verkehr, dass die CO2-Emissionen im Klimaziel-Stichjahr 2030 jährlich um 73 Millionen Tonnen reduziert werden könnten.

Wir verwenden Cookies um unsere Website zu optimieren und Ihnen das bestmögliche Online-Erlebnis zu bieten. Mit dem Klick auf "Alle akzeptieren" erklären Sie sich damit einverstanden. Erweiterte Einstellungen