CIO Guide zu Public Cloud & DSGVO

Lesezeit: 20 Minuten

alt text

INTRO

☁ PUBLIC CLOUD & DSGVO - Mythos und Realtität! ☁

Datenschutz im Jahre 2021 ist keine technische, sondern eine gesellschaftliche Herausforderung!

Durch die COVID-Krise und Datenmengen die mittlerweile in Cloud’s verarbeitet werden, hat sich das Thema Datenschutz zugespitzt - gerade gegenüber internationalen Konzernen wie Microsoft, Amazon, Facebook, Twitter, Google & Co. Insbesondere auch durch das Schrems-II Urteil und den neuen Anforderungen im BDSG-neu, der DSGVO (Datenschutzgrundverordnung) und dem IT-Sicherheitsgesetz 2.0.

Ich selbst beschäftige mich intensiv seit meinem 14. Lebensjahr mit Cyber-Security - vielleicht kennt der ein oder andere noch das Thema Akustikkoppler und BBS-Systeme. IT-Sicherheit war schon immer ein zentrales Thema, wenn auch zu Anfangszeiten im Fokus stand: “Hacking-for-fun and non-profit!"

Als erfahrener und zertifizierter Public Cloud Sicherheitsexperte, möchte ich heute meinen Blick auf den Mythos DSGVO und Public Cloud darstellen. Losgelöst von der rechtlichen Lage, die jedes Unternehmen für sich selbst einschätzen muss.

AKTUELLE SITUATION

Egal ob bei Golem, Heise oder den einschlägigen Behörden, die nun eine Vielzahl Ihrer Public Cloud Projekte gestoppt haben - nichts wird kontroverser diskutiert als der deutsche Datenschutz!

U.Kelber als Bundesdatenschutzbeauftragter, befeuert das Thema leider nicht immer im positiven Sinne. Auch wenn ich seine Fachlichkeit sehr schätze, wirkt es immer sehr einfach sich auf die Position eines Datenschutzbeauftragten zu berufen und die Realität dadurch auszublenden.

Industrieverbände äußern mit Nachdruck den Wunsch, nun endlich mehr Klarheit für die Unternehmen zu schaffen. Auch in unseren Projektsituationen befassen sich die Unternehmen nicht immer primär mit dem Fortschritt Ihrer Digitalisierung, sondern schlagen sich mit IT-Fachanwälten rum, um banale Entscheidungen zu treffen wie: darf ich M365 in meinem Unternehmen überhaupt einsetzen? !

Deutschland hat in vielen Themen bereits einen enormen Nachholbedarf, egal ob eGovernment oder Breitband-Ausbau. Im Jahre 2021 sich die Frage zu stellen, ob “Public Cloud US-Provider”, oder doch lieber auf eine europäische Cloud wie GAIA-X und EUCLIDIA zu warten, kann nicht zielführend sein bei dem 10+ Jahre großem technologischem Vorsprung von AWS & Microsoft. Zumal die Tatsache, dass AWS & Microsoft mittlerweile Mitglieder im GAIA-X Projekt sind, Argumente für GAIA-X als Alternative zu den “Public Cloud US-Provider” ad absurdum führen.

Egal ob Künstliche Intelligenz, smarte Data Lakes, weltumspannende IoT-Umgebungen, komplexe Adhoc-Datenanalysen oder modern Workplace - NICHTS davon wäre ohne Public Cloud ohne Weiteres möglich!

Ein aktueller und sehr interessanter Hintergrund wurde mit dem Digital Riser Report 2021 - PDF untersucht. Fazit: Deutschland fällt weiter zurück - und das AN DIE VORLETZTE STELLE!

alt text
Quelle: European Center for Digital Competitiveness, Digital Riser Report 2021


Wir haben bereits das Rennen, um mobile Betriebssysteme, Chip-Herstellung, Streaming-Dienste und APP-Ökosysteme verloren. Digitale Souveränität für Europa ist sicherlich wichtig, aber dann sollten wir die etablierten Cloud-Lösungen optimal für unsere Zwecke nutzen!

UNSER CREDO ALS CLOUDETEER:

  • Datenverschlüsselung wo immer auch möglich - mit eigener Schlüsselverwaltung!
  • Gezielte Auswahl der Cloud-Region, wo der Dienst ausgerollt werden soll!
  • Standardisierte Bereitstellung - GitOps/DevSecOps/DataOps von der ersten Stunden an!
  • Engmaschige Überwachung - Integration Cloud-SIEM/SOAR & native Hyperscaler-Tools!
  • Security Governance & Richtlinien-Erzwingung - Secure Landing Zone Konstrukt von Beginn an!

HINTERGRUND

Die Frage was mir sehr häufig gestellt wird:
Ist Public Cloud per-se unsicherer als mein Rechenzentrum(s-Betreiber)?

NEIN !
-Public Cloud ist gleich sicher & meist deutlich besser abgesichert.
-Public Cloud Infrastrukturen erfüllen mehr Compliance Standards, als jeder RZ-Betreiber.
-Public Cloud Dienste bieten ein vollumfängliches Repertoire an Sicherheitstools.
-Public Cloud bietet hohe Transparenz bei Zugriffen und Nutzung (Audit & Logging).

Es scheitert fast immer an einer unzureichenden Cloud-Strategie, der richtigen Wahl des Cloud-Dienstes, Nutzung relevanter Sicherheitsfeatures & Cloud-Sicherheitsbetrieb!

Am Ende des Tages geht es immer um eine Risikoeinschätzung und die Nutzung von adäquaten Sicherheitsmechanismen. Hier ist eine Public Cloud-Infrastruktur nicht anders zu betrachten, wie Ihr Rechenzentrum (RZ) in den letzten 10+ Jahren! Jedoch Cloud-RZ haben andere geografischen Dimensionen und werden von Millionen Kunden genutzt!

Was auch nicht neu ist, denn auch ein klassisches Rechenzentrum ist fast immer im Shared-Kundendeinsatz! Genau hier liegt aber die Herausforderung, denn diese geografischen Verfügbarkeiten (Grundarchitektur einer jeden Public Cloud) machen eine klare Abgrenzung, wo Daten liegen bzw. transferiert werden, fast unmöglich - oder so teuer, dass sich der Wechsel nicht lohnt!

§ DSGVO - konkrete IT-Anforderungen?

Leider wird das Thema DSGVO häufig zu komplex angegangen, da auf das komplette Cloud-Projekt angewandt und vielen der Scope nicht immer klar ist.

Die Datenschutzgrundverordnung bezieht sich ausschließlich auf personenbezogenen Daten und deren adäquaten Schutz!

Hierzu gibt es keinen konkreten DSGVO IT-Compliance Standard, sondern Bezug auf bestehende Regulatorien (Bsp. Bafin, KRITIS oder *ITSiG) und Compliance-Standards (Bsp. ISO 27001/ 27017/27018, PCI-DSS, SOX oder BSI C5).

*ITSiG: IT-Sicherheitsgesetz 2.0

Was sind personenbezogene Daten?

  • Allgemeine Personendaten (Name, Adresse, Geburtsdatum, Telefonnummer, E-Mailadresse)
  • Kennziffern (Passnummer, Steuer-ID, Sozialversicherungsnummer)
  • Physische und genetische Daten (Geschlecht, Größe, Statur, Augenfarbe, Patientendaten)
  • Online-Kennungen (IP-Adresse, Standortdaten, Cookies, Verkehrs- und Abrechnungsdaten)
  • Bankdaten (Kontonummer, Kreditkartennummer)
  • Vermögenswerte (Immobilien, Fahrzeuge, Kfz-Kennzeichen, Zulassungsdaten)
  • Kundendaten (Bestellungen, Account-Informationen)
  • Werturteile (Zeugnisse, Urkunden)

Was gilt es für Public Cloud Provider nun konkret zu beachten?

Als langjähriger Security Auditor und Pentester sieht man sich immer wieder mit Mythen konfrontiert.

Die Einen glauben alles mit einem kommerziellen “Tool” zu erschlagen, die Anderen mit einer Formulierung eines IT-Fachanwalts, oder man hofft, dass der Cloud Provider sich per-se um Datenschutz & Datensicherheit kümmert.

Datenschutz und Datensicherheit wird immer in der eigenen Verantwortung liegen und spätestens beim nächsten Datenklau wird jedem bewusstwerden wie kritisch und teuer das Ganze werden kann!

Auf dem Punkt gebracht, gelten immer die Regeln, die für alle IT-Infrastrukturen gelten:
SECURITY-BY-DESIGN!

Ein Credo was wir in unseren Projekten immer versuchen von Beginn an zu vermitteln und zu etablieren! Würden die gängigen Security-Best-Practices gleich zu Beginn richtig angewandt werden, bräuchte man später nur noch wenige spezifische Kontrollen für einschlägige Regulatorien betrachten.

Es geht immer um die gleichen Security-Domains die sauber konzeptioniert, umgesetzt und im Betrieb verankert werden müssen - siehe nachfolgende Abbildung:

alt text


Gibt es spezifische DSGVO-konforme Public Cloud Richtlinien?

Nein, gibt es nicht - nur eine Vielzahl an unterschiedlichen technischen Leitlinien und keinen konkreten DSGVO-konformen Guide. Wie so häufig bei regulatorischen Vorgaben und auch schon beim *BDSG, ist man hier sehr vage in den Aussagen und verweist auf gängige IT-Compliance Standards.

Folgende Standards sollten berücksichtigt werden:

  • BSI C5:2020 Cloud-Kriterienkatalog (Online-Link) - das Referenzwerk für Cloud Computing schlechthin und in unseren Projekten verwenden wir diesen sehr häufig. Hat auch international hohen Stellenwert und es gibt nichts Vergleichbares.

  • BSI KI Cloud-Kriterienkatalog (Online-Link) - das neue Referenzwerk für Cloud-basierte KI-Technologien. Auch hier wieder mit sehr spezifischen Sicherheitskontrollen.

  • ESMA Leitlinie zur Auslagerung an Cloud-Anbieter (PDF-Link) - die Leitlinie gibt einen kompakten Überblick und ist am 10. Mai 2021 erlassen worden. Diese wird auch von der BaFin in kürze Anwendung finden und als Standardrichtlinie angewandt.

  • Cloud Security Alliance Cloud Controls Matrix (Online-Link) - geht in die Richtung wie BSI C5 (ähnliche Gruppierung der Security-Domains), jedoch mit primärem Fokus auf Cloud Provider zur Einhaltung gängiger Cloud Security Best-Practices. Ebenfalls ein ausgezeichnetes Referenzwerk, auch mal bei seinem Hoster- sorry, Private Cloud Provider :) nachzuhaken, wie er mit diesen Themen umgeht, oder ob dieser schon als STAR-Member gelistet ist!

  • CIS Benchmarks (Online-Link) - die seit Jahren renommierten CIS-Benchmarks, welche in fast jedem kommerziellen Security-Tool referenziert werden. Jeder Public Cloud Provider nutzt diese auch selbst für die eigenen Security Dashboards (Bsp. AWS Security Hub oder Azure Security Center). Für den Cloud-Administrator und Betriebsmitarbeiter ein absolutes Muss zur konkreten Umsetzung von Hardening-Vorgaben (Alibaba, AWS, Azure, GCP, Kubernetes, M365, Oracle ..).

  • European Data Protection Report - Nov. 2020, Empfehlungen zu Maßnahmen zur Ergänzung von Übermittlungstools zur Gewährleistung des unionsrechtlichen Schutzniveaus für personenbezogene Daten. Im speziellen Anhang 2 für zusätzliche Maßnahmen PDF-Link

*BDSG: Bundesdatenschutzgesetz

UNSERE EMPFEHLUNGEN:

  • Binden Sie frühzeitig den Betriebsrat, Legal & *DSB ein - Immer wieder sehen wir in Projekten, dass dieser Personenkreis zu spät eingebunden wird. Hier muss man klar aufzeigen welche Datenschutz-Mechanismen angesetzt werden. Egal ob ein M365- oder Big Data Analytics Projekt. Dabei auf den Unternehmens-internen Standard achten und nicht ein losgelöstes Konzept für den jeweiligen Cloud-Dienst entwerfen!

  • Bei komplexeren Entscheidungen, ziehen Sie erfahrene IT-Fachanwälte hinzu - Eine rechtliche Beratung ist immer ratsam, wenn es um viele externe Kundendaten geht, die in einem Cloud-Dienst verarbeitet werden sollen. Gerade mit Hinblick auf die aktuellen DSGVO-Bußgelder und möglichen Klagen durch Kunden, da die berühmte Übergangsfrist zur Umsetzung abgelaufen ist!

  • Datenportabilität zur Verhinderung von ”Vendor Lock-in“ - gleich zu Beginn im Projekt berücksichtigen. Vermeidung von proprietären Datenstandards durch einschlägige Cloud-Dienste, hier den Fokus auf offene Schnittstellen und anerkannte Datenstandards legen (Bsp. OpenAPI, OpenGroup oder CNCF DataOps). Data-Driven Enterprise ist kein Buzzwording mehr, sondern unternehmerische Notwendigkeit!

  • Datenklassifizierung nicht nur auf Papier - auch wenn das Thema weiterhin ein “heißes Eisen” bei vielen Unternehmen bleibt, im Public Cloud Umfeld ist es eine kritische Notwendigkeit! Wenn nicht vorweg geklärt ist, welche Daten überhaupt in die Public Cloud dürfen, dann ist ein generelles Datenschutzkonzept erst gar nicht möglich. Dies würde bedeuten, dass immer maximale Security in der Cloud angewendet werden muss und dass kann keiner bezahlen! Generell muss das Thema wegen der *DSFA-Anforderungen sowieso angegangen werden, daher einfach das Thema Cloud mitbetrachten im Klassifizierungsschema. Auch hier gibt es bereits gute Vorlagen, wie das Standard-Datenschutzmodell (SDM).

  • Cloud Secure Landing Zone Pinzipien etablieren - für jede digitale Public Cloud Innovation eine zwingende Voraussetzung. Ohne einheitliche Rahmenparameter, wird man nie ein schlüssiges Cloud-Datenschutzkonzept umsetzen können. Auch das Thema Automatisierung muss im Cloud-Zeitalter zwingend etabliert werden, denn nur so wird ein einheitlicher Sicherheitsstandard in Public Clouds ermöglicht. Mehr hierzu ist in unserem Blog nachzulesen!

  • Datenschutz-Folgeabschätzung (DSFA) frühzeitig starten - die Erfahrung hat gezeigt, dass jedes Cloud-Projekt kurz- oder mittelfristig mit dem Thema Datenschutz konfrontiert wird. DSFA ist nicht nur für das Audit- und Risk-Team im Unternehmen wichtig, sondern auch für die IT. Nur diese kann die Anforderungen mit “Leben” (technischen Maßnahmen) füllen und diese auch gleichzeitig, als strukturierte Cloud-Security Dokumentation für den nächsten Audit vorhalten. Auch hier brauchen Sie das Rad nicht neu erfinden, nutzen Sie das freie PIA-Tool und schon haben Sie eine klare Struktur einer DSFA!

  • Cloud SOC-Team etablieren - auch wenn das Thema häufig durch den IT-Betrieb “nebenher” gemacht wird, im Cloudzeitalter muss ein angepasster Cloud Security Incident Management Prozess frühzeitig umgesetzt werden. Viele Unternehmen haben das Thema SOC extern vergeben (*MSSP), aber mit Hinblick der neuen DSGVO-Anforderungen und der Komplexität und Abhängigkeiten in Public Clouds, ist stark zu bezweifeln, ob so ein klassisches Outsourcing-Modell überhaupt noch möglich ist - abgesehen davon, dass es rechtlich bei Datenvorfällen, sowieso immer klare Abgrenzungen der MSSP’s gibt! Wir als CLOUDETEER verfolgen immer den Ansatz den externen Dienstleister, als “verlängerte Sicherheits-Werkbank und Versicherungsschein” miteinzubeziehen - was wir mit unserem Cloud SOC Service stets unter Beweis stellen.

  • Dokumentation, Dokumentation, Dokumentation - hier geht es nicht um die Menge von Papier, sondern um smarte Feinkonzepte und darum neue Wege im Bereich Git- und DataOps zu beschreiten. Die permanente Veränderung im Bereich Cloud-Dienste, muss sich auch in der Bereitstellung, Betriebsdokumentation und den zugehörigen Toolset (Logging, Monitoring, Auditing, Markup Wiki, Continuous Deployment Pipelines, Infrastructure-as-Code, automatisierte Code-Checks ..) wiederspiegeln.

*DSFA: Datenschutz-Folgeabschätzung
*DSB: Datenschutzbeauftragte
*MSSP: Managed Security Service Provider



Wir als CLOUDETEER haben vielfältige Projekterfahrung für sichere Implementierung von Public Cloud-Diensten und als Cloud Managed Service Provider, erleben wir die täglichen Betriebs-Herausforderungen hautnah.

Darüber hinaus unterstützen wir auch Entwickler auf Ihrer Cloud-Reise, um IaaS/PaaS/SaaS optimal und sicher einzusetzen, als auch bei der Einführung von DevSecOps-Prinzipien im täglichen Software-Development-Lifecycle!

Kommen Sie gerne auf uns zu. Wir erstellen Ihnen professionelle Konzepte, implementieren diese mit Ihnen gemeinsam und helfen Ihnen beim Multi-Cloud Basisbetrieb!


Wie immer freue ich mich auf Rückmeldungen und Ihre Meinung zu diesem Thema!

Fragen, Kritik, Hinweise?

Gerald Fehringer
CTO, Co-Founder
CISSP, CISA, CISM, CCSP, Cloud Nerd-by-nature
E-Mail: gf @ cloudeteer.de
Twitter: @zerohat

CLOUDETEER
Twitter: @cloudeteer
Meetup: @CloudNatics