Fachbereich 03: Mathematik/Informatik Datenschutz und Datensicherheit im Cloud Computing Privacy, safety and security in cloud-computing-systems Diplomarbeit von Steffen Bothe Gutachter: Prof. Dr. Karl-Heinz R¨ odiger Dr. Dieter M¨ uller Bremen, 05. Juni 2012
104
Embed
Datenschutz und Datensicherheit im Cloud Computing
This document is posted to help you gain knowledge. Please leave a comment to let me know what you think about it! Share it to your friends and learn new things together.
Transcript
Fachbereich 03: Mathematik/Informatik
Datenschutz und Datensicherheit im
Cloud ComputingPrivacy, safety and security in cloud-computing-systems
Diplomarbeitvon
Steffen Bothe
Gutachter: Prof. Dr. Karl-Heinz Rodiger
Dr. Dieter Muller
Bremen, 05. Juni 2012
Thema: Datenschutz und Datensicherheit im Cloud ComputingPrivacy, safety and security in cloud-computing-systems
”Steht Wolke hoch, zum herrlichsten geballt, verkundet, festge-
bildet, Machtgewalt. Und, was ihr furchtet und auch wohl erlebt,
wie’s oben drohet, so es unten bebt,“ [Goethe 1840, S. 409].
Schon Goethe erkannte seinerzeit die Macht der Wolken. Heute sind es – im
Gegensatz zu Goethes Zeiten – die sogenannten Datenwolken, welche mit
Machtgewalt in die IT-Welt drangen. In der Informatik ist das Bild einer
Wolke ublich, um Netze ohne erkennbare Strukturen (wie das Internet) dar-
zustellen. Der Begriff der Wolke soll andeuten, dass Dienste von einem zu-
meist externen Anbieter uber das Internet (bzw. allgemein uber IP-Netze)
erbracht werden. Musste der Nutzer1 fruher noch Software wie beispielsweise
Textverarbeitungs-, Tabellenkalkulations- oder anspruchsvolle Bildbearbei-
tungsprogramme fur seinen PC kaufen, kann er heute vielfach auf spezielle
Online-Portale ausweichen. Die Datenverarbeitung in der Wolke, das Cloud
Computing, ist Thema dieser Arbeit. Dabei wird geklart, was Cloud Compu-
ting ist, wie es funktioniert und welche Risiken bei der Benutzung auftreten
konnen.
Den Schwerpunkt dieser Arbeit bilden die Themen Datenschutz und Daten-
sicherheit. Beim Datenschutz handelt es sich um eine juristische Kategorie,
wahrend die Datensicherheit Maßnahmen beinhaltet, die zur Vermeidung
bzw. Verminderung von Storungen in der Datenverarbeitung beitragen (vgl.
[Munch 2010, S. 18]). Anhand von Beispielen macht diese Arbeit einerseits
deutlich, welche Vorteile und Vereinfachungen das Cloud Computing mit
sich bringt, andererseits werden auch die Gefahren und Auswirkungen dieser
Technik kritisch betrachtet.
1Obwohl aus Grunden der Lesbarkeit im Text nur die mannliche Form gewahlt wur-de, beziehen sich die Ausfuhrungen auf Angehorige beider Geschlechter. Dies gilt selbst-verstandlich auch fur Begriffe wie Anwender und andere.
1
1 EINLEITUNG
1.2 Motivation
Kaum ein anderes Thema ist zur Zeit so prasent, wie Cloud Computing.
Neben Fachbuchern und -zeitschriften beschaftigen sich inzwischen auch Ta-
geszeitungen und TV-Sendungen mit dem Thema. Große und kleine Tele-
kommunikationsanbieter bieten ihren Kunden die unterschiedlichsten Cloud-
Angebote, Privatanwender konnen die Dienste oft kostenlos benutzen. Ge-
worben wird immer wieder mit Vorteilen wie der Benutzungsfreundlichkeit
und der standigen Verfugbarkeit von Daten – egal, an welchem seiner Gerate
der Benutzer gerade sitzt. 2011 stand die weltweit großte Messe fur Informa-
tionstechnik, die CeBIT unter dem Motto Work and Life in the Cloud. Auch
2012 spielte die Cloud eine gewichtige Rolle auf der CeBIT, allerdings ruckten
Sicherheitsaspekte weiter in den Mittelpunkt (Managing Trust). Dass durch
das Auslagern von Daten auch Probleme entstehen konnen, hat auch der
Internet- und Softwareaktivist Richard Stallmann bemerkt:
”Derzeit lauft eine systematische Kampagne, die Nutzer dazu brin-
gen soll, ihre Daten Unternehmen anzuvertrauen, denen sie nicht
vertrauen sollten. Das Schlagwort lautet Cloud Computing – ein
Begriff, der fur so Vieles gebraucht wird, dass seine einzige wahre
Bedeutung lautet: Mach es, ohne daruber nachzudenken, was du
da tust,“ [Stallman 2011].
Noch ist nicht abzusehen, ob es sich beim Cloud Computing nur um einen
(zeitlich begrenzten) Trend handelt oder ob mit dieser Technik ein Para-
digmenwechsel einhergeht. Die vielen Unsicherheiten, die dieses Thema mo-
mentan noch mit sich bringt, sind ein guter Grund, sehr genau uber das
nachzudenken, was man tut. Diese Arbeit soll ihren Teil dazu beitragen,
dass gut klingende Buzzwords wie Cloud Computing besser eingeordnet wer-
den konnen. Die Tatsache, dass viele unterschiedliche Dienste unter diesem
Begriff angeboten werden, macht eine genaue Einordnung und Unterschei-
dung notwendig. Ein weiterer wichtiger Grund fur diese Arbeit ist die Wah-
rung von Personlichkeitsrechten, welche durch die moderne Datenverarbei-
2
1 EINLEITUNG
tung durchaus bedroht werden konnen. Datenschutzgesetze gibt es aus genau
diesem Grund, allerdings entstehen viele Probleme bei (im Cloud Computing
ublichen) grenzuberschreitendem Datenverkehr. Die Frage, wo sich wann die
eigenen Daten befinden, lasst sich im Cloud Computing langst nicht so ein-
fach beantworten, wie es der Nutzer vom heimischen Rechner gewohnt war.
Die rasante Verbreitung und die vielen Widerspruche, die das Cloud Com-
puting mit sich bringt, machen dieses Thema besonders spannend.
1.3 Gliederung
In Kapitel 2 wird unter dem Begriff Cloud Computing die (mehr oder we-
niger) neue Form der Daten- und Applikationsauslagerung beschrieben. Ein
Problem besteht darin, dass es derzeit keine offizielle, einheitliche Definition
dieses Begriffs gibt. Anhand vorherrschender Cloud-Modelle und -Dienste so-
wie bestimmter Merkmale wird der Begriff Cloud Computing fur diese Arbeit
definiert und erklart.
Kapitel 3 gibt einen detaillierten Uberblick zum Datenschutz. Dabei steht
insbesondere die Rechtslage zum Thema Cloud Computing im Mittelpunkt,
welche aufgrund der weltweiten Verteiltheit durchaus einige offene Fragen
bereit halt.
Kapitel 4 beschaftigt sich mit dem Thema Datensicherheit und behandelt
neben den drei klassischen Schutzzielen Vertraulichkeit, Verfugbarkeit und
Integritat noch weitere, fur das Cloud Computing relevante Schutzziele, bevor
verschiedene Angriffsszenarien aufgefuhrt werden.
Kapitel 5 zeigt an zwei Szenarien, zu welchen Problemen es bei der Cloud-
Nutzung kommen kann. Dabei werden die Szenarien hinsichtlich der in den
In Kapitel 6 werden Empfehlungen zur sicheren und rechtskonformen Cloud-
Nutzung gegeben. Zunachst wird auf die bereits beschriebenen Szenarien ein-
gegangen, bevor allgemeine Hinweise zu dieser Thematik gegeben werden.
3
1 EINLEITUNG
Kapitel 7 fasst die Ergebnisse dieser Arbeit zusammen und gibt einen Aus-
blick auf das, was das Geschaftsfeld Cloud Computing in Zukunft noch zu
bieten hat und welche alten und neuen Herausforderungen Einfluss darauf
haben.
Die Quellen am Ende der Arbeit sind in Literatur und Online-Literatur
aufgeteilt. Im Text werden Quellenverweise mit Seitenzahlen angegeben (es
sei denn, es wird auf den gesamten Text verwiesen); bei Verweisen auf die
Online-Literatur liegt es in der Natur der Sache, dass diese ohne Angabe der
Seitenzahl zitiert werden.
4
2 CLOUD COMPUTING
2 Cloud Computing
Kaum ein Begriff wird in der IT-Branche in letzter Zeit so haufig genutzt
wie Cloud Computing. In diesem Kapitel wird erlautert, was hinter diesem
Schlagwort steckt, welche Modelle und Dienste (im Folgenden Services) es
gibt, welche Eigenschaften ein Cloud-Computing-System besitzen muss und
wie der derzeitige Stand der Technik ist.
2.1 Was ist Cloud Computing?
Unter dem Begriff Cloud Computing versteht man das Auslagern der Infor-
mationstechnik (IT) auf eine externe Infrastruktur. Dateien werden hier nicht
mehr lokal gespeichert und bearbeitet, sondern in der Rechenwolke, der sog.
Cloud. Dabei handelt es sich um mindestens einen Cloud-Server, meistens je-
doch um mehrere verteilte Rechenzentren. In der Informatik ist das Bild der
Wolke ublich, um formlose Netze mit nur bedingt erkennbaren Strukturen
darzustellen. Der Nutzer weiß in der Regel nicht mehr wo genau sich seine
Daten und Anwendungen befinden. Diese Form der Datenhaltung ermoglicht
es ihm, von unterschiedlichen Rechnern aus an die eigene, personliche Ar-
beitsumgebung zu gelangen. In typischen Cloud-Computing-Services werden
entsprechende Anwendungen online bereitgestellt. Die Software und die Da-
ten befinden sich auf den Servern, auf die der Cloud-Anwender z.B. mit
einem Webbrowser zugreifen kann. Eine Verbindung zu der Cloud wird uber
IP-Netze hergestellt.
Der Vorteil liegt auf der Hand: Unternehmen und auch Privatpersonen mussen
sich nicht selbst um die entsprechende IT-Infrastruktur kummern, sondern
konnen die geforderten Services (siehe Kapitel 2.1.2) einfach anmieten. Abge-
rechnet wird die Nutzung z.B. nach Speicherkapazitat oder CPU-Zeit (Pay-
per-Use). Die Virtualisierungstechnologien der Dienstleister sorgen fur die
notwendige Flexibilitat und Skalierbarkeit der Dienste und ermoglichen so-
mit auch eine bedarfsgerechte Aufteilung.
5
2 CLOUD COMPUTING
”Cloud Computing ist im Kern eine Outsourcing-Technik, bei der typischer-
weise organisationsintern erledigte Aufgaben an ein externes Unternehmen
vergeben werden“ [Singer 2010, S. 2]. Im Gegensatz zum Outsourcing, wel-
ches auf alle Bereiche eines Unternehmens angewandt werden kann, bezieht
sich Cloud Computing nur auf Services und Dienstleistungen aus dem IT-
Bereich.
Damit das Cloud Computing weder mit Outsourcing, noch mit ahnlichen Be-
reichen wie dem Grid- oder dem Utility-Computing verwechselt wird, ware
eine einheitliche Cloud-Definition wunschenswert. Dies ist noch nicht der
Fall – zurzeit existieren lediglich verschiedene Interpretationen. Das Natio-
nal Institute of Standards and Technology (NIST) hat eine eigene Cloud-
Computing-Definition veroffentlicht [Mell 2011, S. 2], auf welche sich große
Teile der Literatur beziehen:
”Cloud computing is a model for enabling ubiquitous, convenient,
on-demand network access to a shared pool of configurable compu-
ting resources (e.g., networks, servers, storage, applications, and
services) that can be rapidly provisioned and released with mini-
mal management effort or service provider interaction.[. . . ]“
In dieser Definition existieren vier Cloud-Computing-Modelle, drei Service-
Modelle sowie funf wesentliche Merkmale, welche in den nachfolgenden Kapi-
teln erlautert werden. Auf die Abgrenzung zum Grid- und Utility-Computing
wird in dieser Arbeit verzichtet und stattdessen auf die Tabelle”Grid- vs.
Cloud-Computing“ von Weinhardt et al. verwiesen [Weinhardt 2009, S. 456].
2.1.1 Modelle
Im Cloud Computing sind verschiedene Organisationsformen von Clouds
moglich. Jedes der hier aufgefuhrten Modelle beschreibt eine bestimmte Or-
ganisationsform. Vereinzelt finden sich in der Literatur noch weitere Modelle.
Dabei handelt es sich aber um spezielle, auf die entsprechende Organisation
6
2 CLOUD COMPUTING
(ein Unternehmen oder eine wissenschaftliche Einrichtung) angepasste Mo-
delle, welche hier aus Grunden der Ubersichtlichkeit nicht weiter erwahnt
werden. In Kapitel 4 wird ersichtlich, warum auch in Hinblick auf die Daten-
sicherheit die Unterteilung in verschiedene Modelle wichtig ist.
Public Cloud: Bei diesem Modell handelt es sich um eine offentlich zugang-
liche Cloud. Diese wird von einem externen Anbieter bereitgestellt und
bietet jeder Firma und jedem Nutzer die gewunschten Services. Der
Nutzer kann nicht entscheiden, mit welchen anderen Nutzern er sich
die Hardware dieser Cloud teilt. Eine virtuelle Abgrenzung zu anderen
Nutzern dieser Cloud ist gegeben.
Private Cloud: Diese Cloud ist nicht offentlich zuganglich. Cloud Ser-
vices werden nur innerhalb eines Betriebs oder im internen Unterneh-
mensbereich des Cloud-Anwenders angeboten, wodurch die Gefahr des
Kontrollverlustes minimiert wird. Eine Private Cloud ist genau auf die
spezifischen Bedurfnisse des Nutzers ausgerichtet. Da sie auch physisch
von anderen Systemen getrennt ist, ist eine deutlich hohere Sicherheit
gegeben als bei anderen Modellen.
Hybrid Cloud: Bei der Kombination mehrerer (Public-, Private- und/oder
Community-) Clouds spricht man von einer Hybrid Cloud. Diese Kom-
bination entsteht, wenn aus einer Private Cloud heraus Dienste einer
Public Cloud genutzt werden oder wenn Unternehmen einen Teil ihrer
Daten sicherheitshalber in der Private Cloud behalten, andere Daten
jedoch (z.B. zu besseren Verteilung) in eine Public Cloud auslagern.
Eine effizientere Lastverteilung oder eine hohere Verfugbarkeit der Ser-
vices sind weitere Grunde fur den Einsatz dieses Modells.
Community Cloud: Der Zusammenschluss mehrerer Private Clouds (z.B.
von verschiedenen Unternehmen) fuhrt zur Community Cloud. Hier
haben samtliche Mitglieder der Community im Rahmen ihrer Rechte
Zugriff auf die Private Clouds aller angeschlossenen Unternehmen.
7
2 CLOUD COMPUTING
Abbildung 1 zeigt die oben beschriebenen Modelle. Public Clouds konnen
von jedem Nutzer in Anspruch genommen werden. Dabei ist nicht festgelegt,
wie viele unterschiedliche Nutzer auf eine Public Cloud zugreifen. Es ist auch
offen, wie viele verschiedene Clouds ein Nutzer ansteuern darf. Die Private
Cloud wird ausschließlich von dem ihr zugehorigen Unternehmen benutzt.
Abbildung 1: Schematische Darstellung der verschiedenen Cloud ComputingModelle
Die Abbildung zeigt auch, dass das Unternehmen (bzw. der Nutzer) F zusatzlich
eine Verbindung zu einer Public Cloud besitzt. In diesem Fall wird von ei-
ner Hybrid Cloud gesprochen. In der Community Cloud befinden sich nur
Private Clouds. Die Verbindungen der Private Clouds untereinander sollen
verdeutlichen, dass alle Nutzer der Community Cloud (D, E und F ) auf alle
Clouds dieser Community zugreifen konnen.
2.1.2 Services
In diesem Abschnitt werden die verschiedenen Services, die von den Cloud-
Service-Providern angeboten werden, beschrieben. Es gibt drei verschiedene
Arten von Services, welche zwar physisch voneinander abhangig sind, aber
als eigenstandige Bereiche gesehen und behandelt werden.
8
2 CLOUD COMPUTING
Vereinfacht ausgedruckt kann man die Services in die Bereiche Hardware
(IaaS), Betriebssystem (PaaS) und Anwendung (SaaS) unterteilen. Abbil-
dung 2 zeigt die Services in einem Schichtenmodell. Daraus wird ersicht-
lich, welcher Service (bzw. welche Schicht) wo anzugliedern ist und welche
Machtigkeit die einzelnen Services besitzen. IaaS bildet als großte Schicht
die Basis dieses Modells. Die Schichten bauen aufeinander auf, konnen aber
auch unabhangig voneinander genutzt werden. Die Abbildung zeigt jedoch
nicht, wie viele Nutzer jeder Schicht zuzuordnen sind. In dem Fall musste
die Anordnung der Schichten umgekehrt erfolgen (SaaS spricht eine großere
Zahl von Nutzern an als PaaS oder IaaS [BMWi 2010, S. 20]).
Abbildung 2: Die drei Services im Schichtenmodell
Infrastructure as a Service (IaaS): Der Anbieter stellt fur diesen Ser-
vice Teile der Infrastruktur und somit auch Ressourcen zur Verfugung.
Unterschieden wird dabei zwischen dem physischen Ressourcen Set,
welches Speicherplatz (Storage), Arbeitsspeicher, CPU, Netze und wei-
tere Komponenten bereitstellt und dem virtuellen Ressourcen Set. Auf-
grund dessen wird deutlich, weshalb diese Ebene im Schichtenmodell
dessen Basis darstellt. Alle weiteren Schichten bauen darauf auf. Ein
9
2 CLOUD COMPUTING
IaaS-Nutzer kann praktisch beliebige Anwendungen und Betriebssyste-
me einsetzen.
Ein Beispiel fur die Umsetzung von IaaS ist die Amazon Elastic Com-
pute Cloud (EC2)2.
Platform as a Service (PaaS): Der Anbieter stellt hier eine Entwick-
lungsumgebung (IDE) und eine Laufzeitumgebung (RTE) zur Verfugung.
Dieser Service ist in erster Linie fur Softwareentwickler und -Tester
geeignet, da Anwendungen auf der vom Cloud-Anbieter angebotenen
Infrastruktur programmiert, kompiliert und ausgefuhrt werden konnen.
Der Cloud-Anbieter gibt vor, welche Programmiersprachen und Schnitt-
stellen verwendet werden konnen.
Beispiele hierfur sind die Microsoft Entwicklungsplattform Azure3 und
die Google App Engine4.
Software as a Service (SaaS): Dieser Service bietet dem Nutzer An-
wendungen, welche er uber eine Webschnittstelle benutzen kann. Diese
Anwendungen werden zentral vom Cloud-Anbieter verwaltet, so dass
der Anwender die Software benutzen kann, ohne sich um die Installation
oder Verwaltung kummern zu mussen. Er hat jedoch keinen direkten
administrativen Zugriff. Die angebotene Software lauft in der Regel
auf den Maschinen des Anbieters und kann per Webbrowser bedient
werden, es ist jedoch auch (je nach Anbieter) moglich, die Software
zeitbeschrankt auf den Maschinen des Kunden laufen zu lassen. Der
Einsatz von Thin-Clients ist ebenfalls moglich.
Bekannte Beispiele sind u.a. Twitter5, GoogleMaps6 und Salesforce7.
2Im Internet verfugbar unter http://aws.amazon.com/de/ec23http://www.microsoft.com/de-de/azure/default.aspx4http://code.google.com/appengine5http://twitter.com6http://maps.google.com7http://www.salesforce.com
Abbildung 3: Virtualisierungskonzepte nach Baun et al. [Baun 2011, S. 13f.]
Speichervirtualisierung: Diese Form der Virtualisierung stellt dem Be-
nutzer Speicher (Storage) in Form von virtuellen Laufwerken bereit.
Dazu werden die physischen Speicher der Server in Pools zusammenge-
fasst, aus denen der verfugbare Speicher effektiv auf die vorhandenen
Nutzer aufgeteilt werden kann. Diese sind somit nicht mehr an die phy-
sischen Grenzen der Speichermedien gebunden.
Netzwerkvirtualisierung: Durch den Einsatz virtueller lokaler Netze (Vir-
tual Local Area Network, VLAN) konnen verteilt aufgestellte Gerate
in einem einzigen logischen Netz zusammengefasst werden. Cloud-Res-
sourcen erscheinen im Netzwerk des Nutzers und konnen dort genutzt
werden. Ein VLAN bildet ein nach außen isoliertes Netzwerk. Mit Hilfe
von VLAN fahigen Switches werden Datenpakete eines VLAN nicht in
ein anderes VLAN weitergeleitet, was fur eine hohere Sicherheit sorgt.
Die Netzwerkvirtualisierung integriert verteilte Standorte in eine vir-
tuelle Infrastruktur.
13
2 CLOUD COMPUTING
Anwendungsvirtualisierung: Anwendungen werden lokal, unter Verwen-
dung lokaler Ressourcen in einer virtuellen Umgebung ausgefuhrt, die
alle Komponenten bereitstellt, die die Anwendung benotigt. Dazu exis-
tieren zwei unterschiedliche Verfahren [Baun 2011, S. 18]: Die Hosted
Application ist eine Anwendung, welche uber das Internet gestreamt
wird, die Virtual Alliance ist eine Anwendung, die heruntergeladen und
auf dem lokalen Rechner ausgefuhrt wird.
Hardwarevirtualisierung: Physikalische Hardware wird zu virtuellen Hard-
warekomponenten abstrahiert und kann in gleicher Weise genutzt wer-
den. So lassen sich beispielsweise verschiedene Betriebssysteme und An-
wendungen ausfuhren. Ein Vorteil dieses Virtualisierungskonzeptes ist
die Tatsache, dass die Hardware ausgewechselt werden kann, solange
die neuen Gerate die gleiche virtuelle Hardware bereitstellen.
Je nach Anwendungsfall und Cloud-Typ wird mindestens eines dieser Kon-
zepte genutzt. Dies liegt an der besseren Ausnutzung der Hardware, der ver-
einfachten Administration und der maximalen Flexibilitat. Durch die Iso-
lation der Virtuellen Maschinen gegenuber dem Host-Betriebssystem und
anderen Virtuellen Maschinen ist eine hohere Sicherheit gewahrleistet. Red-
undante Installationen und Ausfallkonzepte sind allerdings erforderlich, da
durch den Ausfall eines Hosts mehrere Virtuelle Maschinen ausfallen konnen,
was zu einer geringeren Verfugbarkeit der Dienste fuhrt.
2.2 Stand der Technik
Die Techniken, die fur das Cloud Computing (bzw. fur die Erbringung der
entsprechenden Services) benotigt werden, sind allesamt bereits bekannt. Neu
sind hingegen die Schwerpunkte des Cloud Computings, Ressourcen mit Hilfe
von Virtualisierungstechniken dynamisch zu nutzen und Lastanderungen bei
Bedarf anzupassen. Obwohl es noch an einer einheitlichen Definition man-
gelt, versuchen immer mehr Firmen, sich auf dem Markt zu positionieren.
14
2 CLOUD COMPUTING
Die vielfaltigen Moglichkeiten des Cloud Computings bieten Privatanwen-
dern und Unternehmen technische und okonomische Vorteile: Das Speichern
der Daten an einem entfernten Ort erfolgt in der Regel in einem professionel
betriebenen Rechenzentrum. Es ist davon auszugehen, dass sich der Betreiber
des Rechenzentrums seiner Verantwortung8 bewusst ist und z.B. durch re-
gelmaßige Datensicherungen eine hohere Datensicherheit gegeben ist, als am
heimischen PC. Des Weiteren ist es besonders fur kleine und mittlere Unter-
nehmen (KMU) viel kostengunstiger, die benotigte Rechenleistung zeitnah
anzumieten. Die Konzentration auf das Kerngeschaft fallt leichter, die In-
stallationsarbeit, Investitionen in Hard- und Software und die Sicherung der
Daten fallen im Regelfall in den Aufgabenbereich des Cloud-Anbieters.
Den aktuellen Prognosen zufolge wird der Markt fur Cloud Computing weiter
wachsen. Im Jahr 2010 besaßen laut Umfrage des Fujitsu Research Institute
18% der Befragten in Deutschland eine positive Grundeinstellung gegenuber
Cloud Computing (siehe Abbildung 4). 32% sahen das Thema”eher negativ“
Abbildung 4: Grundeinstellung zum Thema Cloud Computing im Jahr 2010[Fujitsu 2010, S. 20]
8Damit ist die Verantwortung gegenuber dem (eigenen) Unternehmen gemeint; dasBekanntwerden von Sicherheitslucken und Datenverlusten kann sehr geschaftsschadigendsein. Die Verantwortung gegenuber dem Kunden und seinen Rechten spielt in diesemZusammenhang nur eine untergeordnete Rolle.
15
2 CLOUD COMPUTING
und die Halfte der Befragten hatte keine eindeutige Meinung dazu. Weltweit
scheint die Einstellung bezuglich Cloud Computing deutlich positiver (35%)
zu sein. In Deutschland sind es die KMUs, die sich beim Cloud Computing
zuruckhalten (siehe Abbildung 5). Dies ist erstmal uberraschend, da beson-
ders die KMUs ohne eigenes Rechenzentrum von den Vorteilen des Cloud
Computings profitieren konnen. Zudem konnen durch die Skalierbarkeit fle-
xible Geschaftsmodelle ohne großen Aufwand umgesetzt werden.
Abbildung 5: Umfrage: Planen Sie die Nutzung von Online-Software und-services im Rahmen Ihrer Geschaftstatigkeit 2011 zu erweitern (n=6.450KMUs)? [Rademacher 2011, S. 23]
Der Bundesverband Informationswirtschaft, Telekommunikation und neue
Medien e.V. (BITKOM) interessierte sich fur die Privatanwender und fuhrte
Telefoninterviews mit Internetnutzern durch. Die Studie ergab, dass 82% der
Befragten den eigenen PC als Speicherort fur Fotos, Videos und Dokumente
nutzen. Onlinedienste wurden insgesamt zu 35% genutzt, wobei Mehrfach-
nennungen moglich waren (Abbildung 6). Die Nutzer, die sich gegen eine der
moglichen Online-Varianten zum Speichern ihrer Daten entschieden haben,
begrundeten dies haufig damit, dass ihnen diese Technologie keinen Nutzen
bringe (35%) und dass sie ihnen zu kompliziert sei (33%). Ein Viertel der
Befragten kannte diese Angebote uberhaupt nicht. Lediglich 20 bzw. 21%
hatten Angst vor mangelndem Datenschutz und einem moglichen Datenver-
lust [BITKOM 2011, S. 5].
16
2 CLOUD COMPUTING
Abbildung 6: Umfrage: Wo speichern Sie Fotos, Videos, Dokumente etc.?[BITKOM 2011]
Dennoch scheint der Trend zum Cloud Computing weiter anzuhalten. Eine
Prognose des Bundesministeriums fur Wirtschaft und Technologie (BMWi)
bildet die Entwicklung des Marktvolumens von Cloud Computing in Deutsch-
land fur die Jahre 2010 bis 2013 ab (Abbildung 7). In den kommenden Jahren
werden demnach alle Cloud-Services ihr Marktvolumen steigern konnen, wo-
bei SaaS mit Abstand das großte Wachstum verzeichnet (2010: 439 Millionen
Euro; 2013: 1753 Millionen Euro). Die Tatsache, dass SaaS derzeit am wei-
testen verbreitet ist (und auch in Zukunft rasant wachsen wird) erklart sich
durch die fast unzahligen Angebote, die sowohl fur Unternehmen als auch fur
Privatanwender interessant sind. Bekannte Beispiele sind Webmail-Dienste
oder Online-Office-Suiten von Google (Google Docs) oder Microsoft (Office
live).
IaaS-Dienste werden der Prognose nach ihr Marktvolumen von 60 Millionen
Euro (2010) auf 282 Millionen Euro (2013) erhohen. Anbieter von Infrastruk-
turdiensten werben mit nahezu unbegrenztem Speicherplatz, auf den von den
verschiedensten Endgeraten aus zugegriffen werden kann. So werden virtuelle
Festplatten mit wenigen Gigabyte Speicherkapazitat oft kostenfrei zu einem
Betriebssystem angeboten (z.B. Apple iCloud, Ubuntu One). Doch auch von
17
2 CLOUD COMPUTING
Betriebssystemen unabhangige Unternehmen (z.B. Dropbox oder Telekom
Cloud) bieten den Service an.
Abbildung 7: Prognostiziertes Marktvolumen fur Cloud Computing Servicesin Deutschland 2010 bis 2013 (in Millionen Euro) [BMWi 2010, S. 20]
Cloud Computing ruckt immer mehr in den Fokus der breiten Masse, wobei
die Skepsis der Benutzer gegenuber dem Speichern der eigenen personlichen
Daten auf einem entferten Ort im Internet gering zu sein scheint. Doch je
ofter auf Cloud-Dienste zuruckgegriffen wird, desto starker ruckt die Frage
nach dem Schutz der dort liegenden Daten in den Mittelpunkt.
18
3 DATENSCHUTZ
3 Datenschutz
Definition Datenschutz:
Aufgabe des Datenschutzes ist es, durch den Schutz perso-
nenbezogener Daten vor Mißbrauch bei ihrer Speicherung,
Ubermittlung, Veranderung und Loschung (Datenverarbei-
tung) der Beeintrachtigung schutzwurdiger Belange der Be-
troffenen entgegenzuwirken. [Kubicek 2007]
Im vorherigen Kapitel wurde festgestellt, dass Cloud Computing momentan
als einer der Trends der IT zu sehen ist. Sowohl bei Unternehmen als auch
bei Privatanwendern ist diese Technologie gefragt – ein Grund, die Frage
des Datenschutzes naher zu betrachten. Diese ist jedoch nur von Bedeutung,
wenn personenbezogene Daten verarbeitet werden. Problematisch ist aller-
dings die Tatsache, dass keine international einheitliche Regelung existiert
und jeweils die Gesetze oder Regelungen des Staates gelten, in dem sich die
Daten physisch befinden. Abbildung 8 verdeutlicht diese Problematik.
Abbildung 8: Datenschutz Weltkarte [Banisar 2011]
19
3 DATENSCHUTZ
Die in dieser Karte blau eingefarbten Lander verfugen uber Datenschutzge-
setze. Hierbei ist aber noch lange nicht sichergestellt, dass diese Lander auch
das gleiche Datenschutzniveau erreichen. Welche Gute die verschiedenen na-
tionalen Gesetze haben, geht aus dieser Darstellung nicht hervor. Bei den
rot eingefarbten Landern gibt es lediglich Bestrebungen, Datenschutzgesetze
einzufuhren. Aber auch hier gilt (analog zu den blau eingefarbten Landern),
dass die Bestrebungen einzelner Lander durchaus unterschiedlich zu werten
sind; sei es beim Fortschritt oder bei der Qualitat dieser Bestrebungen. Nur
die nicht eingefarbten Lander verfugen uber keine entsprechenden Gesetze
und streben auch nicht an, dies zu andern.
3.1 Rechtlicher Rahmen
Die vielen nationalen Unterschiede fuhren dazu, dass man bei einem globa-
len Thema wie Cloud Computing nicht von einem einheitlichen Datenschutz
sprechen kann. Eine Unterteilung in blau, rot und weiß (siehe Abbildung 8)
hilft hier nicht weiter, da selbst die Lander einer dieser Kategorien zu große
Unterschiede bezuglich des Datenschutzniveaus aufweisen. Eine detaillier-
te Auflistung aller Lander mit ihren spezifischen Gesetzen und Regelungen
wurde den Rahmen dieser Arbeit sprengen. In jedem Fall stellt sich die Fra-
ge, welches Recht uberhaupt anwendbar ist, wenn die Rechner uberall auf
der Welt verteilt sind. Oft wird die Antwort auf diese Frage vertraglich fest-
gelegt, wobei nach deutschem Recht unterschiedliche Vertragstypen ublich
sind (siehe Tabelle 1). Werden die Daten nicht in Deutschland verarbeitet,
sondern in der Europaischen Union (EU) oder im Europaischen Wirtschafts-
raum (EWR), kommt es in der Regel nicht zu Problemen. Wenn die Daten
allerdings Europa verlassen und z.B. nach China oder in die USA ausgela-
gert werden, wird es schwieriger, da das Bundesdatenschutzgesetz eine aus-
druckliche Einwilligung desjenigen verlangt, dem die Daten gehoren. Cloud-
Anbieter mit mehreren tausend Kunden haben jedoch selten die Einwilligung
jedes einzelnen Kunden, dass dessen Daten Europa verlassen durfen. Bei der
20
3 DATENSCHUTZ
Leistungsmerkmal Rechtsgebiet
Zugriff auf Hardwareumgebung und Speicherplatz (IaaS) Mietrecht
Zugriff auf Laufzeit- und Entwicklungsumgebung (PaaS) Mietrecht
Nutzung von Software auf einem Server (SaaS) Mietrecht
Bereitstellung einer Bestimmten Bandbreite Dienstvertrag
Pflege, Weiterentwicklung und Aktualisierung der Soft-ware
Dienstvertrag
Bereitstellung von Rechenleistung Dienstvertrag
Installation, Implementierung und Anpassung von Soft-ware
Werkvertrag
Tabelle 1: Vertragsarten im Cloud Computing nach Winkler [Winkler 2011,online]
Gestaltung der Vertrage sind sehr viele Details zu beachten, weshalb es fast
unmoglich ist, eine pauschale Anleitung dafur zu geben. Deshalb beschreibt
dieses Kapitel den rechtlichen Rahmen des Datenschutzes in Deutschland, in
der Europaischen Union und außerhalb der Europaischen Union (Internatio-
nal), bevor dann auf die Anwendbarkeit des Datenschutzrechts eingegangen
wird.
3.1.1 In Deutschland
Das Bundesverfassungsgericht (BVerfG) definierte den Datenschutz in dem
Volkszahlungsurteil vom 15. Dezember 1983 mit dem”Recht auf informatio-
nelle Selbstbestimmung“ als ein Grundrecht:
”Das Personlichkeitsrecht umfaßt [. . . ] auch die aus dem Ge-
danken der Selbstbestimmung folgende Befugnis des Einzelnen,
grundsatzlich selbst zu entscheiden, wann und innerhalb welcher
Grenzen personliche Lebenssachverhalte offenbart werden. [. . . ]
Diese Befugnis bedarf unter den heutigen und kunftigen Bedin-
gungen der automatischen Datenverarbeitung in besonderem Ma-
21
3 DATENSCHUTZ
ße des Schutzes. [. . . ] Mit dem Recht auf informationelle Selbstbe-
stimmung waren eine Gesellschaftsordnung und eine diese ermog-
lichende Rechtsordnung nicht vereinbar, in der Burger nicht mehr
wissen, wer was wann und bei welcher Gelegenheit uber sie weiß.
[. . . ] Das Grundrecht gewahrleistet insoweit die Befugnis des Ein-
zelnen, grundsatzlich selbst uber Preisgabe und Verwendung sei-
ner personlichen Daten zu bestimmen.“
[BVerfGE 65, 1 vom 15.12.1983]
In Deutschland fallen nur Daten, die einen Personenbezug aufweisen, in den
Anwendungsbereich des Bundesdatenschutzgesetzes (BDSG).”Personenbe-
zogene Daten sind Einzelangaben uber personliche oder sachliche Verhaltnisse
einer bestimmten oder bestimmbaren Person“ (§ 3 Abs. 1 BDSG). Fur andere
Daten (wie z.B. Warenverzeichnisse o.a.) gilt das Gesetz nicht. Diese Daten
durfen auf fremden Systemen gespeichert und verarbeitet werden, naturlich
immer unter der Voraussetzung, dass es keine Konflikte mit anderen Geset-
zen (z.B. dem Urheberrechtsgesetz) gibt. Beim Cloud Computing handelt es
sich – sofern es nicht um eine Private Cloud geht – um ein fremdes System.
Werden Daten dorthin ubertragen und/oder dort verarbeitet, ist zu klaren,
ob es sich dabei um eine Erhebung, Verarbeitung oder Nutzung personenbe-
zogener Daten im Auftrag nach § 11 BDSG (bzw. nach § 80 SGB X, wenn
es sich bei den Daten um Sozialdaten nach § 67 SGB X handelt) oder um
eine Funktionsubertragung handelt. Die beiden Rechtsbegriffe schließen sich
gegenseitig aus und haben auch unterschiedliche Rechtsfolgen.
Bei der sog. Auftragsdatenverarbeitung verbleibt die datenschutzrechtliche
Verantwortung uneingeschrankt beim Auftraggeber. Ein schriftlicher Vertrag
zwischen Auftraggeber und Auftragnehmer ist hierbei zwingend erforderlich.
§ 11 Abs. 2 BDSG definiert einen 10-Punkte-Katalog, welcher die Vorausset-
zungen fur eine Auftragsdatenverarbeitung explizit festlegt.
22
3 DATENSCHUTZ
§ 11 Abs. 2 BDSG:
[. . .] Der Auftrag ist schriftlich zu erteilen, wobei insbesondere
im Einzelnen festzulegen sind:
1. der Gegenstand und die Dauer des Auftrags,
2. der Umfang, die Art und der Zweck der vorgesehenen Erhe-
bung, Verarbeitung oder Nutzung von Daten, die Art der
Daten und der Kreis der Betroffenen,
3. die nach § 9 zu treffenden technischen und organisatori-
schen Maßnahmen,
4. die Berichtigung, Loschung und Sperrung von Daten,
5. die nach Absatz 4 bestehenden Pflichten des Auftragneh-
mers, insbesondere die von ihm vorzunehmenden Kontrol-
len,
6. die etwaige Berechtigung zur Begrundung von Unterauf-
tragsverhaltnissen,
7. die Kontrollrechte des Auftraggebers und die entsprechen-
den Duldungs- und Mitwirkungspflichten des Auftragneh-
mers,
8. mitzuteilende Verstoße des Auftragnehmers oder der bei
ihm beschaftigten Personen gegen Vorschriften zum Schutz
personenbezogener Daten oder gegen die im Auftrag getrof-
fenen Festlegungen,
9. der Umfang der Weisungsbefugnisse, die sich der Auftrag-
geber gegenuber dem Auftragnehmer vorbehalt,
10. die Ruckgabe uberlassener Datentrager und die Loschung
beim Auftragnehmer gespeicherter Daten nach Beendigung
des Auftrags.
Der Vertrag sollte dabei insbesondere Regelungen zu den oben genannten
Punkten enthalten. Der Cloud-Anbieter unterliegt als Auftragnehmer den
Weisungen des Cloud-Nutzers und ist somit nicht entscheidungsbefugt, was
23
3 DATENSCHUTZ
die Verarbeitung und Nutzung der Daten betrifft. Außerdem hat sich der
Auftraggeber”vor Beginn der Datenverarbeitung und sodann regelmaßig von
der Einhaltung der beim Auftragnehmer getroffenen technischen und orga-
nisatorischen Maßnahmen zu uberzeugen“ und muss das Ergebnis schriftlich
dokumentieren. Dies darf auch durch unabhangige Stellen realisiert werden.
Stellt ein Rechenzentrum einem Kunden seine DV-Anlage ganz oder teilweise
zur abgeschotteten Datenverarbeitung zur Verfugung, liegt noch keine Auf-
tragsdatenverarbeitung vor. Ubernimmt der Betreiber des Rechenzentrums
aber die Fertigung und Aufbewahrung von Sicherheitkopien, so handelt es
sich um eine Auftragsdatenverarbeitung im Sinne des BDSG [Korffer 2010].
Zur besseren Unterscheidung der beiden Rechtsbegriffe dienen die folgenden
Erkennungsmerkmale [Seiffert 2002, S. 2]:
Auftragsdatenverarbeitung
• fehlende Entscheidungsbefugnis des Auftragnehmers
• weisungsgebundene Unterstutzung
• fehlende (vertragliche) Beziehung des Auftragnehmerszum Betroffenen
• Umgang nur mit Daten, die der Auftraggeber zurVerfugung stellt
Funktionsubertragung
• Uberlassung von Nutzungsrechten an den Daten
• eigenverantwortliche Sicherstellung von Zulassigkeit undRichtigkeit der Daten durch den Dienstleister
• Sicherstellen der Rechte von Betroffenen (Benachrichti-gungspflicht, Auskunftsanspruch)
Um eine Funktionsubertragung handelt es sich, wenn eine Datenubermittlung
an Dritte vorgenommen wird. Als Dritte gelten alle naturlichen oder juristi-
schen Personen außerhalb der verantwortlichen Stelle (§ 3 Abs. 8 BDSG). Die
24
3 DATENSCHUTZ
Entscheidungsbefugnis uber die Daten und somit auch die Verantwortlichkeit
sind ein wichtiges Abgrenzungskriterium zur Auftragsdatenverarbeitung.
Zur rechtlichen Einordnung von Cloud-Computing-Systemen waren Einzel-
fallprufungen notwendig. Es ist aber davon auszugehen, dass Cloud Com-
puting mit seinen Serviceleistungen (flexible und dynamische Bereitstellung
von Hard- und Software) in den meisten Fallen in den Bereich der Auftrags-
datenverarbeitung fallt [Weichert 2010, S. 682].
3.1.1.1 Branchenspezifische Besonderheiten
Zusatzlich zum BDSG sind unter Umstanden weitere branchenspezifische
Anforderungen umzusetzen9. Die gilt insbesondere fur
• Geheimnistrager (§ 203 StGB),
• Sozialdaten (§§ 80ff. SGB X),
• den Finanzdienstleistungssektor (§ 25a KWG),
• den Telekommunikationsbereich (TKG) und
• Anwendungen mit steuerrelevanten Daten (§§ 146f. AO).
Aus juristischer Sicht ist bei komplexen Dienstleistungsangeboten wie dem
Cloud Computing immer Vorsicht geboten, da es haufig an einer gesetzgebe-
rischen Klarstellung mangelt [Duisberg 2011, S. 65].
3.1.2 In der Europaischen Union
In der Geschichte Europas gibt es verschiedene Ansatze, einen Mindeststan-
dard fur den Datenschutz zu etablieren. 1981 gab es erste Vorstoße des Eu-
roparates, die Mitgliedsstaaten zur Unterzeichnung der Europaischen Da-
9Diese Aufzahlung erhebt keinen Anspruch auf Vollstandigkeit. Hier soll deutlich wer-den, dass es neben den bekannten Datenschutzgesetzen viele weitere Gesetze und Rege-lungen gibt, die (je nach Branche) beachtet werden mussen.
25
3 DATENSCHUTZ
tenschutzkonvention (EuDSK) zu bewegen. Die Konvention enthalt die Ver-
pflichtung, die Bestimmungen in nationales Recht umzusetzen (Art. 4 Abs. 1
EuDSK). Das Schnutzniveau dieser Konvention war allerdings relativ nied-
rig, was daran lag, dass sich Art. 12 Abs. 2 EuDSK bezuglich des Schutz-
niveaus dem Mitgliedsstaat mit dem geringsten Schutzniveau anpasste. Das
Problem in Bezug auf den Datenaustausch war damit noch nicht gelost und
das Europaische Parlament forderte 1982 von der Europaischen Kommission
eine verbindliche Datenschutzrichtlinie, welche 1990 in einem ersten Entwurf
vorgelegt wurde. Die Mitgliedsstaaten kritisierten an dem Entwurf, dass er
ein zu hohes Schutzniveau habe, wahrend das Europaische Parlament einen
nicht ausreichenden Datenschutz bemangelte [Riegel 1991, S. 316]. 1992 wur-
de ein zweiter Entwurf vorgelegt, welcher erst am 24. Oktober 1995 vom
Rat der Europaischen Union verabschiedet wurde. Die Europaische Daten-
schutzrichtlinie konnte erstmals Mindeststandards fur den Datenschutz in
der EU etablieren. Den Mitgliedsstaaten wurde eine Frist von drei Jahren
eingeraumt, die Richtlinie in nationales Recht umzusetzen (Art. 32 Abs. 1
Richtlinie 95/46/EG). Nur so kann sichergestellt werden, dass die bis da-
hin unterschiedlichen nationalen Datenschutzgesetze auf hohem Niveau an-
gepasst werden.
Die Richtlinie regelt die Verarbeitung personenbezogener Daten im privaten
und offentlichen Sektor. Sie ist laut Art. 2 fur automatisierte und struktu-
rierte manuelle Sammlungen personenbezogener Daten gultig, was bedeutet,
dass Sammlungen von Karteikarten erfasst werden, unstrukturierte Akten je-
doch nicht. Art. 7 der Richtlinie (”Grundsatze in Bezug auf die Zulassigkeit
der Verarbeitung von Daten“) definiert die Voraussetzungen, von denen min-
destens eine zur Datenverarbeitung erfullt sein muss:
• Einwilligung des Betroffenen zur Verarbeitung (Art.7 Buchst. a),
• Erfullung eines mit dem Betroffenen geschlossenen Vertrages (Art. 7
Buchst. b, c) oder
• die Verarbeitung zur Verwirklichung eines berechtigten Interesses eines
26
3 DATENSCHUTZ
Verantwortlichen – sofern nicht das Interesse des Betroffenen uberwiegt
(Art. 7 Buchst. d, e, f ).
1997 wurde die Richtlinie durch die ISDN-Richtlinie (Richtlinie 97/66/EG
zum Schutz naturlicher Personen bei der Verarbeitung personenbezogener
Daten und zum freien Datenverkehr) erganzt, welche aber aufgrund der ra-
santen Entwicklungen im Telekommunikationsbereich bereits 2002 uberarbei-
tet werden musste. Es folgte die Richtlinie 2002/58/EG uber die Verarbeitung
personenbezogener Daten und den Schutz der Privatsphare in der elektro-
nischen Kommunikation, welche telekommunikationsspezifische Regelungen
zum Datenschutz beinhaltet. Weitere Erganzungen fanden 2006 (Richtlinie
2006/24/EG uber die Vorratsspeicherung von Daten) und 2009 (Richtlinie
2009/136/EG) statt. Die letzte Anderung der EU-Datenschutzrichtlinie trat
am 19. Dezember 2009 in Kraft.
3.1.3 International
Die EU-Datenschutzrichtlinie verbietet grundsatzlich die Erhebung, Verar-
beitung und Speicherung von Daten außerhalb der EU/des EWR. Auf die
Auftragsdatenverarbeitung kann nur zuruckgegriffen werden, wenn sich der
Sitz des Cloud-Anbieters innerhalb der EU oder im EWR befindet und
die Daten auch dort verarbeitet werden (§ 3 Abs. 8 BDSG). Gleiches gilt,
wenn ein Cloud-Anbieter Rechenzentren in der EU nutzt, unabhangig da-
von, wo sich sein Firmensitz befindet. Handelt es sich um einen Server oder
ein Rechenzentrum außerhalb Europas, greift der Datenschutzstandard der
EU nicht. Es ist aber moglich, dass sich nach dem nationalen Recht fur
den Anbieter weitere Pflichten ergeben, beispielsweise die Weitergabe von
Daten an offentliche Stellen. Dies gilt auch fur Falle, in denen ein Un-
ternehmen mit Hauptsitz außerhalb der EU und einem Cloud-Computing-
anbietenden Sitz in Deutschland dem auslandischen Datenschutzrecht unter-
liegt. Die Ubertragung personenbezogener Daten aus der EU / des EWR hin-
aus ist nur unter Vorbehalt gestattet (Artikel 25 und 26 der EU-Datenschutz-
27
3 DATENSCHUTZ
richtlinie). Laut Bundesdatenschutzgesetz bedarf eine Datenubermittlung ei-
ner besonderen Rechtfertigung. So muss der Empfanger der Daten ein”an-
gemessenes Datenschutzniveau“ sicherstellen (§ 4b Abs. 2,3 BDSG). Die
Europaische Kommission hat den Landern Argentinien, Guernsey, Isle of
Man, Kanada und der Schweiz solch ein angemessenes Datenschutzniveau
bestatigt10. Fur diese Lander gelten somit die gleichen Regelungen bezuglich
der Ubermittlung personlicher Daten wie fur Mitgliedstaaten der EU. Ein
Dienstleister in einem unsicheren Drittland ist datenschutzrechtlich als Drit-
ter anzusehen (§ 3 Abs. 8 Satz 3 BDSG). Eine Datenubermittlung an Dritte
ist zulassig, wenn eine entsprechende Einwilligung vorliegt. Es ist allerdings
davon auszugehen, dass normalerweise keine Einwilligung des Betroffenen
eingeholt wird. In diesem Fall musste fur eine Datenubermittlung ein in § 4c
Abs. 1 BDSG aufgefuhrter Tatbestand vorliegen.
3.1.3.1 Safe Harbor Abkommen
Die USA verfugen uber keine mit dem deutschen oder dem europaischen Da-
tenschutz vergleichbaren Gesetze oder Regelungen und finden sich folglich
auch nicht auf der Liste der Lander mit einem angemessenem Datenschutz-
niveau. Sie sind einer der wichtigsten Handelspartner und eine Ubertragung
personenbezogener Daten dorthin ist oft nicht nur unvermeidbar, sie soll
zugunsten der wirtschaftlichen Zusammenarbeit auch weiter gefordert wer-
den. Aus diesem Grund wurde das Safe Harbor Abkommen geschlossen, wel-
ches einen ausreichenden Schutz gewahrleisten soll. US-Unternehmen konnen
dem Abkommen beitreten, wenn sie sich selbst verpflichten, die von der un-
abhangigen Bundesbehorde Federal Trade Commission (FTC) vorgegebenen
sieben Safe Harbor Prinzipien einzuhalten:
1. Notice (Benachrichtigung)
Unternehmen mussen die Betroffenen uber die Art der Datenerhebung
10Eine aktuelle Liste von Landern mit angemessenem Datenschutzniveau findetsich auf der Seite der Europaischen Kommission: http://ec.europa.eu/justice/
le IT-Dienstleister sind. Diese garantieren vertraglich festgelegte Leistungen
und konnen bei auftretenden Schaden in Haftung genommen werden konnen.
4.2.1.3 Angriff auf die clientseitigen Anwendungen
Clientseitige Anwendungen, mit denen Cloud-Anwendungen genutzt und ge-
steuert werden, stellen ein weiteres Einfallstor fur Angreifer dar. Hierbei wird
der Computer (bzw. die Anwendung auf dem Computer) eines Benutzers
im Unternehmen kompromittiert. Anschließend konnen seine Passworter ab-
gehort und missbraucht werden oder der Computer wird direkt ferngesteuert
und im weiteren Angriff verwendet. Solch ein Angriff kann z.B. mit Troja-
nern durchgefuhrt werden. In Anlehnung an das Phishing spricht man in
diesem Bereich von Spear-Phishing und Whaling. Diese Variante ist nicht
cloud-spezifisch, wird jedoch moglicherweise im Rahmen des Cloud Compu-
tings zukunftig an Bedeutung gewinnen, da die Schutzvorrichtungen bei den
professionel agierenden Cloud-Anbietern wesentlich besser sein werden, als
bei privat verwalteten Endgeraten.
Der beste Schutz gegen diese Art des Angriffs ist die Schulung der Mitarbei-
ter gegen Social Engineering und Phishing sowie die eigentlich schon selbst-
verstandliche regelmaßige Aktualisierung der Software auf den clientseitigen
44
4 DATENSICHERHEIT
Endgeraten.
Spear-Phishing:Phishing bei einer bestimmten Zielgruppe, etwa Mitarbeiter ei-nes Unternehmens.Whaling:Phishing bei einer besonders lohnenswerten Person mit weitrei-chenden Rechten, wie hohe Fuhrungskrafte oder Administrato-ren.
4.2.1.4 Der Kunde als Angreifer
Ein externer Angreifer kann versuchen, den Angriff auf eine Cloud-Anwendung
dadurch zu erleichtern, indem er selbst Kunde bei dem entsprechenden Cloud-
Anbieter wird. Die hier beschreibenen Sicherheitslucken sind teilweise schon
lange geschlossen, sie sollen aber einen Eindruck vermitteln, welche Moglich-
keiten bestanden und unter Umstanden noch bestehen.
4.2.1.4.1 Ubernahme von Sessions Der betrugerische Kunde meldet
sich mit seinen eigenen legitimen Zugangsdaten an und versucht anschlie-
ßend durch die Manipulation seines Datenverkehrs mit dem Server zusatzliche
Rechte zu bekommen oder die Session von einem anderen Kunden direkt zu
stehlen.
Die Sicherheitsmaßnahmen des Anbieters sollten dieses Szenario eigentlich
verhindern, in der Vergangenheit wurden aber (z.B. bei Webmail-Anbietern)
immer wieder Lucken bekannt. Haufig werden dabei grundsatzlich geeignete
Protokolle durch Implementierungsfehler unsicher, gelegentlich sind auch die
Protokolle von Anfang an fehlerbehaftet (vgl. [Cheswick 2004, S. 141]).
4.2.1.4.2 Abhormoglichkeiten im Netz des Cloud-Anbieters Als
Kunde befindet sich der Angreifer bereits im lokalen Netz des Cloud-Anbieters.
Vorhandene Schutzmaßnahmen gegen Angriffe aus dem Internet (wie z.B.
Firewalls) braucht er deswegen nicht mehr zu uberwinden. In dieser Situati-
on ist es fur den Angreifer theoretisch einfacher, vertrauliche Informationen
45
4 DATENSICHERHEIT
uber das Angriffsziel sowie die Infrastruktur des Cloud-Anbieters zu sam-
meln, um diese entweder fur einen externen Angriff zu nutzen oder uber
Sicherheitslucken beim Anbieter die Infrastruktur zu seinen Gunsten zu ma-
nipulieren.
Eigentlich durfte das keine Gefahr darstellen. Der Cloud-Anbieter sollte in-
nerhalb seines Netzes die Gerate logisch voneinander trennen und Subnetze
separieren. Fehlkonfigurationen und Lucken sind allerdings nicht ausgeschlos-
sen. Weiterhin versuchen die Cloud-Betreiber die kritischen Details der in-
ternen Konfiguration geheim zu halten, damit ein Angreifer nicht gezielt
dagegen vorgehen kann.
4.2.1.4.3 Ausbruch aus der virtuellen Maschine Der Angreifer kann
versuchen, aus der (selbst angemieteten) virtuellen Maschine auszubrechen
und dann das Wirt-System anzugreifen. Wenn ihm das gelingt, kann er alle
weiteren virtuellen Maschinen dieses Wirtes weitreichend manipulieren oder
auch (samt den mit ihnen vorgehaltenen Daten) duplizieren [AKTM 2011,
S. 16]. Der Angreifer kann allerdings in der Regel nicht planen, welche Ma-
schinen von welchen anderen Kunden dabei betroffen sind, da die Verteilung
dieser virtuellen Maschinen auf die physischen Systeme zufallig erfolgt. Wenn
der Angreifer es nicht nur auf einen Zufallsfund abgesehen hat, muss er ausge-
hend von dem befallenen Wirt-System entweder versuchen, weitere Systeme
zu kompromittieren oder dermaßen in die inneren Ablaufe des Cloud-Servers
eingreifen, dass dem befallenen Wirt-System noch weitere virtuelle Maschi-
nen zugewiesen werden, die fur ihn moglicherweise interessanter sind.
Dieses Szenario wird zukunftig bedingt durch die wachsende Verbreitung
von Virtualisierungstechniken vermutlich noch an Wichtigkeit gewinnen. Der
Ausbruch aus virtuellen Maschinen, die Manipulation des Wirtes aus einer
virtuellen Maschine heraus und Schutzmaßnahmen gegen diese Form des An-
griffs gehoren momentan zu den aktuellen Forschungsansatzen in diesem Be-
reich [Kranawetter 2011].
46
4 DATENSICHERHEIT
4.2.2 Interne Angriffe
Mitarbeiter eines Cloud-Dienstleisters haben eine hohe Verantwortung und
auch zahlreiche Moglichkeiten zu einem sehr weitreichenden Vertrauensbruch.
Welche Moglichkeit der jeweilige Mitarbeiter tatsachlich hat wird je nach Be-
fugnis und organisatorischen Vorkehrungen sehr unterschiedlich sein.
Ein moglicher Angriff eines Cloud-Anbieter-Insiders ist das Abhoren inner-
halb des Netzes. Das funktioniert genau wie bei dem betrugerischen Kunden
(Kapitel 4.2.1.4.2), allerdings kann der betrugerische Administrator das ef-
fektiver und an gunstigeren Stellen im Netz des Anbieters durchfuhren.
Eine weitere Moglichkeit ist die Manipulation der (unverschlusselten) Daten
direkt auf den Servern.
Als eine dritte Moglichkeit kann die Verwendung von Kenntnissen um den
internen Aufbau des Cloud-Anbieters und eventuelle Schwachstellen gelten.
Der eigentliche Angriff wird dabei von außen durchgefuhrt. Dies geschieht
durch den Administrator selbst oder wird zumindest von ihm unterstutzt.
Dieser Weg hat fur den Administrator den großen Vorteil, dass er trotz Log-
gings nicht auf ihn personlich zuruckgefuhrt werden kann.
Die Dienstleister werden organisatorische Vorkehrungen getroffen haben, um
die Gefahr durch einen Insider gering zu halten. Ublicherweise folgen diese
Vorkehrungen den Prinzipien einer dezidierten Rechte- und Benutzerverwal-
tung. Auch ein umfassendes Logging von Zugriffen des Benutzers und ein
gezieltes Auswerten dieser Daten erhoht den Schutz, weil dadurch einerseits
Probleme aufgedeckt werden konnen und andererseits das Geschaft fur den
Insider riskanter wird und er moglicherweise von vornherein Abstand davon
nimmt.
4.2.3 Generelle Schutzmaßnahmen
Bei der Absicherung eines Cloud-Computing-Systems stehen die Werkzeuge
zur Verfugung, die auch zur Absicherung von lokalen Systemen eingesetzt
47
4 DATENSICHERHEIT
werden. Dazu gehoren
• Firewalls,
• Virenscanner,
• Identity-Management- und Authorisationssysteme,
• Verschlusselung von Datenspeicher und Datentransport und
• Logging-Systeme.
Genau wie bei lokalen Anwendungen besteht die Herausforderung darin, die-
se Werkzeuge so einzusetzen, dass sie ein angemessenes Schutzniveau bieten
ohne die Produktivitat der betroffenen Anwender unnotig zu beschranken.
Ein Vorteil von Cloud Computing kann in diesem Zusammenhang sein, dass
ein Teil der Schutzmaßnahmen (etwa das regelmaßige Einspielen von Sicher-
heitspatches und die Konfiguration der Firewalls) in professionellen Handen
liegt. Eine Losung (insbesondere fur großere Unternehmen) bieten Private
Clouds, welche im Vergleich zur herkommlichem, lokalen betriebenen Daten-
verarbeitung keine sicherheitsrelevanten Nachteile haben.
48
5 PROBLEME BEI DER NUTZUNG VON CLOUD SERVICES
5 Probleme bei der Nutzung von Cloud Ser-
vices
Es gibt viele Probleme bei der Nutzung von Cloud Computing, sowohl bei
SaaS (wie z.B. Kalender oder Textverarbeitung), PaaS als auch IaaS (hier
insbesondere Online-Storage). Problematisch wird es immer, sobald perso-
nenbezogene Daten den eigenen Rechner verlassen (Datenschutz) oder die
Daten nicht ausreichend gesichert sind (Datensicherheit). Anhand von Bei-
spielen wird in diesem Kapitel erlautert, welche Probleme auf den Benutzer
zukommen, wenn er Cloud-Services nutzen mochte. Vielen Benutzern scheint
oft nicht klar zu sein, dass sie sich bereits mit ihrem Webmail-Konto o.a. in
einer Cloud aufhalten. In diesem Kapitel wird davon ausgegangen, dass sich
der Benutzer bewusst fur das Cloud Computing entschieden hat.
Das erste Beispiel (im Folgenden Szenario 1 ) zeigt, zu welchen Problemen
es bei der Nutzung von Dropbox kommen kann. Dieses Szenario wurde nicht
etwa ausgedacht, sondern stellt eine Begebenheit aus dem realen Leben dar.
Konkret wird die Frage behandelt, welche Probleme entstehen konnen, wenn
Lehrer mit Hilfe von Dropbox Namens- und/oder Adresslisten von Schulern
speichern und bearbeiten. Das zweite Beispiel (Szenario 2 ) beschreibt, welche
Probleme entstehen konnen, wenn Cloud Computing in der freien Wirtschaft
eingesetzt und genutzt wird.
In Kapitel 5.1 wird Szenario 1 detailliert beschriebenen, bevor auf die Pro-
bleme (insbesondere in Bezug auf Datenschutz und Datensicherheit) einge-
gangen wird. Kapitel 5.2 widmet sich in gleichem Maße Szenario 2.
5.1 Szenario 1: Dropbox
5.1.1 Beschreibung
Dropbox ist ein Cloud-Dienst der Firma Dropbox Inc., welcher Ressour-
cen und Anwendungen zur externen Speicherung und Synchronisation von
49
5 PROBLEME BEI DER NUTZUNG VON CLOUD SERVICES
Daten in Form von SaaS bereitstellt. Durch die Dropbox-Software auf dem
Client-Rechner oder uber eine Webschnittstelle erhalt der Benutzer Zugriff
auf seinen (zuvor gemieteten) Online-Speicher12. Hierbei handelt es sich um
Amazons File-Hosting Service S313, ein IaaS-Angebot, welches von Dropbox
genutzt wird. Diese Kombination von SaaS und IaaS zeichnet Dropbox aus
– dennoch wird im Zusammenhang mit Dropbox in der Literatur nur von
IaaS gesprochen [Fiore 2011, S. 109]. Die Starke von Dropbox liegt in der
einfachen Handhabung und der transparenten Preisgestaltung. Die Dropbox-
Software lasst sich auf fast allen gangigen Systemen (Windows, Mac, Linux
sowie iPad, iPhone, Android und Blackberry) installieren. Ein Zugang zu den
Daten mittels Webinterface ist ohne die Installation der Software moglich.
In diesem Beispiel benutzen unterschiedliche Lehrer eine Dropbox, um die
Daten ihrer Schuler zu synchronisieren, zu teilen und zu verwalten. Dabei
handelt es sich um Textdateien, welche in der gemeinsam genutzen Cloud
liegen. Sie konnen von jedem berechtigten Lehrer gelesen und geschrieben
werden. Um Daten in die Dropbox zu laden bzw. vorhandene Daten zu
verandern, ist die Installation der proprietaren Dropbox-Software Voraus-
setzung. Die lokalen Kopien auf den Arbeitsrechnern aller beteiligter Lehrer
werden automatisch miteinander abgeglichen; die Dateien werden (Dropbox-
intern) versioniert. So sind Anderungen transparent und konnen gegebenen-
falls ruckgangig gemacht werden. Der Vorteil fur die Lehrer ist offensicht-
lich: Durch kooperatives Arbeiten werden Redundanzen vermieden. Infor-
mationen zu einem Schuler mussen nur ein einziges Mal eingetragen wer-
den. Des Weiteren ist keine permanente Internetanbindung notwendig. Sind
die Daten erst einmal synchronisiert, konnen sie offline bearbeitet werden.
Selbstverstandlich muss im Anschluss wieder eine Verbindung hergestellt wer-
den, um die Anderungen an den Server zu ubertragen. Die Daten werden
uber eine sichere SSL-Verbindung zum Server ubertragen und dort mittels
12In diversen Quellen werden diese Dienste Storage As A Service genannt. Da dieserBegriff nicht naher definiert ist, sondern lediglich eine Teilmenge von IaaS darstellt, wirder in dieser Arbeit nicht weiter verwendet.
13Im Internet verfugbar unter http://aws.amazon.com/de/s3
ung Eigenverantwortliche Sicherstellung von Zulassigkeit
und Richtigkeit der Daten durch den Dienstleis-ter, einschließlich des Sicherstellens der Rechte vonBetroffenen (Benachrichtigungspflicht, Auskunftsan-spruch).
%
Weisungsfreiheit des Dienstleisters bezuglich dessen,was mit den Daten geschieht.
%
Handeln des Dienstleisters (gegenuber dem Betroffe-nen) im eigenen Namen.
Tabelle 3: Dropbox: Auftragsdatenverarbeitung oder Funktionsubertragung?
Die Einwilligung der Betroffenen ist bei der Verarbeitung personenbezo-
gener Daten besonders wichtig (siehe § 4 BDSG). In den Landesschulgesetzen
(in diesem Fall: im Bremischen Schuldatenschutzgesetz, BremSchulDSG) ist
der Umgang mit personenbezogenen Daten geregelt. Grundsatzlich durfen
55
5 PROBLEME BEI DER NUTZUNG VON CLOUD SERVICES
Schulbedienstete”personenbezogene Daten weder auf privateigenen Daten-
verarbeitungsgeraten speichern, noch diese Daten auf Datenverarbeitungs-
geraten außerhalb der Schule verarbeiten oder durch unbefugte Dritte ver-
arbeiten lassen“ (§ 3 Satz 2 BremSchulDSG), solange sie sich nicht schrift-
lich zur Beachtung der Vorschriften verpflichten. In dem obigen Szenario
liegen entsprechende Einwilligungen (sowohl von den Schulern als auch von
den Erziehungsberechtigten) und notwendige Einverstandniserklarungen vor.
Diese allein sind jedoch fur eine rechtlich korrekte Datenverarbeitung nicht
ausreichend, da alle in diesem Kapitel aufgefuhrten Kriterien erfullt werden
mussen.
Eine gewisse Sicherheit konnen Unternehmen wie Dropbox durch den Besitz
bestimmter Zertifikate suggerieren. Auch wenn die Aussagekraft mancher
Zertifizierungen nur gering ist, so kann Dropbox bisher lediglich das Safe Har-
bor Zertifikat vorweisen [Dropbox 2011c]. Dieser Umstand ist uberraschend
– man sollte meinen, dass ein Unternehmen mit mehreren Millionen Kunden
auf der ganzen Welt16 wenigstens die bewahrtesten Zertifikate besitzt.
Fazit: Die Frage nach der Rechtskonformitat lasst sich anhand der eingangs
erwahnten Kriterien relativ leicht beantworten. Besonders die Tatsache, dass
sich der Ort der Datenverarbeitung außerhalb Europas befindet und der Nut-
zer keine Moglichkeiten hat, die technischen und organisatorischen Maßnah-
men zu uberprufen und zu dokumentieren, macht deutlich, dass einer Nut-
zung aus datenschutzrechtlicher Sicht abzuraten ist. Auch sind die Einwilli-
gungen der Betroffenen nur gultig, so lange die gesamte Datenverarbeitung
rechtlich einwandfrei geregelt ist. Die Ergebnisse finden sich zusammengefasst
in Tabelle 4.
Eine dem deutschen Datenschutz konforme Nutzung von Dropbox ist – so-
fern man personenbezogene Daten nutzt – ohne zusatzliche Maßnahmen
nicht moglich. Nur falls die Speicherung und Verarbeitung der Daten fur
16Die genaue Anzahl der Dropbox Kunden schwankt je nach Quelle und Zeit zwischen 25Millionen im Jahr 2010 [Cloudsider 2010] und 50 Millionen Nutzern 2012 [Janssen 2012],Tendenz steigend.
56
5 PROBLEME BEI DER NUTZUNG VON CLOUD SERVICES
Hauptleistungspflicht: Mietrecht
Ort der Datenverarbeitung: außerhalb der EU / des EWR
Abgrenzung von Auftragsda-tenverarbeitung und Funkti-onsubertragung:
Auftragsdatenverarbeitung
Einwilligungen vorhanden
Zertifikate: Safe Harbor (ausschließlich)
Tabelle 4: Untersuchungergebnis des 1. Fallbeispiels: Datenschutz
Tabelle 7: Untersuchungergebnis des 2. Fallbeispiels: Datensicherheit
5.2.2.3 Vendor-Lock-In
Vendor-Lock-In bezeichnet eine”enge Bindung von Benutzern an bestimmte
kommerzielle Cloud-Anbieter“ [Baun 2011, S. 37]. Neu ist dieses Phanomen
jedoch nicht; bereits 1870 nutzte John D. Rockefeller diese Herstellerab-
hangigkeit aus und konnte so durch das Verschenken von Ollampen einen
dauerhaften Absatz seines Ols sicherstellen [SDI 2009].
Im Cloud Computing sind es besonders die Abhangigkeiten von Schnittstel-
len und Formaten, wobei die Gefahr der Abhangigkeit bei IaaS nahezu kein
Problem darstellt, wahrend es bei SaaS und PaaS zu großeren Problemen
(z.B. bei der Migration zu anderen Anbietern) kommen kann [Baun 2011, S.
87]. Das liegt insbesondere daran, dass Cloud-Storage-Dienste (als Beispiel
fur IaaS) auf der untersten Ebene des Schichtenmodells ausgefuhrt werden,
wahrend PaaS und SaaS komplexere Aufgaben wahrnehmen und auch andere
(oft proprietare) Schnittstellen benutzen.
Die Problematik des Vendor-Lock-Ins sollte nicht unterschatzt werden, da
es viele Grunde fur einen Anbieterwechsel geben kann. So kann der Anbie-
ter Konkurs anmelden, er kann umziehen (und Europa verlassen), er kann
von einem anderen Unternehmen (mit Sitz in einem unsicheren Drittland)
64
5 PROBLEME BEI DER NUTZUNG VON CLOUD SERVICES
aufgekauft werden oder die Kosten bei diesem Anbieter sind dem Kunden
einfach zu hoch. Solange es noch keine einheitlichen Standards auf dem
Gebiet des Cloud Computings gibt, wird der Anwender mit dem Problem
des Lock-Ins konfrontiert. In ihrem Paper bezeichnen Armbrust et al. das
Vendor-Lock-In (auch: Data-Lock-In) als eine der großen Cloud-Computing-
Herausforderungen fur die Zukunft [Armbrust 2009, S. 15]. Der wissenschaft-
liche Dienst des Deutschen Bundestages fordert die Sicherstellung der”In-
teroperabilitat zwischen den Cloud-Services“ [Singer 2010, S. 2], um eine
dauerhafte Bindung an den Cloud-Anbieter zu vermeiden.
65
5 PROBLEME BEI DER NUTZUNG VON CLOUD SERVICES
66
6 EMPFEHLUNGEN FUR EINE SICHERE NUTZUNG
6 Empfehlungen fur eine sichere Nutzung
Nachdem in Kapitel 5 die Probleme der Cloud Computing Nutzung anhand
zweier Beispiele beschrieben wurden, geht es in diesem Kapitel um eine siche-
re und rechtskonforme Nutzung. In Kapitel 6.1 wird an das bereits beschrie-
bene Dropbox-Szenario angeknupft. Anschließend wird die Nutzung einer
rein innereuropaischen Cloud (Kapitel 6.2) und einer Private Cloud (Kapi-
tel 6.3) betrachtet.
6.1 Dropbox
Damit Dropbox weiter genutzt werden kann, empfiehlt sich der Einsatz von
Verschlusselungstechniken. Die Ubertragung personenbezogener Daten in ein
unsicheres Drittland ist gestattet, sofern die Daten sicher verschlusselt oder
pseudonymisiert sind. Eine Pseudonymisierung der Daten kommt in diesem
Beispiel nicht in Frage, da es den Arbeitsaufwand der Beteiligten erhoht und
somit der Idee des Cloud Computing entgegensteht. Eine Verschlusselung ist
die Voraussetzung fur die sichere und rechtskonforme Nutzung von Cloud-
Storage. Des Weiteren schutzt eine Verschlusselung die Daten vor unbe-
fugter Einsichtnahme und stellt somit das Schutzziel Vertraulichkeit sicher.
Der Nutzer sollte sich jedoch nicht auf die von Dropbox durchgefuhrte Ver-
schlusselung verlassen. Die Tatsache, dass Dropbox die Schlussel verwaltet,
lasst durchaus Zweifel an der Sicherheit aufkommen. Schlagzeilen wie”Drop-
box akzeptierte vier Stunden lang beliebige Passworter“ [Bachfeld 2011] zei-
gen auf, was bei zentralisierter Schlusselverwaltung passieren kann und warum
die Kontrolle uber den eigenen Schlussel so wichtig ist. In diesem Kapitel
werden mit TrueCrypt und EncFS zwei Empfehlungen zur sicheren Ver-
schlusselung gegeben.
Sehr verbreitet ist das quelloffene Programm TrueCrypt. Es ist kostenlos
und durchaus leistungsfahig genug, die Daten wirkungsvoll zu schutzen. Fur
die Verschlusselung stehen die Algorithmen AES, Twofish und Serpent zur
67
6 EMPFEHLUNGEN FUR EINE SICHERE NUTZUNG
Verfugung. TrueCrypt verschlusselt allerdings keine einzelnen Dateien, son-
dern erstellt ein Volume mit eigenem Dateisystem (vergleichbar mit einer
Festplattenpartition), welches in einer Containerdatei abgelegt ist. Die Große
des Containers muss bei der Erstellung angegeben werden; sie lasst sich im
Nachhinein nicht mehr verandern. Mit Hilfe der TrueCrypt-Software und des
entsprechenden Schlussels kann der Container als logisches Laufwerk in das
System eingebunden werden. Zu diesem Zeitpunkt kann der Nutzer den In-
halt der Containerdatei lesen und schreiben. Ohne TrueCrypt und passendem
Schlussel lasst sich nicht erkennen, ob und wie viele Dateien sich im Contai-
ner befinden. Die Kombination von TrueCrypt und Dropbox ist moglich, hat
aber den Nachteil, dass der gesamte Container (unabhangig von seinem In-
halt) in die Dropbox geladen werden muss. Diese Problematik tritt auch auf,
wenn in einem bestehenden Container etwas geandert wird. Je nach Große des
Containers und Bandbreite kann eine Synchronisierung viel Zeit in Anspruch
nehmen. Aus diesem Grund – und um der Dropbox-Idee treu zu bleiben –
empfiehlt es sich, TrueCrypt so zu konfigurieren, dass der Zeitstempel des
Containers bei Anderungen unverandert bleibt. So werden wie gewohnt nur
die Anderungen in die Cloud ubertragen [Dropbox 2011b].
Wenn mehrere Personen auf die Dropbox zugreifen, ist nicht ausgeschlos-
sen, dass es zu gleichzeitigen Zugriffen auf die Containerdatei kommt, was
zu Inkonsistenzen fuhren kann (siehe Abbildung 13): Nachdem sich Nutzer
A angemeldet hat, synchronisiert sich die Dropbox, und die aktuelle Version
des Containers wird auf den Rechner A geladen. Der Nutzer bindet den Con-
tainer mit Hilfe der TrueCrypt-Software und dem entsprechenden Schlussel
in sein System ein und kann nun dessen Inhalt lesen und schreiben. In diesem
Beispiel legt er eine neue Datei in dem Container an. Solange der Container
nicht ausgehangt wird, synchronisiert Dropbox nicht. Inzwischen hat Nutzer
B eine Verbindung zur Dropbox hergestellt und fugt ebenfalls eine Datei in
den Container ein. Im Anschluss hangt er den Container aus und Dropbox
synchronisiert wie gewohnt. Auf Rechner A taucht im Dropbox-Verzeichnis
eine Kopie der Containerdatei auf, deren Name auf einen Konflikt auf Rech-
68
6 EMPFEHLUNGEN FUR EINE SICHERE NUTZUNG
Abbildung 13: Inkonsistenzen bei der Nutzung von TrueCrypt-Containern inder Dropbox
ner A verweist. TrueCrypt zeigt nach wie vor den originalen Container als
Ziel an, beim Aushangen werden die Anderungen allerdings in die Kopie
des Containers geschrieben und synchronisiert. In der Dropbox liegen nun
zwei Containerdateien mit unterschiedlichen Inhalten. Um derartige Inkon-
sistenzen zu vermeiden, darf ein TrueCrypt-Container jeweils nur auf einem
Rechner geoffnet werden.
Mit EncFS gibt es eine weitere Moglichkeit, Dateien zu verschlusseln. Die
zu schutzenden Dateien werden in versteckten und verschlusselten Ordnern
abgelegt. Die Ordner sind passwortgeschutzt und mussen – ahnlich wie ein
69
6 EMPFEHLUNGEN FUR EINE SICHERE NUTZUNG
TrueCrypt-Container – vor der Benutzung eingebunden werden. EncFS ar-
beitet allerdings dateiorientiert, was bedeutet, dass die Dateien einzeln on-
the-fly ver- und entschlusselt werden konnen. Dies ist in Kombination mit
der Dropbox vorteilhaft, da nur die veranderten Dateien synchronisiert und
Inkonsistenzen vermieden werden.
Wie der Nutzer seine Daten verschlusselt, bleibt ihm selbst uberlassen. Mit
TrueCrypt und EncFS erhalt er die Moglichkeit, seine Daten lokal nach seinen
Vorstellungen zu schutzen. TrueCrypt verschlusselt die Daten vollstandig und
nutzt dabei das Konzept der glaubhaften Abstreitbarkeit. So ist nicht nach-
weisbar, dass uberhaupt eine Verschlusselung eingesetzt wurde [Bender 2010,
S. 328]. EncFS verschlusselt die Daten und die Dateinamen, die Dateien be-
finden sich jedoch offen im Dateisystem. Mit den entsprechenden Rechten
konnen die Verzeichnisstruktur, die Anzahl der Dateien, die Dateigroßen und
die Metadaten eingesehen werden. Weitere lokale Verschlusselungsmethoden
haben Borgmann et al. in Form einer Grafik dargestellt:
Abbildung 14: Lokale Verschlusselungstechniken [Borgmann 2012, S. 119]
70
6 EMPFEHLUNGEN FUR EINE SICHERE NUTZUNG
6.2 Innereuropaische Auftragsdatenverarbeitung
Aufgrund der vielen verschiedenen Datenschutzstandards und -regelungen
(siehe Kapitel 3) empfiehlt sich als sichere Alternative die Nutzung innereu-
ropaischer Clouds. Im Prinzip muss der Anwender dabei nur die folgenden
zwei Punkte beachten:
1. Sorgfaltige Auswahl des Cloud-Anbieters.
Nur Anbieter, die ihren Firmensitz in Europa haben und die Daten in
europaischen Rechenzentren verarbeiten, unterliegen den Datenschutz-
bestimmungen des europaischen Datenschutzrechts. Vorhandene Zerti-
fikate (wie z.B. ISO 27001) erleichtern die Auswahl.
2. Voraussetzungen fur eine Auftragsdatenverarbeitung prufen.
Ein Sicherheitsvorteil ist die Anwendung der Auftragsdatenverarbei-
tung nach § 11 BDSG. Der Anwender sollte darauf achten, dass er dem
Cloud-Anbieter eine Genehmigung zur Speicherung personenbezogener
Daten erteilt, dieser die Daten jedoch nicht weiter verarbeitet. Mit dem
Auftrag besitzt der Anbieter nicht das Recht zur Weitergabe an Drit-
te. Der Anwender muss den Vertragspartner (also den Cloud-Anbieter)
daher sorgfaltig auswahlen und die technischen und organisatorischen
Maßnahmen nach § 9 BDSG prufen. Die Erfullung der acht Gebote des
Datenschutzes (Anlage zu § 9 BDSG, siehe Kasten auf Seite 72) ist
dabei von Vorteil.
Einer rechtlich einwandfreien Auftragsdatenverarbeitung steht demnach nichts
mehr im Wege. Ein hoheres Datenschutzniveau ist nur noch mit einer Priva-
te Cloud zu gewahrleisten. Die professionelle Betreuung der Rechenzentren
durch die Anbieter kann zwar eine hohe Datensicherheit gewahrleisten, eine
Public Cloud bietet allerdings auch eine großere Angriffsflache, als der eigene
Rechner bzw. das eigene Rechenzentrum.
71
6 EMPFEHLUNGEN FUR EINE SICHERE NUTZUNG
8 Gebote des Datenschutzes (Anlage zu § 9 Satz 1 BDSG)1. Zutrittskontrolle:
Unbefugten ist der Zutritt zu Datenverarbeitungsanlagen,mit denen personenbezogene Daten verarbeitet oder ge-nutzt werden, zu verwehren.
2. Zugangskontrolle:Es ist zu verhindern, dass Datenverarbeitungssysteme vonUnbefugten genutzt werden konnen.
3. Zugriffskontrolle:Es ist zu gewahrleisten, dass die zur Benutzung einesDatenverarbeitungssystems Berechtigten ausschließlich aufdie ihrer Zugriffsberechtigung unterliegenden Daten zugrei-fen konnen, und dass personenbezogene Daten bei der Ver-arbeitung, Nutzung und nach der Speicherung nicht un-befugt gelesen, kopiert, verandert oder entfernt werdenkonnen.
4. Weitergabekontrolle:Es ist zu gewahrleisten, dass personenbezogene Daten beider elektronischen Ubertragung oder wahrend ihres Trans-ports oder ihrer Speicherung auf Datentrager nicht un-befugt gelesen, kopiert, verandert oder entfernt werdenkonnen, und dass uberpruft und festgestellt werden kann,an welche Stellen eine Ubermittlung personenbezogenerDaten durch Einrichtungen zur Datenubertragung vorge-sehen ist.
5. Eingabekontrolle:Es ist zu gewahrleisten, dass nachtraglich uberpruft undfestgestellt werden kann, ob und von wem personenbe-zogene Daten in Datenverarbeitungssysteme eingegeben,verandert oder entfernt worden sind.
6. Auftragskontrolle:Es ist zu gewahrleisten, dass personenbezogene Daten, dieim Auftrag verarbeitet werden, nur entsprechend den Wei-sungen des Auftraggebers verarbeitet werden konnen.
7. Verfugbarkeitskontrolle:Es ist zu gewahrleisten, dass personenbezogene Daten ge-gen zufallige Zerstorung oder Verlust geschutzt sind.
8. Trennungskontrolle:Es ist zu gewahrleisten, dass zu unterschiedlichen Zweckenerhobene Daten getrennt verarbeitet werden konnen.
72
6 EMPFEHLUNGEN FUR EINE SICHERE NUTZUNG
6.3 Private Cloud
Die rechtlichen Probleme im Cloud Computing fuhren dazu, dass besonders
Unternehmen ihre schutzbedurftigen Daten in einer Private Cloud speichern.
In Hinblick auf eine datenschutzkonforme Nutzung bietet sich das Konzept
der Private Cloud an, da in diesem Fall”[. . . ]
’nur‘die allgemeinen Anforde-
rungen fur interne Datenverarbeitung“ gelten [Schweinoch 2011]. Die Private
Cloud ermoglicht es dem Anwender außerdem, die in einer Auftragsdaten-
verarbeitung vom BDSG geforderten Maßnahmen (siehe Kasten auf Seite
23) umzusetzen, sofern es sich nicht um eine Virtual Private Cloud (VPC)
handelt. VPCs werden wie Public Clouds angeboten, mit dem Unterschied,
dass diese in einem isolierten Bereich bereitgestellt werden und ein Zugriff
oft nur uber ein VPN moglich ist (z.B. Amazons Virtual Private Cloud18). So
lasst sich innerhalb einer Public Cloud eine Private Cloud einrichten, ohne
eigene Hardware nutzen zu mussen. In diesem Fall steht der Anwender bei
der Uberprufung der technischen und organisatorischen Maßnahmen vor den
gleichen Problemen, wie bei einer Public Cloud. Aus diesem Grund wird in
diesem Kapitel nur die sichere Nutzung einer echten (wie in Kapitel 2.1.1
definierten) Private Cloud beschrieben.
Inzwischen existieren viele Produkte, die angeben, Private Clouds zu sein –
dabei handelt es sich aber oft um einfache Server oder sog. Online-Festplatten
(also lokale, externe Festplatten, welche uber ein Netzwerk angesprochen
werden konnen), welche der Cloud-Definition dieser Arbeit nicht Stand halten
und deswegen auch nicht weiter betrachtet werden.
Aufgrund der Komplexitat sind die Anforderungen fur eine sichere Priva-
te Cloud sehr hoch. Die Eigenschaften Flexibilitat und Skalierbarkeit sollen
genauso beibehalten werden, wie die in Kapitel 2.1.3 beschriebenen Cloud-
Merkmale. Die notwendigen Ressourcen sind fur kleine Unternehmen und
Privatanwender oft ein Problem, da sie teuer sind und regelmaßig gewartet
werden mussen. Dennoch sind diese Ressourcen eine Voraussetzung fur das
18Im Internet verfugbar unter http://aws.amazon.com/de/vpc
Cloud Computing. Auf einem einzigen Server lassen sich die Anforderungen
fur eine Private Cloud nicht umsetzen. Außerdem ist es empfehlenswert, die
Private Cloud so zu gestalten, dass bei Bedarf Services aus einer Public Cloud
integriert werden konnen. Hier ist es Aufgabe des IT-Managements, die fur
das Unternehmen richtige Cloud-Strategie zu entwickeln und umzusetzen.
6.4 Fazit
Eine sichere und rechtskonforme Cloud-Nutzung ist durchaus moglich. Der
Anwender muss selbst abwagen, wie viel Komfort und wie viel Sicherheit
ihm wichtig ist bzw. notwendig erscheint. Erfolgt die Speicherung und Verar-
beitung nicht”ausschließlich fur personliche oder familiare Tatigkeiten“ (§ 1
Abs. 2 Satz 3 BDSG), greift das BDSG und der Nutzer tragt die Verant-
wortung fur die Daten. Nachfolgend werden die Vor- und Nachteile der oben
beschriebenen Empfehlungen zusammengefasst.
Lokale Verschlusselung:
Pro:
• Schlussel befindet sich beim Benutzer.
• Daten gelten – je nach Schlussellange – als sehr gut geschutzt (der Ver-
schlusselungsalgorithmus AES ist z.B. in den USA fur staatliche Doku-
mente mit hochster Geheimhaltungsstufe zugelassen [Wikipedia 2012]19).
Kontra:
• Nicht alle Daten lassen sich verschlusseln. Dies Problem tritt in der Re-
gel auf, wenn Anwendungen untereinander Daten austauschen mussen.
Bei IaaS (insbesondere beim Storage) stellt dies jedoch selten ein Pro-
blem dar.
19Texte aus der Wikipedia sind bekanntermaßen nicht dauerhaft publiziert. Deshalb istdiese Quelle mit Vorsicht zu genießen und gelegentlich auf ihre Aktualitat zu prufen.
74
6 EMPFEHLUNGEN FUR EINE SICHERE NUTZUNG
• Verliert der Nutzer den Schlussel, kann auf die Daten nicht mehr zuge-
griffen werden.
• Je nach Algorithmus kann eine Verschlusselung sehr zeitaufwandig sein.
Innereuropaische Auftragsdatenverarbeitung:
Pro:
• Datenschutz nach EU-Recht.
• Wartung und Pflege werden von professionellen (externen) Dienstleis-
tern erbracht.
Kontra:
• Die Erreichbarkeit von Public Clouds uber offentliche Netze birgt ge-
wisse Gefahren (z.B. Denial-of-Service-Angriffe).
Private Cloud:
Pro:
• Daten verlassen das Unternehmen nicht.
• Die Hurde fur die Verarbeitung personenbezogener Daten ist nicht so
hoch, wie in Public Clouds (es gelten die allgemeinen Anforderungen
fur interne Datenverarbeitung).
• Der Anwender kann die technischen und organisatorischen Maßnahmen
zum Schutz der Daten uberprufen.
Kontra:
• Es sind viele Ressourcen (wie z.B. ein eigenes Rechenzentren) notwen-
dig.
75
6 EMPFEHLUNGEN FUR EINE SICHERE NUTZUNG
Das BSI hat in Abbildung 15 die Aspekte fur eine rechtskonforme Nutzung
zusammengefasst.
Abbildung 15: Aspekte des Datenschutzes nach Landvogt [Landvogt 2010, S.11]
Somit ist die Nutzung von Clouds außerhalb des EWR nicht gestattet, die
Datensicherheit muss durch die agierenden Stellen gewahrleistet werden und
es mussen alle Voraussetzungen fur eine Auftragsdatenverarbeitung erfullt
werden.
76
7 FAZIT UND AUSBLICK
7 Fazit und Ausblick
Die Vorteile des Cloud Computing sind sehr zahlreich und konnen somit vie-
le Anwender in ihren Bann ziehen. Fur den Privatanwender ist es haufig die
Tatsache, dass er mit jedem seiner Gerate auf seine Daten zugreifen kann
– sei es, um die eigene Musik- oder Fotosammlung immer dabei zu haben
(solange eine Verbindung zum Internet besteht), oder fur die Nutzung von
SaaS-Angeboten wie beispielsweise online Office-Paketen, diversen Webmail-
Diensten oder sozialen Netzwerken. Viele der Cloud-Angebote sind fur den
privaten Gebrauch zudem oftmals kostenlos. Produkte wie das Google Chro-
mebook20 fordern den Trend zum Cloud Computing, da es bei diesen Geraten
nicht vorgesehen ist, Daten lokal zu speichern. Die Daten und Anwendungen
befinden sich in der Cloud. Im Unternehmenskontext sprechen in erster Linie
die okonomischen Vorteile und die Flexibilitat fur das Cloud Computing.
In dieser Arbeit ist deutlich geworden, welche Probleme entstehen konnen,
wenn Daten ausgelagert werden. Neben den Anforderungen fur die Datensi-
cherheit sind es vor allem die datenschutzrechtlichen Probleme, welche auf
den Anwender zukommen. Diese sind allesamt nicht neu. In einem Um-
feld, in dem immer mehr Daten den eigenen Rechner verlassen, sind sie je-
doch viel prasenter. Fur mehr Rechtssicherheit ware eine einheitliche Cloud-
Computing-Definition wunschenswert. Recherchen im Rahmen dieser Arbeit
haben den Satz”zwei Juristen, drei Meinungen“ bestatigen konnen. Bis es ei-
ne Rechtssicherheit gibt bleibt dem Anwender nichts anderes ubrig, als selbst
die Verantwortung zu ubernehmen und Maßnahmen zum Schutz der Daten
zu ergreifen – eine Vorgabe, die von vielen Privatnutzern nicht ohne Weite-
res umgesetzt werden kann. Fur Unternehmen ist es besonders wichtig, die
Risiken zu analysieren und die richtigen Schlusse daraus zu ziehen. Blindes
Vertrauen kann sehr schnell sehr teuer werden. Zertifikate und Abkommen
helfen den großen Anbietern, eine dem europaischen Datenschutz konforme
Losung zu bieten. Die Vergangenheit hat allerdings gezeigt, dass auch diese