Corona: Ab in die Cloud, aber sicher!

In den letzten Tagen erreichen mich viele Anfragen zum Thema Cloud-Migration. Da auf Grund der Situation rund um Corona Daten und Prozesse häufig sehr kurzfristig in die Cloud verlagert werden sollen.

Dabei wird auf Grund des hohen zeitlichen Handlungsdrucks gerne übersehen, dass bei Cloud-Lösungen die Unternehmensdaten auf fremden Servern liegen. Insofern ist bei der Cloud-Migration die Betrachtung der Informationssicherheit der geplanten Lösung ein wichtiges Thema.

Man sollte sich dabei die Sicherheitskette vor Augen führen und sicherstellen, dass alle Glieder der Kette hinreichend wirksam funktionieren und auf einen sicheren Betrieb hinwirken.

Ich habe Ihnen hier einige wesentliche Punkte aus Sicht der Informationssicherheit zusammengestellt, die sie idealerweise VOR dem Vertragsabschluss mit dem Cloud-Anbieter klären sollten:

• Man sollte zuallererst hinterfragen, ob streng vertrauliche Daten (wenn vorhanden) wie zum Beispiel Betriebsgeheimnisse oder personenbezogene Daten überhaupt in die Cloud gehören. Sind dem Schutzbedarf entsprechende (zusätzlichen) Sicherheitsmaßnahmen, wie zum Beispiel eine wirksame Verschlüsselung, erforderlich?
• Grundlage allen Handelns ist eine sinnvolle Informationsklassifizierung, die bereits vorhanden ist, wenn man ein ISMS betreibt. Denn aus der Informationskategorie leitet sich der Schutzbedarf der Daten ab. Hierbei sollte man auch insbesondere die Datenschutzaspekte berücksichtigen. Falls es noch kein Schema zur Klassifizierung von Informationen (Richtlinie) in ihrer Organisation gibt, wartet hier die erste Aufgabe!
• Ein möglicher Indikator für ein bestimmtes Maß an Sicherheit beim Cloud-Dienstleister sind Zertifizierungen, wie zum Beispiel das Informationssicherheits-Management-System (ISMS) nach ISO 27001 oder der BSI IT-Grundschutz. Diese Zertifizierungen bestätigen, dass es Mechanismen beim Dienstleister gibt, die darauf hinwirken das technisch-organisatorischen Maßnahmen im erforderlichen Maß berücksichtigt werden. Eine Zertifizierung bestätigt aber nicht die vollständige Umsetzung und somit die Wirksamkeit aller erforderlicher Sicherheitsmaßnahmen!
• Lassen sie sich geeignete (oben genannten) Zertifikate oder andere Sicherheitsnachweise vertraglich zusichern durch den Cloud-Anbieter. Und prüfen Sie hierbei auch (soweit wie möglich), ob der Geltungsbereich des Zertifikates auch den Vertragsgegenstand einschließt.
• Ausreichende Sorgfalt sollten Unternehmen in die Verhandlungen der Service-Level-Agreements (SLA) investieren, mit deren Hilfe die Anforderungen an die zu erbringenden Dienstleistungen anhand festgelegter Kennzahlen klar formuliert sind.
• Die Lokationen, an denen Daten verarbeitet werden, sollten vertraglich festgelegt sein. Ob die Daten an den vertraglich zugesicherten Lokationen verarbeitet werden dürfen, ist auf Basis der Ergebnisse der Informationskategorisierung und Risikoanalyse sowie der möglichen Gefahr eines fremdstaatlichen Zugriffs (z. B. durch Nachrichtendienste oder Ermittlungsbehörden) zu bewerten.
• Lassen Sie sich Prüfrechte (Auditierung) vertraglich zusichern, die so ausgestaltet sein sollten, dass sie nach Art und Umfang einen Nachweis des Schutzniveaus ermöglichen und die Prüfung durchgeführt werden kann. Aufgrund der Ergebnisse aus der Informationskategorisierung und Risikoanalyse kann in begründeten Ausnahmefällen auf eigene Prüfrechte verzichtet werden.
• Die Beteiligung von Unterauftragnehmern und anderen externen Dritten müssen vom Cloud-Anbieter vollständig in Art und Umfang benannt werden. Beabsichtigte Änderungen hierüber müssen unverzüglich dem Auftraggeber mitgeteilt werden.
• Heute schon an morgen denken: Kündigungsfristen sollten dem Einsatzszenario angemessen sein und die Rückgabe der Daten muss geregelt werden (Format, Datenträger, Protokolle, usw.). Auch die Maßnahmen zur Datenlöschung müssen dem ermittelten Schutzbedarf entsprechen.

Falls Sie personenbezogene Daten mit der Cloud-Lösung verarbeiten, was in den meisten Fällen wahrscheinlich so sein wird, ist ein sogenannter Auftragsverarbeitungsvertrag i.S.d. Art. 28 DSGVO (AVV) mit dem Anbieter zu schließen. Dieser regelt die meisten der oben genannten Punkte. Und wird ihnen von den meisten Cloud-Anbietern zur Verfügung gestellt. Bezüglich der Ausgestaltung des AVV sollten sie mit ihrem Datenschutzbeauftragten oder einem Fach-Anwalt für IT-Recht sprechen. Da hier einige Fallstricke verborgen sein können.

Ich hoffe ich konnte mit dem Artikel etwas Klarheit in das Thema Cloud-Migration bringen und wünsche Ihnen viel Erfolg bei Ihrem Vorhaben.

27 Mar 2020
AVV ADV DSGVO Cloud ISMS Corona COVID-19
Autor: dirk-groesser