Ein fortschrittlicher Ansatz für die sicherheitsbezogene Rechenschaft von Cloud-Dienstanbietern
Portable Geräte zur Überwachung der Herzfrequenz, die bspw. bei Joggern sehr beliebt sind, sind nur eine Art von Geräten, mit denen heutzutage sensible personenbezogene Daten gesammelt werden. In Kombination mit Wi-Fi- oder GPS-gestützten Technologien werden zu Benutzern sofort Online-Einträge angelegt. Das gleiche gilt für Krankenhäuser, Versicherungsgesellschaften und andere Vermittlungsinstanzen entlang der Informations-Wertschöpfungskette, die personenbezogene Daten über die Cloud verarbeiten. Die Cloud wirft viele Fragen über die Verantwortlichkeit für den Umgang mit personenbezogenen Daten auf: Wie wird mit diesen Daten umgegangen? Wie können Verantwortliche nachträglich ermittelt werden, falls Dinge falsch laufen? Da Clouds erst seit relativ kurzer Zeit existieren, gibt es tatsächlich keine bewährten Regelungen zu Rechenschaft und Transparenz, die angewandt werden könnten. „Es geht vor allem um den Datenschutz – für Einzelpersonen und für Organisationen“, sagt Julie Grady, eine Forscherin von Hewlett Packard Enterprise im Vereinigten Königreich. „Unternehmen müssen für die Sicherheit ihrer Daten und Abhilfemaßnahmen rechenschaftspflichtig sein und Verantwortung dafür übernehmen, wie sich die Umsetzung gestaltet.“ Das Ziel des vor Kurzem abgeschlossenen, von der EU mitfinanzierten und von Gradys Unternehmen koordinierten Cybersicherheits-Forschungsprojekts A4CLOUD bestand darin, einen Rahmen für Rechenschaftspflicht-Richtlinien für Cloud-Dienstanbieter zu schaffen. Das oberste Ziel von A4CLOUD war die Gestaltung eines „fortschrittlichen“ Ansatzes im Hinblick auf die Rechenschaftspflicht von Cloud-Diensterbringungsökosysteme im Vorfeld der europäischen Verordnung zum Schutz personenbezogener Daten (general data protection regulation, GDPR), die 2019 in Kraft tritt. Dies geschah über eine Erfassung aktueller und bewährter Verfahren in den Mitgliedsstaaten und über die Entwicklung detaillierter Checklisten mit Aufgaben, die Cloud-Dienstanbieter und deren Kunden erfüllen sollten, um Transparenz und Rechenschaft bezüglich des Datenschutzes zu gewährleisten. „Unsere größte Herausforderung bestand darin, die technischen mit den rechtlichen Dingen in Einklang zu bringen, und sicherzustellen, dass diese zusammen funktionieren. Die entsprechende Umsetzung für das Cloud-basierte Business wird eine sehr große Herausforderung“, erklärt Grady. „Alle Akteure müssen sich unabhängig davon, ob klein oder groß, an die Verordnung zum Schutz personenbezogener Daten halten. Auf einer Ebene wird es leichter für die größeren Akteure, da diese über die Mittel verfügen und daran gewöhnt sind, in jedem Falle eine gebührende Sorgfalt anzuwenden. Unsere Checklisten sind in erster Linie für die KMUs gedacht.“ Auf die Frage, ob die Rechenschaftspflichten zwischen den Mitgliedsstaaten erheblich voneinander abweichen, gab Grady eine nuancierte Antwort. „Die Auslegung ist in jedem Mitgliedsstaat leicht unterschiedlich. Bislang wurden allerdings keine großen Bußgelder im Hinblick auf die Bereiche Datenverarbeitung und Cloud verhängt: Auf Kundenebene gab es keine Strafen. Dies wird sich jedoch nach 2019 ändern, sodass es wichtig ist, Richtlinien mit bewährten Verfahren einzurichten. Viele Unternehmen werden sich hierum erst dann kümmern, wenn der regulatorische „Knüppel“ gezückt wird. In dieser Hinsicht sind wir mit A4CLOUD also der Zeit voraus“, erklärt Grady.
Schlüsselbegriffe
A4CLOUD, Cybersicherheit, Richtlinien, Rechenschaft, Cloud, Datenschutz
