Das Thema
Im Gegensatz zu den meisten kommerziellen Kongressen, die überwiegend aus Werbevorträgen der Sponsoren bestehen, wurden die Vortragenden im Vorfeld per Code of Conduct auf die Werbefreiheit ihre Vorträge verpflicht. Eine Bedingung deren Einhaltung der wie immer gut gelaunte und diskussions-freudige Cloud-Experte Mark Masterson (@mastermark) überwachte und auch tatsächlich in einen Fall per virtueller gelber Karte aktiv durchsetzte. Dieses Konzept war der Grundstein für eine rundum gelungene Veranstaltung, deren Agenda die wichtigsten Aspekte des Thema Technische und Juristische Sicherheit des Cloud Computings abdeckte. Vor allem die konstruktiven Diskussionen, die um die meist 15 bis 20 Minuten langen Vorträge entstanden, hatten es in sich. Die Vorträge sollen demnächst auch Online gestellt werden. Bitte wendet Euch in der Zwischenzeit bei Interesse an den Slides an die Organisatoren unter sectxl@symposia360.com .
Zusammengefasst bleibt festzuhalten: Cloud Computing und Datenschutz sind vereinbar, man muss es nur richtig machen!
Folgende Aussagen blieben bei mir durch die Vorträge und Diskussionen hinweg hängen:
Analyse der Anwendungen/Daten/Prozesse
Nicht alle Daten, die man in der Cloud speichern möchte, unterliegen dem Bundesdatenschutzgesetz (
Analyse der Verträge
Hauptproblem bei einer geschäftlichen Nutzung von Cloud-Angeboten ist die Tatsache, das die meisten großen Public-Cloud-Anbieter lediglich Standard-Verträge mit für den Kunden meist sehr ungünstigen Konditionen anbieten. Hervorzuheben sind hier vor allem Themen Verfügbarkeit, Sperr- und Kündigungs-Rechte durch die Provider und dabei auch die Frage nach der Datenherausgabe, aber auch die Schadenersatz-Regelungen, von denen die Provider ja gerade auch bei den jüngsten Ausfällen Gebrauch machten (z. B. 30 Tage Gebühren-Gutschrift bei mehrtägigem Ausfall Datenverlust).
Große Kunden sollten die Anbieter nach Individualverträgen fragen, hier besteht je nach Kundengröße wohl seitens Amazon und Microsoft ein gewisser Verhandlungsspielraum.
Anbieterauswahl
Lässt sich der personenbezug nicht ausschliessen, so muss man entweder mit Verschlüsselung arbeiten (was generell immer empfehlenswert ist) oder es ist ein Anbieter zu wählen, mit dem man einen Vertrag zur Auftragsdatenverarbeitung (ADV) abschliessen kann, dieser erfordert jedoch teilweise umfangreiche Pflichten wie z.B. Auditierbarkeit und Kontrollplichten, die bei der Umsetzung eine gewisse Herausforderung darstellen.
Besonders bei Anbietern, die nicht aus der EU bzw. dem EWR stammen, oder die Tochtergesellschaften von US-Firmen sind, gelten einige besondere Punkte zu beachten: Im Fokus stehen dabei das Safe Harbor-Abkommen sowie die Regelungen nach dem USA Patriot Act. Das von vielen Anbietern als Sicherheits-Argument bemühte Safe Harbor-Abkommen, dessen Konformität die Hersteller im Rahmen einer Selbsterklärung bestätigen, ist aber in den meisten Fällen nicht ausreichend.
Das zweite Thema ist nicht Cloud Computing spezifisch, sondern gilt auch für bestehende Outsourcing-Verträge: Der
Datensicherheit
Hier gibt es – bzw. gab es auch schon vor Cloud Computing – noch viel Raum für Verbesserungen. Gerade beim Thema Authentifizierung existieren mittlerweile modernere Ansätze wie OpenID, die das Konzept eines Identity Service Providers einführen, wodurch die individuellen Profil-Daten nicht mehr auf der jeweiligen Anbieter-Website gespeichert werden müssen und damit sinnvollen Möglichkeiten bieten, um z. B. Biometrische Verfahren einzuführen. Spannend war auch die Darstellung der möglichen aktuellen Bedrohungs-Szenarien, die so sicher nicht jedem bekannt sein dürften. Einige Hersteller nehmen sich dem Thema aber auch schon selbst unter Nutzung von Cloud Computing Verfahren und Vertrauen auch auf Crowdsourcing-Ansätze um der Fülle an neuen Bedrohungen Herr zu werden.
Zertifizierung/Standards
Leider reichen die heutigen Standards für den Sonderfall Cloud Computing nicht aus. Hier sind sowohl Politik, Anbieter und Verbände gefordert sich bei der Schaffung von Standards und Zertifizierungen weiter in stärkerem Maße zu engagieren, um den Kunden eine einfachere Auswahl von zuverlässigen Anbietern zu erleichtern. Hier wurden als sinnvolle Grundlagen die ISO 27001 sowie das BSI Grundschutz-Handbuch genannt, die jedoch derzeit noch nicht auf die Anforderungen des Cloud Computings angepasst sind. Einen guten Ansatz stellt derzeit das Eurocloud Saas-Gütesiegel dar, welches zumindest die heute am meisten verbreiteten SaaS-Angebote abdeckt. An dieser Stelle sind auch die Kunden gefordert, entsprechende Zertifizierungen und die Einhaltung von Standards zu prüfen und einzufordern.
[…] die um die meist 15 bis 20 Minuten langen Vorträge entstanden, hatten es in sich. – Referenz Getagged mit11.08.11 • SecTXL • SecTXL '11 • SecTXL '11 Hamburg […]
[…] Unsere SecTXL kommt noch in diesem Jahr nach Frankfurt, warum Sie dort teilnehmen sollten? Wir lassen dazu am besten unsere Referenten und Teilnehmer der SecTXL ’11 in Hamburg sprechen… sven_thomsen: Ha! Hier werden Sales Pitches tatsächlich abgebrochen. Sehr gut. #nosalespitches #sectxl – Referenz Simone Winkler: “Das war wirklich eine hochinteressante Veranstaltung! Vielen Dank an die Redner und die Veranstalter!” – Referenz Andreas Weiss: “Die SecTXL 11 in Hamburg war eine gelungene Veranstaltung!” – Referenz: (Über Xing) Ulf Feger: “Thanks for the very interesting day @ SecTXL’11, Bucerius Law School, Hamburg” – Referenz: (Über Xing) Roland Judas: Im Gegensatz zu den meisten kommerziellen Kongressen, die überwiegend aus Werbevorträgen der Sponsoren bestehen, wurden die Vortragenden im Vorfeld per Code of Conduct auf die Werbefreiheit ihre Vorträge verpflicht. Eine Bedingung deren Einhaltung der wie immer gut gelaunte und diskussions-freudige Cloud-Experte Mark Masterson (@mastermark) überwachte und auch tatsächlich in einen Fall per virtueller gelber Karte aktiv durchsetzte. Dieses Konzept war der Grundstein für eine rundum gelungene Veranstaltung, deren Agenda die wichtigsten Aspekte des Thema Technische und Juristische Sicherheit des Cloud Computings abdeckte. Vor allem die konstruktiven Diskussionen, die um die meist 15 bis 20 Minuten langen Vorträge entstanden, hatten es in sich. – Referenz […]