AWS: Chancen und Risiken der «Auftragsdatenverarbeitung» in der Cloud

AWS: Chancen und Risiken der «Auftragsdatenverarbeitung» in der Cloud
Von Bertram Dorn, Principal Solutions Architect Security and Compliance bei Amazon Web Services. (Foto: AWS)

Artikelserie von Amazon Web Services (AWS): Teil 1

Unternehmen, die auf die Dienste von Anbietern für Infrastruktur- (IaaS) oder Plattform-Services (PaaS) zurückgreifen, müssen mit Blick auf die Einhaltung von Datenschutzvorgaben einige Punkte beachten. Durch die unterschiedlichen Einflussmöglichkeiten von Anbieter und Nutzer entsteht dabei ein Modell aus gemeinsamer und geteilter Verantwortung.

Beim Thema IT-Sicherheit in der Cloud gelten aus rechtlicher Sicht einige besondere Regeln im Vergleich zu On-Premises-Architekturen. Üblicherweise werden in der IT die Details rund um die Rechtsbeziehung zwischen Dienstleister und Auftraggeber über eine «Vereinbarung zur Auftragsdatenverarbeitung» festgehalten. Sie enthält Details zur Verarbeitung von personenbezogenen Daten, etwa bei der Abrechnung im Personalwesen oder der Verwaltung sensibler Kundendaten.

Eine solche Vereinbarung kann grundsätzlich auch für Leistungen eines Software-as-a-Service-Anbieters getroffen werden. Bei Lösungen nach den Prinzipien Infrastruktur- (IaaS) oder Plattform-as-a-Service (PaaS) sieht das meist anders aus. In diesen Fällen ist schliesslich der eigentliche Auftragsgegenstand variabel und hängt jeweils davon ab, wie ein Kunde die bereitgestellten IT-Lösungen konkret verwendet. Darum ist in der Regel auch nicht direkt ersichtlich, wie es um die Verarbeitung personenbezogener Daten bestellt ist. Durch die Dynamik des Cloud-Services entsteht bei einem «Pay-as-you-go-Modell» mit Abrechnung je nach Nutzungsgrad ausserdem eine komplett neue Relation zwischen Provider und Nutzer. Das übt auch auf die zugrundeliegenden Verträge und Vereinbarungen einen grossen Einfluss aus. Bevor also eine konkrete Datenverarbeitung über IaaS-Ressourcen erfolgt, ist es in den meisten Fällen nur sehr schwer möglich, den tatsächlichen Auftragsgegenstand völlig klar zu definieren.

Häufig besteht am Anfang der Geschäftsbeziehung zwischen Provider und Nutzer nur ein allgemeiner Rahmenvertrag. In ihm werden die Bedingungen festgehalten, die für den Fall einer Nutzung einer Cloud-Ressource gelten sollen. Nimmt das Unternehmen später tatsächlich die entsprechenden IT-Ressourcen in Anspruch, wird der dabei verarbeitete Datensatz zum Auftragsgegenstand. Derart kurzfristig – also gewissermassen simultan zum Start der tatsächlichen Infrastrukturnutzung – kann jedoch keine spezifische Vereinbarung zur Auftragsdatenvereinbarung abgeschlossen werden. Das würde zugleich die Skalierbarkeit, Agilität und Elastizität einer IaaS-/PaaS-Lösung erheblich einschränken. In Summe zeigt sich damit, dass die vertragliche Grundlage zwischen Nutzer und Provider bei der Cloud-Nutzung im Sinne der Auftragsdatenverarbeitung noch immer unbefriedigend ist.

Deshalb wird der Auftragsgegenstand heute in der Regel als das definiert, was nach dem Zeitpunkt eines «Startkommandos» zur Datenverarbeitung passiert. Ein solcher Auftrag endet im Prinzip mit der Eingabeaufforderung, die Cloud-Nutzung wieder zu beenden. Für den Cloud-Anbieter bedeutet dies, dass alle Daten anschliessend wieder gelöscht werden müssen.

Die technischen Details klären
Ausser dem generellen Auftragsgegenstand müssen auch die technischen und organisatorischen Details der Auftragsdatenverarbeitung in einem Vertrag festgehalten werden. Im Fall von IaaS-/PaaS-Modellen ist auch das komplexer als bei einer klassischen Anbieter-Nutzer-Beziehung. So weiss der Cloud-Provider nicht, ob zum Beispiel der Datenzugang für autorisierte Personen reguliert oder kontrolliert werden muss. Der Provider kann deshalb dem Nutzer seines Services lediglich Optionen zur zusätzlichen Sicherung der Daten anbieten oder Empfehlungen aussprechen. Für die Gewährleistung der physischen Sicherheit wiederum ist ausschliesslich der Cloud-Anbieter verantwortlich.

Ausserdem muss der Provider die versprochenen technischen und organisatorischen Massnahmen umsetzen und eine klare Trennung von Aufgaben und Zuständigkeiten innerhalb der einzelnen Bereiche seines Unternehmens vornehmen – etwa nach dem Prinzip «Need to Know». Nur wenn ein Cloud-Anbieter das Thema Sicherheit entsprechend dieser und anderer etablierter Verfahren angeht, kann er seine Kunden optimal bedienen. Durch das «Pay-as-you-go»-Modell mit seinem direkten Zusammenhang zwischen Nutzung und Abrechnung ist die Sicherheit des Providers ein wichtiger Faktor für den Geschäftserfolg des Providers. Dabei entsteht ein Modell aus gemeinsamen und geteilten Verantwortungen: Bestimmte Sicherheitsfaktoren kann nur ein Cloud Provider wie beispielsweise AWS selbst adressieren, bei anderen ist der Cloud-Nutzer am Zug. Wieder andere Schritte müssen von beiden Seiten umgesetzt und überwacht werden. So sollte der Provider kontinuierlich nach Malware suchen und die eigenen Systeme mit Firewalls schützen. Aber auch der Kunde ist bei den von ihm betriebenen Ressourcen und verwalteten Datensätzen in dieser Hinsicht gefragt. Industriestandards wie ISO 27001, 270017 und 270018 können dabei die Richtung vorgeben. Auch branchenspezifische Standards, etwa aus der Kreditwirtschaft, sind ein guter Anhaltspunkt.

Fazit
Für die Sicherheit in der Cloud sind eine klar definierte Rollenverteilung und das beidseitige Verständnis für die daraus entstehenden Aufgaben sehr wichtig. Durch Zertifizierungen und Auditberichte von Dritten kann der Cloud-Provider dabei für zusätzliche Transparenz sorgen. Ein weiterer wichtiger Punkt ist, dass die Dokumentation der angebotenen Dienstleistung aussagekräftig ist und die denkbaren Faktoren zur Vermeidung von Datenverlust, unbefugtem Zugriff und hoher Datenintegrität enthält. Der Nutzer selbst sollte eine eigene Risikoabschätzung durchführen und den Schutzbedarf der einzelnen Daten sowie die daraus resultierende Cloud-Umgebung definieren. Deckt sich das Angebot eines entsprechenden Providers mit den eigenen Sicherheitsansprüchen, kann das Cloud-Projekt erfolgreich umgesetzt werden. (AWS/mc/ps)

Amazon Web Services
Amazon Web Services (AWS) ist mit mehr als 165 voll funktionsfähigen Services, die in global verteilten Rechenzentren bereitgestellt werden, die weltweit umfassendste und am meisten verbreitete Cloud-Plattform. Millionen von Kunden – darunter einige der am schnellsten wachsenden Start-up-Unternehmen und der größten Konzerne sowie wichtige Behörden – vertrauen auf AWS, wenn es darum geht, agiler zu werden, Kosten zu senken und ihre Infrastruktur leistungsfähiger zu machen.

AWS-Artikelserie Teil 2:
AWS: Mehr Sicherheit durch Machine Learning
Teil 3:
AWS: Sicherheit in hybriden Cloud-Umgebungen

Schreibe einen Kommentar

Deine E-Mail-Adresse wird nicht veröffentlicht. Erforderliche Felder sind mit * markiert.