datenschutz und datensicherheit im cloud computing
TRANSCRIPT
Fachbereich 03: Mathematik/Informatik
Datenschutz und Datensicherheit im
Cloud ComputingPrivacy, safety and security in cloud-computing-systems
Diplomarbeitvon
Steffen Bothe
Gutachter: Prof. Dr. Karl-Heinz Rodiger
Dr. Dieter Muller
Bremen, 05. Juni 2012
Thema: Datenschutz und Datensicherheit im Cloud ComputingPrivacy, safety and security in cloud-computing-systems
Autor: Steffen Bothe Matrikelnummer: 1874235Geeren 37 E-Mail: [email protected] Bremen
Gutachter: Prof. Dr. Karl-Heinz RodigerUniversitat Bremen
Dr. Dieter MullerUniversitat Bremen
Danksagung
Ich mochte mich an dieser Stelle bei Prof. Dr. Karl-Heinz Rodiger fur die
tatkraftige Betreuung (von der Themenfindung bis hin zur Abgabe) und die
hilfreichen Anregungen bedanken.
Ebenso mochte ich mich bei meinen Eltern bedanken, die mich nicht nur
finanziell, sondern auch moralisch immer unterstutzt und dabei eine Menge
Geduld bewiesen haben.
Meinen Kommilitonen und Freunden mochte ich fur die grammatikalische
und syntaktische Durchsicht dieser Arbeit danken. Vermutlich mussten auch
sie alle große Geduld aufbringen. Vielen Dank fur die Unterstutzung.
iii
iv
INHALTSVERZEICHNIS
Inhaltsverzeichnis
1 Einleitung 1
1.1 Thema . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 1
1.2 Motivation . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 2
1.3 Gliederung . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 3
2 Cloud Computing 5
2.1 Was ist Cloud Computing? . . . . . . . . . . . . . . . . . . . . 5
2.1.1 Modelle . . . . . . . . . . . . . . . . . . . . . . . . . . 6
2.1.2 Services . . . . . . . . . . . . . . . . . . . . . . . . . . 8
2.1.3 Merkmale . . . . . . . . . . . . . . . . . . . . . . . . . 11
2.1.4 Virtualisierung . . . . . . . . . . . . . . . . . . . . . . 12
2.2 Stand der Technik . . . . . . . . . . . . . . . . . . . . . . . . 14
3 Datenschutz 19
3.1 Rechtlicher Rahmen . . . . . . . . . . . . . . . . . . . . . . . 20
3.1.1 In Deutschland . . . . . . . . . . . . . . . . . . . . . . 21
3.1.1.1 Branchenspezifische Besonderheiten . . . . . . 25
3.1.2 In der Europaischen Union . . . . . . . . . . . . . . . . 25
3.1.3 International . . . . . . . . . . . . . . . . . . . . . . . 27
3.1.3.1 Safe Harbor Abkommen . . . . . . . . . . . . 28
3.2 Anwendbarkeit des Datenschutzrechts . . . . . . . . . . . . . . 31
3.3 Gefahren . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 33
3.3.1 Rechtsunsicherheit . . . . . . . . . . . . . . . . . . . . 33
3.3.2 Drittzugriff . . . . . . . . . . . . . . . . . . . . . . . . 33
v
INHALTSVERZEICHNIS
3.4 Angebote der Anbieter . . . . . . . . . . . . . . . . . . . . . . 35
4 Datensicherheit 37
4.1 Schutzziele . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 38
4.1.1 Vertraulichkeit . . . . . . . . . . . . . . . . . . . . . . 39
4.1.2 Integritat . . . . . . . . . . . . . . . . . . . . . . . . . 39
4.1.3 Verfugbarkeit . . . . . . . . . . . . . . . . . . . . . . . 40
4.1.4 Authentizitat . . . . . . . . . . . . . . . . . . . . . . . 41
4.1.5 Transparenz . . . . . . . . . . . . . . . . . . . . . . . . 42
4.1.6 Zugriffskontrolle . . . . . . . . . . . . . . . . . . . . . . 42
4.2 Szenarien . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 42
4.2.1 Externe Angriffe . . . . . . . . . . . . . . . . . . . . . 43
4.2.1.1 Angriffe auf den Datentransport . . . . . . . 43
4.2.1.2 Angriffe auf die Cloud-Anwendung . . . . . . 43
4.2.1.3 Angriff auf die clientseitigen Anwendungen . . 44
4.2.1.4 Der Kunde als Angreifer . . . . . . . . . . . . 45
4.2.2 Interne Angriffe . . . . . . . . . . . . . . . . . . . . . . 47
4.2.3 Generelle Schutzmaßnahmen . . . . . . . . . . . . . . . 47
5 Probleme bei der Nutzung von Cloud Services 49
5.1 Szenario 1: Dropbox . . . . . . . . . . . . . . . . . . . . . . . 49
5.1.1 Beschreibung . . . . . . . . . . . . . . . . . . . . . . . 49
5.1.2 Probleme . . . . . . . . . . . . . . . . . . . . . . . . . 53
5.1.2.1 Datenschutz . . . . . . . . . . . . . . . . . . . 53
5.1.2.2 Datensicherheit . . . . . . . . . . . . . . . . . 57
5.2 Szenario 2: Cloud Computing im Unternehmenskontext . . . . 60
vi
INHALTSVERZEICHNIS
5.2.1 Beschreibung . . . . . . . . . . . . . . . . . . . . . . . 60
5.2.2 Probleme . . . . . . . . . . . . . . . . . . . . . . . . . 61
5.2.2.1 Datenschutz . . . . . . . . . . . . . . . . . . . 62
5.2.2.2 Datensicherheit . . . . . . . . . . . . . . . . . 63
5.2.2.3 Vendor-Lock-In . . . . . . . . . . . . . . . . . 64
6 Empfehlungen fur eine sichere Nutzung 67
6.1 Dropbox . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 67
6.2 Innereuropaische Auftragsdatenverarbeitung . . . . . . . . . . 71
6.3 Private Cloud . . . . . . . . . . . . . . . . . . . . . . . . . . . 73
6.4 Fazit . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 74
7 Fazit und Ausblick 77
Literatur 79
Online-Literatur 87
Abbildungsverzeichnis 94
Tabellenverzeichnis 95
Erklarung 96
vii
INHALTSVERZEICHNIS
viii
1 EINLEITUNG
1 Einleitung
1.1 Thema
”Steht Wolke hoch, zum herrlichsten geballt, verkundet, festge-
bildet, Machtgewalt. Und, was ihr furchtet und auch wohl erlebt,
wie’s oben drohet, so es unten bebt,“ [Goethe 1840, S. 409].
Schon Goethe erkannte seinerzeit die Macht der Wolken. Heute sind es – im
Gegensatz zu Goethes Zeiten – die sogenannten Datenwolken, welche mit
Machtgewalt in die IT-Welt drangen. In der Informatik ist das Bild einer
Wolke ublich, um Netze ohne erkennbare Strukturen (wie das Internet) dar-
zustellen. Der Begriff der Wolke soll andeuten, dass Dienste von einem zu-
meist externen Anbieter uber das Internet (bzw. allgemein uber IP-Netze)
erbracht werden. Musste der Nutzer1 fruher noch Software wie beispielsweise
Textverarbeitungs-, Tabellenkalkulations- oder anspruchsvolle Bildbearbei-
tungsprogramme fur seinen PC kaufen, kann er heute vielfach auf spezielle
Online-Portale ausweichen. Die Datenverarbeitung in der Wolke, das Cloud
Computing, ist Thema dieser Arbeit. Dabei wird geklart, was Cloud Compu-
ting ist, wie es funktioniert und welche Risiken bei der Benutzung auftreten
konnen.
Den Schwerpunkt dieser Arbeit bilden die Themen Datenschutz und Daten-
sicherheit. Beim Datenschutz handelt es sich um eine juristische Kategorie,
wahrend die Datensicherheit Maßnahmen beinhaltet, die zur Vermeidung
bzw. Verminderung von Storungen in der Datenverarbeitung beitragen (vgl.
[Munch 2010, S. 18]). Anhand von Beispielen macht diese Arbeit einerseits
deutlich, welche Vorteile und Vereinfachungen das Cloud Computing mit
sich bringt, andererseits werden auch die Gefahren und Auswirkungen dieser
Technik kritisch betrachtet.
1Obwohl aus Grunden der Lesbarkeit im Text nur die mannliche Form gewahlt wur-de, beziehen sich die Ausfuhrungen auf Angehorige beider Geschlechter. Dies gilt selbst-verstandlich auch fur Begriffe wie Anwender und andere.
1
1 EINLEITUNG
1.2 Motivation
Kaum ein anderes Thema ist zur Zeit so prasent, wie Cloud Computing.
Neben Fachbuchern und -zeitschriften beschaftigen sich inzwischen auch Ta-
geszeitungen und TV-Sendungen mit dem Thema. Große und kleine Tele-
kommunikationsanbieter bieten ihren Kunden die unterschiedlichsten Cloud-
Angebote, Privatanwender konnen die Dienste oft kostenlos benutzen. Ge-
worben wird immer wieder mit Vorteilen wie der Benutzungsfreundlichkeit
und der standigen Verfugbarkeit von Daten – egal, an welchem seiner Gerate
der Benutzer gerade sitzt. 2011 stand die weltweit großte Messe fur Informa-
tionstechnik, die CeBIT unter dem Motto Work and Life in the Cloud. Auch
2012 spielte die Cloud eine gewichtige Rolle auf der CeBIT, allerdings ruckten
Sicherheitsaspekte weiter in den Mittelpunkt (Managing Trust). Dass durch
das Auslagern von Daten auch Probleme entstehen konnen, hat auch der
Internet- und Softwareaktivist Richard Stallmann bemerkt:
”Derzeit lauft eine systematische Kampagne, die Nutzer dazu brin-
gen soll, ihre Daten Unternehmen anzuvertrauen, denen sie nicht
vertrauen sollten. Das Schlagwort lautet Cloud Computing – ein
Begriff, der fur so Vieles gebraucht wird, dass seine einzige wahre
Bedeutung lautet: Mach es, ohne daruber nachzudenken, was du
da tust,“ [Stallman 2011].
Noch ist nicht abzusehen, ob es sich beim Cloud Computing nur um einen
(zeitlich begrenzten) Trend handelt oder ob mit dieser Technik ein Para-
digmenwechsel einhergeht. Die vielen Unsicherheiten, die dieses Thema mo-
mentan noch mit sich bringt, sind ein guter Grund, sehr genau uber das
nachzudenken, was man tut. Diese Arbeit soll ihren Teil dazu beitragen,
dass gut klingende Buzzwords wie Cloud Computing besser eingeordnet wer-
den konnen. Die Tatsache, dass viele unterschiedliche Dienste unter diesem
Begriff angeboten werden, macht eine genaue Einordnung und Unterschei-
dung notwendig. Ein weiterer wichtiger Grund fur diese Arbeit ist die Wah-
rung von Personlichkeitsrechten, welche durch die moderne Datenverarbei-
2
1 EINLEITUNG
tung durchaus bedroht werden konnen. Datenschutzgesetze gibt es aus genau
diesem Grund, allerdings entstehen viele Probleme bei (im Cloud Computing
ublichen) grenzuberschreitendem Datenverkehr. Die Frage, wo sich wann die
eigenen Daten befinden, lasst sich im Cloud Computing langst nicht so ein-
fach beantworten, wie es der Nutzer vom heimischen Rechner gewohnt war.
Die rasante Verbreitung und die vielen Widerspruche, die das Cloud Com-
puting mit sich bringt, machen dieses Thema besonders spannend.
1.3 Gliederung
In Kapitel 2 wird unter dem Begriff Cloud Computing die (mehr oder we-
niger) neue Form der Daten- und Applikationsauslagerung beschrieben. Ein
Problem besteht darin, dass es derzeit keine offizielle, einheitliche Definition
dieses Begriffs gibt. Anhand vorherrschender Cloud-Modelle und -Dienste so-
wie bestimmter Merkmale wird der Begriff Cloud Computing fur diese Arbeit
definiert und erklart.
Kapitel 3 gibt einen detaillierten Uberblick zum Datenschutz. Dabei steht
insbesondere die Rechtslage zum Thema Cloud Computing im Mittelpunkt,
welche aufgrund der weltweiten Verteiltheit durchaus einige offene Fragen
bereit halt.
Kapitel 4 beschaftigt sich mit dem Thema Datensicherheit und behandelt
neben den drei klassischen Schutzzielen Vertraulichkeit, Verfugbarkeit und
Integritat noch weitere, fur das Cloud Computing relevante Schutzziele, bevor
verschiedene Angriffsszenarien aufgefuhrt werden.
Kapitel 5 zeigt an zwei Szenarien, zu welchen Problemen es bei der Cloud-
Nutzung kommen kann. Dabei werden die Szenarien hinsichtlich der in den
vorigen Kapiteln erlauterten Sachverhalte untersucht.
In Kapitel 6 werden Empfehlungen zur sicheren und rechtskonformen Cloud-
Nutzung gegeben. Zunachst wird auf die bereits beschriebenen Szenarien ein-
gegangen, bevor allgemeine Hinweise zu dieser Thematik gegeben werden.
3
1 EINLEITUNG
Kapitel 7 fasst die Ergebnisse dieser Arbeit zusammen und gibt einen Aus-
blick auf das, was das Geschaftsfeld Cloud Computing in Zukunft noch zu
bieten hat und welche alten und neuen Herausforderungen Einfluss darauf
haben.
Die Quellen am Ende der Arbeit sind in Literatur und Online-Literatur
aufgeteilt. Im Text werden Quellenverweise mit Seitenzahlen angegeben (es
sei denn, es wird auf den gesamten Text verwiesen); bei Verweisen auf die
Online-Literatur liegt es in der Natur der Sache, dass diese ohne Angabe der
Seitenzahl zitiert werden.
4
2 CLOUD COMPUTING
2 Cloud Computing
Kaum ein Begriff wird in der IT-Branche in letzter Zeit so haufig genutzt
wie Cloud Computing. In diesem Kapitel wird erlautert, was hinter diesem
Schlagwort steckt, welche Modelle und Dienste (im Folgenden Services) es
gibt, welche Eigenschaften ein Cloud-Computing-System besitzen muss und
wie der derzeitige Stand der Technik ist.
2.1 Was ist Cloud Computing?
Unter dem Begriff Cloud Computing versteht man das Auslagern der Infor-
mationstechnik (IT) auf eine externe Infrastruktur. Dateien werden hier nicht
mehr lokal gespeichert und bearbeitet, sondern in der Rechenwolke, der sog.
Cloud. Dabei handelt es sich um mindestens einen Cloud-Server, meistens je-
doch um mehrere verteilte Rechenzentren. In der Informatik ist das Bild der
Wolke ublich, um formlose Netze mit nur bedingt erkennbaren Strukturen
darzustellen. Der Nutzer weiß in der Regel nicht mehr wo genau sich seine
Daten und Anwendungen befinden. Diese Form der Datenhaltung ermoglicht
es ihm, von unterschiedlichen Rechnern aus an die eigene, personliche Ar-
beitsumgebung zu gelangen. In typischen Cloud-Computing-Services werden
entsprechende Anwendungen online bereitgestellt. Die Software und die Da-
ten befinden sich auf den Servern, auf die der Cloud-Anwender z.B. mit
einem Webbrowser zugreifen kann. Eine Verbindung zu der Cloud wird uber
IP-Netze hergestellt.
Der Vorteil liegt auf der Hand: Unternehmen und auch Privatpersonen mussen
sich nicht selbst um die entsprechende IT-Infrastruktur kummern, sondern
konnen die geforderten Services (siehe Kapitel 2.1.2) einfach anmieten. Abge-
rechnet wird die Nutzung z.B. nach Speicherkapazitat oder CPU-Zeit (Pay-
per-Use). Die Virtualisierungstechnologien der Dienstleister sorgen fur die
notwendige Flexibilitat und Skalierbarkeit der Dienste und ermoglichen so-
mit auch eine bedarfsgerechte Aufteilung.
5
2 CLOUD COMPUTING
”Cloud Computing ist im Kern eine Outsourcing-Technik, bei der typischer-
weise organisationsintern erledigte Aufgaben an ein externes Unternehmen
vergeben werden“ [Singer 2010, S. 2]. Im Gegensatz zum Outsourcing, wel-
ches auf alle Bereiche eines Unternehmens angewandt werden kann, bezieht
sich Cloud Computing nur auf Services und Dienstleistungen aus dem IT-
Bereich.
Damit das Cloud Computing weder mit Outsourcing, noch mit ahnlichen Be-
reichen wie dem Grid- oder dem Utility-Computing verwechselt wird, ware
eine einheitliche Cloud-Definition wunschenswert. Dies ist noch nicht der
Fall – zurzeit existieren lediglich verschiedene Interpretationen. Das Natio-
nal Institute of Standards and Technology (NIST) hat eine eigene Cloud-
Computing-Definition veroffentlicht [Mell 2011, S. 2], auf welche sich große
Teile der Literatur beziehen:
”Cloud computing is a model for enabling ubiquitous, convenient,
on-demand network access to a shared pool of configurable compu-
ting resources (e.g., networks, servers, storage, applications, and
services) that can be rapidly provisioned and released with mini-
mal management effort or service provider interaction.[. . . ]“
In dieser Definition existieren vier Cloud-Computing-Modelle, drei Service-
Modelle sowie funf wesentliche Merkmale, welche in den nachfolgenden Kapi-
teln erlautert werden. Auf die Abgrenzung zum Grid- und Utility-Computing
wird in dieser Arbeit verzichtet und stattdessen auf die Tabelle”Grid- vs.
Cloud-Computing“ von Weinhardt et al. verwiesen [Weinhardt 2009, S. 456].
2.1.1 Modelle
Im Cloud Computing sind verschiedene Organisationsformen von Clouds
moglich. Jedes der hier aufgefuhrten Modelle beschreibt eine bestimmte Or-
ganisationsform. Vereinzelt finden sich in der Literatur noch weitere Modelle.
Dabei handelt es sich aber um spezielle, auf die entsprechende Organisation
6
2 CLOUD COMPUTING
(ein Unternehmen oder eine wissenschaftliche Einrichtung) angepasste Mo-
delle, welche hier aus Grunden der Ubersichtlichkeit nicht weiter erwahnt
werden. In Kapitel 4 wird ersichtlich, warum auch in Hinblick auf die Daten-
sicherheit die Unterteilung in verschiedene Modelle wichtig ist.
Public Cloud: Bei diesem Modell handelt es sich um eine offentlich zugang-
liche Cloud. Diese wird von einem externen Anbieter bereitgestellt und
bietet jeder Firma und jedem Nutzer die gewunschten Services. Der
Nutzer kann nicht entscheiden, mit welchen anderen Nutzern er sich
die Hardware dieser Cloud teilt. Eine virtuelle Abgrenzung zu anderen
Nutzern dieser Cloud ist gegeben.
Private Cloud: Diese Cloud ist nicht offentlich zuganglich. Cloud Ser-
vices werden nur innerhalb eines Betriebs oder im internen Unterneh-
mensbereich des Cloud-Anwenders angeboten, wodurch die Gefahr des
Kontrollverlustes minimiert wird. Eine Private Cloud ist genau auf die
spezifischen Bedurfnisse des Nutzers ausgerichtet. Da sie auch physisch
von anderen Systemen getrennt ist, ist eine deutlich hohere Sicherheit
gegeben als bei anderen Modellen.
Hybrid Cloud: Bei der Kombination mehrerer (Public-, Private- und/oder
Community-) Clouds spricht man von einer Hybrid Cloud. Diese Kom-
bination entsteht, wenn aus einer Private Cloud heraus Dienste einer
Public Cloud genutzt werden oder wenn Unternehmen einen Teil ihrer
Daten sicherheitshalber in der Private Cloud behalten, andere Daten
jedoch (z.B. zu besseren Verteilung) in eine Public Cloud auslagern.
Eine effizientere Lastverteilung oder eine hohere Verfugbarkeit der Ser-
vices sind weitere Grunde fur den Einsatz dieses Modells.
Community Cloud: Der Zusammenschluss mehrerer Private Clouds (z.B.
von verschiedenen Unternehmen) fuhrt zur Community Cloud. Hier
haben samtliche Mitglieder der Community im Rahmen ihrer Rechte
Zugriff auf die Private Clouds aller angeschlossenen Unternehmen.
7
2 CLOUD COMPUTING
Abbildung 1 zeigt die oben beschriebenen Modelle. Public Clouds konnen
von jedem Nutzer in Anspruch genommen werden. Dabei ist nicht festgelegt,
wie viele unterschiedliche Nutzer auf eine Public Cloud zugreifen. Es ist auch
offen, wie viele verschiedene Clouds ein Nutzer ansteuern darf. Die Private
Cloud wird ausschließlich von dem ihr zugehorigen Unternehmen benutzt.
Abbildung 1: Schematische Darstellung der verschiedenen Cloud ComputingModelle
Die Abbildung zeigt auch, dass das Unternehmen (bzw. der Nutzer) F zusatzlich
eine Verbindung zu einer Public Cloud besitzt. In diesem Fall wird von ei-
ner Hybrid Cloud gesprochen. In der Community Cloud befinden sich nur
Private Clouds. Die Verbindungen der Private Clouds untereinander sollen
verdeutlichen, dass alle Nutzer der Community Cloud (D, E und F ) auf alle
Clouds dieser Community zugreifen konnen.
2.1.2 Services
In diesem Abschnitt werden die verschiedenen Services, die von den Cloud-
Service-Providern angeboten werden, beschrieben. Es gibt drei verschiedene
Arten von Services, welche zwar physisch voneinander abhangig sind, aber
als eigenstandige Bereiche gesehen und behandelt werden.
8
2 CLOUD COMPUTING
Vereinfacht ausgedruckt kann man die Services in die Bereiche Hardware
(IaaS), Betriebssystem (PaaS) und Anwendung (SaaS) unterteilen. Abbil-
dung 2 zeigt die Services in einem Schichtenmodell. Daraus wird ersicht-
lich, welcher Service (bzw. welche Schicht) wo anzugliedern ist und welche
Machtigkeit die einzelnen Services besitzen. IaaS bildet als großte Schicht
die Basis dieses Modells. Die Schichten bauen aufeinander auf, konnen aber
auch unabhangig voneinander genutzt werden. Die Abbildung zeigt jedoch
nicht, wie viele Nutzer jeder Schicht zuzuordnen sind. In dem Fall musste
die Anordnung der Schichten umgekehrt erfolgen (SaaS spricht eine großere
Zahl von Nutzern an als PaaS oder IaaS [BMWi 2010, S. 20]).
Abbildung 2: Die drei Services im Schichtenmodell
Infrastructure as a Service (IaaS): Der Anbieter stellt fur diesen Ser-
vice Teile der Infrastruktur und somit auch Ressourcen zur Verfugung.
Unterschieden wird dabei zwischen dem physischen Ressourcen Set,
welches Speicherplatz (Storage), Arbeitsspeicher, CPU, Netze und wei-
tere Komponenten bereitstellt und dem virtuellen Ressourcen Set. Auf-
grund dessen wird deutlich, weshalb diese Ebene im Schichtenmodell
dessen Basis darstellt. Alle weiteren Schichten bauen darauf auf. Ein
9
2 CLOUD COMPUTING
IaaS-Nutzer kann praktisch beliebige Anwendungen und Betriebssyste-
me einsetzen.
Ein Beispiel fur die Umsetzung von IaaS ist die Amazon Elastic Com-
pute Cloud (EC2)2.
Platform as a Service (PaaS): Der Anbieter stellt hier eine Entwick-
lungsumgebung (IDE) und eine Laufzeitumgebung (RTE) zur Verfugung.
Dieser Service ist in erster Linie fur Softwareentwickler und -Tester
geeignet, da Anwendungen auf der vom Cloud-Anbieter angebotenen
Infrastruktur programmiert, kompiliert und ausgefuhrt werden konnen.
Der Cloud-Anbieter gibt vor, welche Programmiersprachen und Schnitt-
stellen verwendet werden konnen.
Beispiele hierfur sind die Microsoft Entwicklungsplattform Azure3 und
die Google App Engine4.
Software as a Service (SaaS): Dieser Service bietet dem Nutzer An-
wendungen, welche er uber eine Webschnittstelle benutzen kann. Diese
Anwendungen werden zentral vom Cloud-Anbieter verwaltet, so dass
der Anwender die Software benutzen kann, ohne sich um die Installation
oder Verwaltung kummern zu mussen. Er hat jedoch keinen direkten
administrativen Zugriff. Die angebotene Software lauft in der Regel
auf den Maschinen des Anbieters und kann per Webbrowser bedient
werden, es ist jedoch auch (je nach Anbieter) moglich, die Software
zeitbeschrankt auf den Maschinen des Kunden laufen zu lassen. Der
Einsatz von Thin-Clients ist ebenfalls moglich.
Bekannte Beispiele sind u.a. Twitter5, GoogleMaps6 und Salesforce7.
2Im Internet verfugbar unter http://aws.amazon.com/de/ec23http://www.microsoft.com/de-de/azure/default.aspx4http://code.google.com/appengine5http://twitter.com6http://maps.google.com7http://www.salesforce.com
10
2 CLOUD COMPUTING
2.1.3 Merkmale
Alle Cloud Services weisen gemeinsame Merkmale auf. In der Literatur fin-
den sich diverse Merkmale in unterschiedlichen Konstellationen. Nachfol-
gend werden die gangigsten sechs Merkmale aufgelistet und naher erlautert.
Bei den ersten funf Merkmalen handelt es sich um Definitionen des NIST
[Mell 2011, S. 2], das letzte Merkmal ist eine Definition der Cloud Security
Alliance (CSA) [Brunette 2009, S. 17], welche fur den Cloud-Computing-
Betrieb durchaus wichtig ist und deswegen hier mit aufgefuhrt wird.
On-demand self-service: Einseitige (automatische und zeitnahe) Bereit-
stellung von Rechenkapazitaten wie CPU-Zeit oder Speicherplatz so-
wie gegebenenfalls auch On-Demand-Software wie Betriebssystem oder
Anwendungssoftware. Benutzer einer Cloud konnen die Dienste selbst
einrichten.
Broad network access: Die Gewahrleistung, dass mit unterschiedlichen
Geraten (z.B. PC/Laptop, Smartphone, PDA) uber das Netz auf die
Cloud zugegriffen werden kann.
Resource pooling: Das Zusammenfassen von Ressourcen in Pools zur Op-
timierung von (Kosten-) Strukturen. Der exakte Ort der Daten und
Ressourcen ist dem Benutzer unbekannt und kann unter Umstanden
variieren.
Rapid elasticity: Elastizitat ermoglicht die schnelle, flexible und bedarfs-
gerechte Anpassung an Last-Veranderungen.
Measured Service: Exakte Erfassung der abgerufenen Dienstleitungen.
Somit ist auch Transparenz gewahrleistet.
Multi-Tenancy: Bezeichnet ein System, auf dem mehrere Nutzer unab-
hangig voneinander bedient werden konnen. Dabei haben die Nutzer
keinen Einblick in die Daten, Anwendungen und Konfigurationen an-
derer Nutzer.
11
2 CLOUD COMPUTING
2.1.4 Virtualisierung
Die Basis des Cloud Computing bilden Virtualisierungstechnologien, mit de-
ren Hilfe die bisher vorgestellten Merkmale umgesetzt werden. Aufgrund die-
ser Technologien kann ein einziger physischer Server (je nach Konzept, siehe
unten) mehrere Betriebssysteme und Anwendungen gleichzeitig ausfuhren.
Die Virtualisierung ermoglicht die Aufteilung der zur Verfugung stehenden
Ressourcen auf verschiedene Virtuelle Maschinen. Dies fuhrt zu einer Ver-
besserung bei der Flexibilitat und Skalierbarkeit. Eine Virtuelle Maschine
verhalt sich wie ein vollwertiger Rechner mit eigenen Komponenten, es lassen
sich also Anwendungen genau so installieren, wie auf einem realen Computer.
Dabei existieren zum Teil sehr unterschiedliche Virtualisierungskonzepte:
Betriebssystemvirtualisierung / Partitionierung: Dieses Verfahren
virtualisiert Server auf der Kernel-Ebene, indem es das Betriebssystem
in”mehrere, voneinander abgeschottete, identische Systemumgebun-
gen bzw. Laufzeitumgebungen“ [Baun 2011, S. 13] teilt (partitioniert).
Es wird kein zusatzliches Betriebssystem, sondern eine isolierte Lauf-
zeitumgebung virtuell in einem geschlossenen Container erzeugt. Bei
der Erstellung der verschiedenen Container werden lediglich Individual-
daten (im home-Verzeichnis des entsprechenden Containers) angelegt,
wahrend Betriebssystemdaten wie etwa Bibliotheken von allen beteilig-
ten Gastsystemen genutzt werden. Dies fuhrt zu einer sehr effektiven
Ausnutzung der Ressourcen, hat aber den Nachteil, dass der Nutzer an
das Host-Betriebssystem gebunden ist. Diese Art der Virtualisierung
nutzt man, um Anwendungen in isolierten Umgebungen mit hoher Si-
cherheit zu betreiben.
Plattformvirtualisierung: Im Gegensatz zur Betriebssystemvirtualisie-
rung konnen hier beliebige Betriebssysteme und Anwendungen in der
Virtuellen Maschine ausgefuhrt werden. Ein Hypervisor erstellt die Um-
gebung fur eine Virtuelle Maschine, teilt die Ressourcen unter den Gast-
systemen auf und koordiniert die Zugriffe. Unterschieden wird der Hy-
12
2 CLOUD COMPUTING
pervisor in zwei Typen: Entweder lauft der Hypervisor ohne zusatzliche
Software direkt auf der Hardware (Typ 1) oder er lauft auf einem voll-
wertigem Betriebssystem (Typ 2).
(a) Betriebssystemvirtualisierung (b) Plattformvirtualisierung mitTyp-1 Hypervisor
Abbildung 3: Virtualisierungskonzepte nach Baun et al. [Baun 2011, S. 13f.]
Speichervirtualisierung: Diese Form der Virtualisierung stellt dem Be-
nutzer Speicher (Storage) in Form von virtuellen Laufwerken bereit.
Dazu werden die physischen Speicher der Server in Pools zusammenge-
fasst, aus denen der verfugbare Speicher effektiv auf die vorhandenen
Nutzer aufgeteilt werden kann. Diese sind somit nicht mehr an die phy-
sischen Grenzen der Speichermedien gebunden.
Netzwerkvirtualisierung: Durch den Einsatz virtueller lokaler Netze (Vir-
tual Local Area Network, VLAN) konnen verteilt aufgestellte Gerate
in einem einzigen logischen Netz zusammengefasst werden. Cloud-Res-
sourcen erscheinen im Netzwerk des Nutzers und konnen dort genutzt
werden. Ein VLAN bildet ein nach außen isoliertes Netzwerk. Mit Hilfe
von VLAN fahigen Switches werden Datenpakete eines VLAN nicht in
ein anderes VLAN weitergeleitet, was fur eine hohere Sicherheit sorgt.
Die Netzwerkvirtualisierung integriert verteilte Standorte in eine vir-
tuelle Infrastruktur.
13
2 CLOUD COMPUTING
Anwendungsvirtualisierung: Anwendungen werden lokal, unter Verwen-
dung lokaler Ressourcen in einer virtuellen Umgebung ausgefuhrt, die
alle Komponenten bereitstellt, die die Anwendung benotigt. Dazu exis-
tieren zwei unterschiedliche Verfahren [Baun 2011, S. 18]: Die Hosted
Application ist eine Anwendung, welche uber das Internet gestreamt
wird, die Virtual Alliance ist eine Anwendung, die heruntergeladen und
auf dem lokalen Rechner ausgefuhrt wird.
Hardwarevirtualisierung: Physikalische Hardware wird zu virtuellen Hard-
warekomponenten abstrahiert und kann in gleicher Weise genutzt wer-
den. So lassen sich beispielsweise verschiedene Betriebssysteme und An-
wendungen ausfuhren. Ein Vorteil dieses Virtualisierungskonzeptes ist
die Tatsache, dass die Hardware ausgewechselt werden kann, solange
die neuen Gerate die gleiche virtuelle Hardware bereitstellen.
Je nach Anwendungsfall und Cloud-Typ wird mindestens eines dieser Kon-
zepte genutzt. Dies liegt an der besseren Ausnutzung der Hardware, der ver-
einfachten Administration und der maximalen Flexibilitat. Durch die Iso-
lation der Virtuellen Maschinen gegenuber dem Host-Betriebssystem und
anderen Virtuellen Maschinen ist eine hohere Sicherheit gewahrleistet. Red-
undante Installationen und Ausfallkonzepte sind allerdings erforderlich, da
durch den Ausfall eines Hosts mehrere Virtuelle Maschinen ausfallen konnen,
was zu einer geringeren Verfugbarkeit der Dienste fuhrt.
2.2 Stand der Technik
Die Techniken, die fur das Cloud Computing (bzw. fur die Erbringung der
entsprechenden Services) benotigt werden, sind allesamt bereits bekannt. Neu
sind hingegen die Schwerpunkte des Cloud Computings, Ressourcen mit Hilfe
von Virtualisierungstechniken dynamisch zu nutzen und Lastanderungen bei
Bedarf anzupassen. Obwohl es noch an einer einheitlichen Definition man-
gelt, versuchen immer mehr Firmen, sich auf dem Markt zu positionieren.
14
2 CLOUD COMPUTING
Die vielfaltigen Moglichkeiten des Cloud Computings bieten Privatanwen-
dern und Unternehmen technische und okonomische Vorteile: Das Speichern
der Daten an einem entfernten Ort erfolgt in der Regel in einem professionel
betriebenen Rechenzentrum. Es ist davon auszugehen, dass sich der Betreiber
des Rechenzentrums seiner Verantwortung8 bewusst ist und z.B. durch re-
gelmaßige Datensicherungen eine hohere Datensicherheit gegeben ist, als am
heimischen PC. Des Weiteren ist es besonders fur kleine und mittlere Unter-
nehmen (KMU) viel kostengunstiger, die benotigte Rechenleistung zeitnah
anzumieten. Die Konzentration auf das Kerngeschaft fallt leichter, die In-
stallationsarbeit, Investitionen in Hard- und Software und die Sicherung der
Daten fallen im Regelfall in den Aufgabenbereich des Cloud-Anbieters.
Den aktuellen Prognosen zufolge wird der Markt fur Cloud Computing weiter
wachsen. Im Jahr 2010 besaßen laut Umfrage des Fujitsu Research Institute
18% der Befragten in Deutschland eine positive Grundeinstellung gegenuber
Cloud Computing (siehe Abbildung 4). 32% sahen das Thema”eher negativ“
Abbildung 4: Grundeinstellung zum Thema Cloud Computing im Jahr 2010[Fujitsu 2010, S. 20]
8Damit ist die Verantwortung gegenuber dem (eigenen) Unternehmen gemeint; dasBekanntwerden von Sicherheitslucken und Datenverlusten kann sehr geschaftsschadigendsein. Die Verantwortung gegenuber dem Kunden und seinen Rechten spielt in diesemZusammenhang nur eine untergeordnete Rolle.
15
2 CLOUD COMPUTING
und die Halfte der Befragten hatte keine eindeutige Meinung dazu. Weltweit
scheint die Einstellung bezuglich Cloud Computing deutlich positiver (35%)
zu sein. In Deutschland sind es die KMUs, die sich beim Cloud Computing
zuruckhalten (siehe Abbildung 5). Dies ist erstmal uberraschend, da beson-
ders die KMUs ohne eigenes Rechenzentrum von den Vorteilen des Cloud
Computings profitieren konnen. Zudem konnen durch die Skalierbarkeit fle-
xible Geschaftsmodelle ohne großen Aufwand umgesetzt werden.
Abbildung 5: Umfrage: Planen Sie die Nutzung von Online-Software und-services im Rahmen Ihrer Geschaftstatigkeit 2011 zu erweitern (n=6.450KMUs)? [Rademacher 2011, S. 23]
Der Bundesverband Informationswirtschaft, Telekommunikation und neue
Medien e.V. (BITKOM) interessierte sich fur die Privatanwender und fuhrte
Telefoninterviews mit Internetnutzern durch. Die Studie ergab, dass 82% der
Befragten den eigenen PC als Speicherort fur Fotos, Videos und Dokumente
nutzen. Onlinedienste wurden insgesamt zu 35% genutzt, wobei Mehrfach-
nennungen moglich waren (Abbildung 6). Die Nutzer, die sich gegen eine der
moglichen Online-Varianten zum Speichern ihrer Daten entschieden haben,
begrundeten dies haufig damit, dass ihnen diese Technologie keinen Nutzen
bringe (35%) und dass sie ihnen zu kompliziert sei (33%). Ein Viertel der
Befragten kannte diese Angebote uberhaupt nicht. Lediglich 20 bzw. 21%
hatten Angst vor mangelndem Datenschutz und einem moglichen Datenver-
lust [BITKOM 2011, S. 5].
16
2 CLOUD COMPUTING
Abbildung 6: Umfrage: Wo speichern Sie Fotos, Videos, Dokumente etc.?[BITKOM 2011]
Dennoch scheint der Trend zum Cloud Computing weiter anzuhalten. Eine
Prognose des Bundesministeriums fur Wirtschaft und Technologie (BMWi)
bildet die Entwicklung des Marktvolumens von Cloud Computing in Deutsch-
land fur die Jahre 2010 bis 2013 ab (Abbildung 7). In den kommenden Jahren
werden demnach alle Cloud-Services ihr Marktvolumen steigern konnen, wo-
bei SaaS mit Abstand das großte Wachstum verzeichnet (2010: 439 Millionen
Euro; 2013: 1753 Millionen Euro). Die Tatsache, dass SaaS derzeit am wei-
testen verbreitet ist (und auch in Zukunft rasant wachsen wird) erklart sich
durch die fast unzahligen Angebote, die sowohl fur Unternehmen als auch fur
Privatanwender interessant sind. Bekannte Beispiele sind Webmail-Dienste
oder Online-Office-Suiten von Google (Google Docs) oder Microsoft (Office
live).
IaaS-Dienste werden der Prognose nach ihr Marktvolumen von 60 Millionen
Euro (2010) auf 282 Millionen Euro (2013) erhohen. Anbieter von Infrastruk-
turdiensten werben mit nahezu unbegrenztem Speicherplatz, auf den von den
verschiedensten Endgeraten aus zugegriffen werden kann. So werden virtuelle
Festplatten mit wenigen Gigabyte Speicherkapazitat oft kostenfrei zu einem
Betriebssystem angeboten (z.B. Apple iCloud, Ubuntu One). Doch auch von
17
2 CLOUD COMPUTING
Betriebssystemen unabhangige Unternehmen (z.B. Dropbox oder Telekom
Cloud) bieten den Service an.
Abbildung 7: Prognostiziertes Marktvolumen fur Cloud Computing Servicesin Deutschland 2010 bis 2013 (in Millionen Euro) [BMWi 2010, S. 20]
Cloud Computing ruckt immer mehr in den Fokus der breiten Masse, wobei
die Skepsis der Benutzer gegenuber dem Speichern der eigenen personlichen
Daten auf einem entferten Ort im Internet gering zu sein scheint. Doch je
ofter auf Cloud-Dienste zuruckgegriffen wird, desto starker ruckt die Frage
nach dem Schutz der dort liegenden Daten in den Mittelpunkt.
18
3 DATENSCHUTZ
3 Datenschutz
Definition Datenschutz:
Aufgabe des Datenschutzes ist es, durch den Schutz perso-
nenbezogener Daten vor Mißbrauch bei ihrer Speicherung,
Ubermittlung, Veranderung und Loschung (Datenverarbei-
tung) der Beeintrachtigung schutzwurdiger Belange der Be-
troffenen entgegenzuwirken. [Kubicek 2007]
Im vorherigen Kapitel wurde festgestellt, dass Cloud Computing momentan
als einer der Trends der IT zu sehen ist. Sowohl bei Unternehmen als auch
bei Privatanwendern ist diese Technologie gefragt – ein Grund, die Frage
des Datenschutzes naher zu betrachten. Diese ist jedoch nur von Bedeutung,
wenn personenbezogene Daten verarbeitet werden. Problematisch ist aller-
dings die Tatsache, dass keine international einheitliche Regelung existiert
und jeweils die Gesetze oder Regelungen des Staates gelten, in dem sich die
Daten physisch befinden. Abbildung 8 verdeutlicht diese Problematik.
Abbildung 8: Datenschutz Weltkarte [Banisar 2011]
19
3 DATENSCHUTZ
Die in dieser Karte blau eingefarbten Lander verfugen uber Datenschutzge-
setze. Hierbei ist aber noch lange nicht sichergestellt, dass diese Lander auch
das gleiche Datenschutzniveau erreichen. Welche Gute die verschiedenen na-
tionalen Gesetze haben, geht aus dieser Darstellung nicht hervor. Bei den
rot eingefarbten Landern gibt es lediglich Bestrebungen, Datenschutzgesetze
einzufuhren. Aber auch hier gilt (analog zu den blau eingefarbten Landern),
dass die Bestrebungen einzelner Lander durchaus unterschiedlich zu werten
sind; sei es beim Fortschritt oder bei der Qualitat dieser Bestrebungen. Nur
die nicht eingefarbten Lander verfugen uber keine entsprechenden Gesetze
und streben auch nicht an, dies zu andern.
3.1 Rechtlicher Rahmen
Die vielen nationalen Unterschiede fuhren dazu, dass man bei einem globa-
len Thema wie Cloud Computing nicht von einem einheitlichen Datenschutz
sprechen kann. Eine Unterteilung in blau, rot und weiß (siehe Abbildung 8)
hilft hier nicht weiter, da selbst die Lander einer dieser Kategorien zu große
Unterschiede bezuglich des Datenschutzniveaus aufweisen. Eine detaillier-
te Auflistung aller Lander mit ihren spezifischen Gesetzen und Regelungen
wurde den Rahmen dieser Arbeit sprengen. In jedem Fall stellt sich die Fra-
ge, welches Recht uberhaupt anwendbar ist, wenn die Rechner uberall auf
der Welt verteilt sind. Oft wird die Antwort auf diese Frage vertraglich fest-
gelegt, wobei nach deutschem Recht unterschiedliche Vertragstypen ublich
sind (siehe Tabelle 1). Werden die Daten nicht in Deutschland verarbeitet,
sondern in der Europaischen Union (EU) oder im Europaischen Wirtschafts-
raum (EWR), kommt es in der Regel nicht zu Problemen. Wenn die Daten
allerdings Europa verlassen und z.B. nach China oder in die USA ausgela-
gert werden, wird es schwieriger, da das Bundesdatenschutzgesetz eine aus-
druckliche Einwilligung desjenigen verlangt, dem die Daten gehoren. Cloud-
Anbieter mit mehreren tausend Kunden haben jedoch selten die Einwilligung
jedes einzelnen Kunden, dass dessen Daten Europa verlassen durfen. Bei der
20
3 DATENSCHUTZ
Leistungsmerkmal Rechtsgebiet
Zugriff auf Hardwareumgebung und Speicherplatz (IaaS) Mietrecht
Zugriff auf Laufzeit- und Entwicklungsumgebung (PaaS) Mietrecht
Nutzung von Software auf einem Server (SaaS) Mietrecht
Bereitstellung einer Bestimmten Bandbreite Dienstvertrag
Pflege, Weiterentwicklung und Aktualisierung der Soft-ware
Dienstvertrag
Bereitstellung von Rechenleistung Dienstvertrag
Installation, Implementierung und Anpassung von Soft-ware
Werkvertrag
Tabelle 1: Vertragsarten im Cloud Computing nach Winkler [Winkler 2011,online]
Gestaltung der Vertrage sind sehr viele Details zu beachten, weshalb es fast
unmoglich ist, eine pauschale Anleitung dafur zu geben. Deshalb beschreibt
dieses Kapitel den rechtlichen Rahmen des Datenschutzes in Deutschland, in
der Europaischen Union und außerhalb der Europaischen Union (Internatio-
nal), bevor dann auf die Anwendbarkeit des Datenschutzrechts eingegangen
wird.
3.1.1 In Deutschland
Das Bundesverfassungsgericht (BVerfG) definierte den Datenschutz in dem
Volkszahlungsurteil vom 15. Dezember 1983 mit dem”Recht auf informatio-
nelle Selbstbestimmung“ als ein Grundrecht:
”Das Personlichkeitsrecht umfaßt [. . . ] auch die aus dem Ge-
danken der Selbstbestimmung folgende Befugnis des Einzelnen,
grundsatzlich selbst zu entscheiden, wann und innerhalb welcher
Grenzen personliche Lebenssachverhalte offenbart werden. [. . . ]
Diese Befugnis bedarf unter den heutigen und kunftigen Bedin-
gungen der automatischen Datenverarbeitung in besonderem Ma-
21
3 DATENSCHUTZ
ße des Schutzes. [. . . ] Mit dem Recht auf informationelle Selbstbe-
stimmung waren eine Gesellschaftsordnung und eine diese ermog-
lichende Rechtsordnung nicht vereinbar, in der Burger nicht mehr
wissen, wer was wann und bei welcher Gelegenheit uber sie weiß.
[. . . ] Das Grundrecht gewahrleistet insoweit die Befugnis des Ein-
zelnen, grundsatzlich selbst uber Preisgabe und Verwendung sei-
ner personlichen Daten zu bestimmen.“
[BVerfGE 65, 1 vom 15.12.1983]
In Deutschland fallen nur Daten, die einen Personenbezug aufweisen, in den
Anwendungsbereich des Bundesdatenschutzgesetzes (BDSG).”Personenbe-
zogene Daten sind Einzelangaben uber personliche oder sachliche Verhaltnisse
einer bestimmten oder bestimmbaren Person“ (§ 3 Abs. 1 BDSG). Fur andere
Daten (wie z.B. Warenverzeichnisse o.a.) gilt das Gesetz nicht. Diese Daten
durfen auf fremden Systemen gespeichert und verarbeitet werden, naturlich
immer unter der Voraussetzung, dass es keine Konflikte mit anderen Geset-
zen (z.B. dem Urheberrechtsgesetz) gibt. Beim Cloud Computing handelt es
sich – sofern es nicht um eine Private Cloud geht – um ein fremdes System.
Werden Daten dorthin ubertragen und/oder dort verarbeitet, ist zu klaren,
ob es sich dabei um eine Erhebung, Verarbeitung oder Nutzung personenbe-
zogener Daten im Auftrag nach § 11 BDSG (bzw. nach § 80 SGB X, wenn
es sich bei den Daten um Sozialdaten nach § 67 SGB X handelt) oder um
eine Funktionsubertragung handelt. Die beiden Rechtsbegriffe schließen sich
gegenseitig aus und haben auch unterschiedliche Rechtsfolgen.
Bei der sog. Auftragsdatenverarbeitung verbleibt die datenschutzrechtliche
Verantwortung uneingeschrankt beim Auftraggeber. Ein schriftlicher Vertrag
zwischen Auftraggeber und Auftragnehmer ist hierbei zwingend erforderlich.
§ 11 Abs. 2 BDSG definiert einen 10-Punkte-Katalog, welcher die Vorausset-
zungen fur eine Auftragsdatenverarbeitung explizit festlegt.
22
3 DATENSCHUTZ
§ 11 Abs. 2 BDSG:
[. . .] Der Auftrag ist schriftlich zu erteilen, wobei insbesondere
im Einzelnen festzulegen sind:
1. der Gegenstand und die Dauer des Auftrags,
2. der Umfang, die Art und der Zweck der vorgesehenen Erhe-
bung, Verarbeitung oder Nutzung von Daten, die Art der
Daten und der Kreis der Betroffenen,
3. die nach § 9 zu treffenden technischen und organisatori-
schen Maßnahmen,
4. die Berichtigung, Loschung und Sperrung von Daten,
5. die nach Absatz 4 bestehenden Pflichten des Auftragneh-
mers, insbesondere die von ihm vorzunehmenden Kontrol-
len,
6. die etwaige Berechtigung zur Begrundung von Unterauf-
tragsverhaltnissen,
7. die Kontrollrechte des Auftraggebers und die entsprechen-
den Duldungs- und Mitwirkungspflichten des Auftragneh-
mers,
8. mitzuteilende Verstoße des Auftragnehmers oder der bei
ihm beschaftigten Personen gegen Vorschriften zum Schutz
personenbezogener Daten oder gegen die im Auftrag getrof-
fenen Festlegungen,
9. der Umfang der Weisungsbefugnisse, die sich der Auftrag-
geber gegenuber dem Auftragnehmer vorbehalt,
10. die Ruckgabe uberlassener Datentrager und die Loschung
beim Auftragnehmer gespeicherter Daten nach Beendigung
des Auftrags.
Der Vertrag sollte dabei insbesondere Regelungen zu den oben genannten
Punkten enthalten. Der Cloud-Anbieter unterliegt als Auftragnehmer den
Weisungen des Cloud-Nutzers und ist somit nicht entscheidungsbefugt, was
23
3 DATENSCHUTZ
die Verarbeitung und Nutzung der Daten betrifft. Außerdem hat sich der
Auftraggeber”vor Beginn der Datenverarbeitung und sodann regelmaßig von
der Einhaltung der beim Auftragnehmer getroffenen technischen und orga-
nisatorischen Maßnahmen zu uberzeugen“ und muss das Ergebnis schriftlich
dokumentieren. Dies darf auch durch unabhangige Stellen realisiert werden.
Stellt ein Rechenzentrum einem Kunden seine DV-Anlage ganz oder teilweise
zur abgeschotteten Datenverarbeitung zur Verfugung, liegt noch keine Auf-
tragsdatenverarbeitung vor. Ubernimmt der Betreiber des Rechenzentrums
aber die Fertigung und Aufbewahrung von Sicherheitkopien, so handelt es
sich um eine Auftragsdatenverarbeitung im Sinne des BDSG [Korffer 2010].
Zur besseren Unterscheidung der beiden Rechtsbegriffe dienen die folgenden
Erkennungsmerkmale [Seiffert 2002, S. 2]:
Auftragsdatenverarbeitung
• fehlende Entscheidungsbefugnis des Auftragnehmers
• weisungsgebundene Unterstutzung
• fehlende (vertragliche) Beziehung des Auftragnehmerszum Betroffenen
• Umgang nur mit Daten, die der Auftraggeber zurVerfugung stellt
Funktionsubertragung
• Uberlassung von Nutzungsrechten an den Daten
• eigenverantwortliche Sicherstellung von Zulassigkeit undRichtigkeit der Daten durch den Dienstleister
• Sicherstellen der Rechte von Betroffenen (Benachrichti-gungspflicht, Auskunftsanspruch)
Um eine Funktionsubertragung handelt es sich, wenn eine Datenubermittlung
an Dritte vorgenommen wird. Als Dritte gelten alle naturlichen oder juristi-
schen Personen außerhalb der verantwortlichen Stelle (§ 3 Abs. 8 BDSG). Die
24
3 DATENSCHUTZ
Entscheidungsbefugnis uber die Daten und somit auch die Verantwortlichkeit
sind ein wichtiges Abgrenzungskriterium zur Auftragsdatenverarbeitung.
Zur rechtlichen Einordnung von Cloud-Computing-Systemen waren Einzel-
fallprufungen notwendig. Es ist aber davon auszugehen, dass Cloud Com-
puting mit seinen Serviceleistungen (flexible und dynamische Bereitstellung
von Hard- und Software) in den meisten Fallen in den Bereich der Auftrags-
datenverarbeitung fallt [Weichert 2010, S. 682].
3.1.1.1 Branchenspezifische Besonderheiten
Zusatzlich zum BDSG sind unter Umstanden weitere branchenspezifische
Anforderungen umzusetzen9. Die gilt insbesondere fur
• Geheimnistrager (§ 203 StGB),
• Sozialdaten (§§ 80ff. SGB X),
• den Finanzdienstleistungssektor (§ 25a KWG),
• den Telekommunikationsbereich (TKG) und
• Anwendungen mit steuerrelevanten Daten (§§ 146f. AO).
Aus juristischer Sicht ist bei komplexen Dienstleistungsangeboten wie dem
Cloud Computing immer Vorsicht geboten, da es haufig an einer gesetzgebe-
rischen Klarstellung mangelt [Duisberg 2011, S. 65].
3.1.2 In der Europaischen Union
In der Geschichte Europas gibt es verschiedene Ansatze, einen Mindeststan-
dard fur den Datenschutz zu etablieren. 1981 gab es erste Vorstoße des Eu-
roparates, die Mitgliedsstaaten zur Unterzeichnung der Europaischen Da-
9Diese Aufzahlung erhebt keinen Anspruch auf Vollstandigkeit. Hier soll deutlich wer-den, dass es neben den bekannten Datenschutzgesetzen viele weitere Gesetze und Rege-lungen gibt, die (je nach Branche) beachtet werden mussen.
25
3 DATENSCHUTZ
tenschutzkonvention (EuDSK) zu bewegen. Die Konvention enthalt die Ver-
pflichtung, die Bestimmungen in nationales Recht umzusetzen (Art. 4 Abs. 1
EuDSK). Das Schnutzniveau dieser Konvention war allerdings relativ nied-
rig, was daran lag, dass sich Art. 12 Abs. 2 EuDSK bezuglich des Schutz-
niveaus dem Mitgliedsstaat mit dem geringsten Schutzniveau anpasste. Das
Problem in Bezug auf den Datenaustausch war damit noch nicht gelost und
das Europaische Parlament forderte 1982 von der Europaischen Kommission
eine verbindliche Datenschutzrichtlinie, welche 1990 in einem ersten Entwurf
vorgelegt wurde. Die Mitgliedsstaaten kritisierten an dem Entwurf, dass er
ein zu hohes Schutzniveau habe, wahrend das Europaische Parlament einen
nicht ausreichenden Datenschutz bemangelte [Riegel 1991, S. 316]. 1992 wur-
de ein zweiter Entwurf vorgelegt, welcher erst am 24. Oktober 1995 vom
Rat der Europaischen Union verabschiedet wurde. Die Europaische Daten-
schutzrichtlinie konnte erstmals Mindeststandards fur den Datenschutz in
der EU etablieren. Den Mitgliedsstaaten wurde eine Frist von drei Jahren
eingeraumt, die Richtlinie in nationales Recht umzusetzen (Art. 32 Abs. 1
Richtlinie 95/46/EG). Nur so kann sichergestellt werden, dass die bis da-
hin unterschiedlichen nationalen Datenschutzgesetze auf hohem Niveau an-
gepasst werden.
Die Richtlinie regelt die Verarbeitung personenbezogener Daten im privaten
und offentlichen Sektor. Sie ist laut Art. 2 fur automatisierte und struktu-
rierte manuelle Sammlungen personenbezogener Daten gultig, was bedeutet,
dass Sammlungen von Karteikarten erfasst werden, unstrukturierte Akten je-
doch nicht. Art. 7 der Richtlinie (”Grundsatze in Bezug auf die Zulassigkeit
der Verarbeitung von Daten“) definiert die Voraussetzungen, von denen min-
destens eine zur Datenverarbeitung erfullt sein muss:
• Einwilligung des Betroffenen zur Verarbeitung (Art.7 Buchst. a),
• Erfullung eines mit dem Betroffenen geschlossenen Vertrages (Art. 7
Buchst. b, c) oder
• die Verarbeitung zur Verwirklichung eines berechtigten Interesses eines
26
3 DATENSCHUTZ
Verantwortlichen – sofern nicht das Interesse des Betroffenen uberwiegt
(Art. 7 Buchst. d, e, f ).
1997 wurde die Richtlinie durch die ISDN-Richtlinie (Richtlinie 97/66/EG
zum Schutz naturlicher Personen bei der Verarbeitung personenbezogener
Daten und zum freien Datenverkehr) erganzt, welche aber aufgrund der ra-
santen Entwicklungen im Telekommunikationsbereich bereits 2002 uberarbei-
tet werden musste. Es folgte die Richtlinie 2002/58/EG uber die Verarbeitung
personenbezogener Daten und den Schutz der Privatsphare in der elektro-
nischen Kommunikation, welche telekommunikationsspezifische Regelungen
zum Datenschutz beinhaltet. Weitere Erganzungen fanden 2006 (Richtlinie
2006/24/EG uber die Vorratsspeicherung von Daten) und 2009 (Richtlinie
2009/136/EG) statt. Die letzte Anderung der EU-Datenschutzrichtlinie trat
am 19. Dezember 2009 in Kraft.
3.1.3 International
Die EU-Datenschutzrichtlinie verbietet grundsatzlich die Erhebung, Verar-
beitung und Speicherung von Daten außerhalb der EU/des EWR. Auf die
Auftragsdatenverarbeitung kann nur zuruckgegriffen werden, wenn sich der
Sitz des Cloud-Anbieters innerhalb der EU oder im EWR befindet und
die Daten auch dort verarbeitet werden (§ 3 Abs. 8 BDSG). Gleiches gilt,
wenn ein Cloud-Anbieter Rechenzentren in der EU nutzt, unabhangig da-
von, wo sich sein Firmensitz befindet. Handelt es sich um einen Server oder
ein Rechenzentrum außerhalb Europas, greift der Datenschutzstandard der
EU nicht. Es ist aber moglich, dass sich nach dem nationalen Recht fur
den Anbieter weitere Pflichten ergeben, beispielsweise die Weitergabe von
Daten an offentliche Stellen. Dies gilt auch fur Falle, in denen ein Un-
ternehmen mit Hauptsitz außerhalb der EU und einem Cloud-Computing-
anbietenden Sitz in Deutschland dem auslandischen Datenschutzrecht unter-
liegt. Die Ubertragung personenbezogener Daten aus der EU / des EWR hin-
aus ist nur unter Vorbehalt gestattet (Artikel 25 und 26 der EU-Datenschutz-
27
3 DATENSCHUTZ
richtlinie). Laut Bundesdatenschutzgesetz bedarf eine Datenubermittlung ei-
ner besonderen Rechtfertigung. So muss der Empfanger der Daten ein”an-
gemessenes Datenschutzniveau“ sicherstellen (§ 4b Abs. 2,3 BDSG). Die
Europaische Kommission hat den Landern Argentinien, Guernsey, Isle of
Man, Kanada und der Schweiz solch ein angemessenes Datenschutzniveau
bestatigt10. Fur diese Lander gelten somit die gleichen Regelungen bezuglich
der Ubermittlung personlicher Daten wie fur Mitgliedstaaten der EU. Ein
Dienstleister in einem unsicheren Drittland ist datenschutzrechtlich als Drit-
ter anzusehen (§ 3 Abs. 8 Satz 3 BDSG). Eine Datenubermittlung an Dritte
ist zulassig, wenn eine entsprechende Einwilligung vorliegt. Es ist allerdings
davon auszugehen, dass normalerweise keine Einwilligung des Betroffenen
eingeholt wird. In diesem Fall musste fur eine Datenubermittlung ein in § 4c
Abs. 1 BDSG aufgefuhrter Tatbestand vorliegen.
3.1.3.1 Safe Harbor Abkommen
Die USA verfugen uber keine mit dem deutschen oder dem europaischen Da-
tenschutz vergleichbaren Gesetze oder Regelungen und finden sich folglich
auch nicht auf der Liste der Lander mit einem angemessenem Datenschutz-
niveau. Sie sind einer der wichtigsten Handelspartner und eine Ubertragung
personenbezogener Daten dorthin ist oft nicht nur unvermeidbar, sie soll
zugunsten der wirtschaftlichen Zusammenarbeit auch weiter gefordert wer-
den. Aus diesem Grund wurde das Safe Harbor Abkommen geschlossen, wel-
ches einen ausreichenden Schutz gewahrleisten soll. US-Unternehmen konnen
dem Abkommen beitreten, wenn sie sich selbst verpflichten, die von der un-
abhangigen Bundesbehorde Federal Trade Commission (FTC) vorgegebenen
sieben Safe Harbor Prinzipien einzuhalten:
1. Notice (Benachrichtigung)
Unternehmen mussen die Betroffenen uber die Art der Datenerhebung
10Eine aktuelle Liste von Landern mit angemessenem Datenschutzniveau findetsich auf der Seite der Europaischen Kommission: http://ec.europa.eu/justice/
data-protection/bodies/authorities/third-countries/index_en.htm
28
3 DATENSCHUTZ
und -verarbeitung sowie uber ihren Zweck, die Empfanger und die
Wahlmoglichkeiten hinsichtlich der Begrenzung und der Nutzung und
Ubermittlung informieren.
2. Choice (Wahlmoglichkeit)
Betroffene mussen die Moglichkeit haben, der Weitergabe ihrer Daten
an Dritte oder der Nutzung fur andere Zwecke zu widersprechen.
3. Onward Transfer (Ubermittlung)
Wenn ein Unternehmen Daten an Dritte weitergibt, darf dies nur un-
ter der Voraussetzung der ersten beiden Prinzipien (Notice, Choice)
erfolgen.
4. Access (Zugang)
Betroffene mussen die Moglichkeit haben, die uber sie gespeicherten
Daten einzusehen und sie unter Umstanden zu berichtigen, erganzen
oder zu loschen. Sind die Kosten oder der Aufwand dafur jedoch un-
verhaltnismaßig hoch, so ist eine Ausnahme von diesem Prinzip moglich.
5. Security (Datensicherheit)
Unternehmen mussen angemessene technische und organisatorische Maß-
nahmen treffen, um die Daten vor Verlust, Veranderung, Zerstorung
und Missbrauch zu schutzen.
6. Data integrity (Datenintegritat)
Es muss sichergestellt sein, dass die erhobenen Daten korrekt, vollstandig
und zweckdienlich sind.
7. Enforcement (Durchsetzung)
Unternehmen mussen Vorkehrungen treffen, welche die Umsetzung aller
Safe Harbor Prinzipien sicherstellen.
Zusatzlich zu den sieben Prinzipien gibt es als Erganzung dazu 15 verbind-
liche Frequently Asked Questions (FAQ) des US Handelsministeriums (De-
partment of Commerce), welche die Safe Harbor Prinzipien konkretisieren.
29
3 DATENSCHUTZ
Fur ein Unternehmen gibt es zwei Moglichkeiten, an dem Safe Harbor Ab-
kommen teilzunehmen. Entweder gibt es eine eigene (Safe Harbor konforme)
Datenschutzerklarung ab oder tritt einem selbstregulierenden Datenschutz-
programm bei. Eine Liste mit den zertifizierten Unternehmen kann online11
eingesehen werden. Nicht zertifizierbar sind Finanzinstitute, Telekommuni-
kationsanbieter, Luftverkehrsunternehmen, Fleischwarenproduzenten sowie
Vieh- und Fleischhandler [Marnau 2011b, S. 313].
Eine gultige Safe Harbor Zertifizierung des Cloud-Anbieters befreit den Cloud-
Nutzer jedoch keinesfalls von seiner Pflicht, schriftliche Vereinbarungen gemaß
§ 11 Abs. 2 BDSG zu treffen.
Das Safe Harbor Abkommen erhebt den Anspruch, dem geltenden europa-
ischen Recht zu genugen und ist seit dem 26. Juli 2000 in der EU annerkannt
[EU-Kommission 2000], dennoch gibt es keine flachendeckende Kontrolle der
Zertifizierungen. Der australische Datenschutzexperte Connolly untersuchte
das Abkommen und kam zu dem Ergebnis, dass das Safe Harbor Abkommen
in dieser Form nutzlos ist, da viele der zertifizierten Unternehmen die Safe
Harbor Prinzipien (insbesondere Grundsatz 7 – Durchsetzung) nicht einge-
halten haben oder die Zertifikate bereits abgelaufen (und somit ungultig)
waren. Zum Teil fanden sich auch Unternehmen auf der vom US Handelsmi-
nisterium gefuhrten Unternehmensliste, die uberhaupt nicht zertifiziert wa-
ren. Sanktionen wurden nur außerst selten verhangt [Connolly 2008]. Der
Dusseldorfer Kreis (die Vereinigung der obersten Aufsichtsbehorden fur den
Datenschutz im nicht-offentlichen Bereich) beschloss im April 2010, dass das
Safe Harbor Abkommen nicht die notige Verlasslichkeit biete [BFDI 2010].
Um nicht in Konflikt mit dem europaischen Datenschutz zu stehen, hat der
Nutzer trotz bestehender Safe Harbor Zertifizierung des Vertragspartners die
Mindeskriterien fur den Datenexport (insbesondere die Gultigkeit der Zer-
tifizierung und die Einhaltung der Informationspflicht) zu prufen. Der Lei-
ter des unabhangigen Landeszentrums fur Datenschutz Schleswig-Holstein
Weichert fand anlasslich des 10. Geburtstages des Safe-Harbor-Abkommens
11http://safeharbor.export.gov/list.aspx
30
3 DATENSCHUTZ
sehr kritische Worte:”Aus Datenschutzsicht konnte es nur eine Konsequenz
aus den bisherigen Erfahrungen geben – Safe Harbor sofort zu kundigen“
[ULD 2010]. Ein ausreichender Schutz auf europaischem Niveau wird durch
das Safe Harbor Abkommen nicht gewahrleistet.
Abbildung 9: Lediglich 22% der Safe Harbor zertifizierten Unternehmenerfullen die erforderlichen Voraussetzungen [Connolly 2008] [Borgmann 2012,S. 37]
3.2 Anwendbarkeit des Datenschutzrechts
Das Datenschutzrecht kann nur angewendet werden, wenn es sich bei den zu
verarbeitenden Daten um personenbezogene Daten handelt. Eine anonymi-
sierte Datenverarbeitung ist zulassig, solange keine Reidentifizierung moglich
ist. Aus technischer Sicht ist davon auszugehen, dass es sich beim Cloud Com-
puting um eine Auftragsdatenverarbeitung nach § 11 BDSG handelt (wie
und nach welchen Kriterien zwischen Auftragsdatenverarbeitung und Funkti-
onsubertragung unterschieden wird, wird in Kapitel 5 anhand von Beispielen
verdeutlicht). Der Cloud-Nutzer ist demnach (als verantwortliche Stelle nach
§ 3 Abs. 7 BDSG, Art. 2 Buchst. d) 4 Richtlinie 95/46/EG) fur die Art und
Weise der Datenverarbeitung verantwortlich, er muss also die Integritat und
31
3 DATENSCHUTZ
die Vertraulichkeit der Daten sicherstellen konnen. Des Weiteren muss er als
Auftraggeber die vertraglichen Rahmenbedingungen nach § 11 BDSG (vgl.
Kapitel 3.1.1) festlegen. Der Cloud- und ggf. weitere Ressourcen-Anbieter
sind als Auftragnehmer auf die Vorgaben des Cloud-Nutzers angewiesen. In
Ausnahmefallen kann auch ein Cloud-Anbieter verantwortliche Stelle sein,
wenn er selbst Dienstleistungen anbietet [Art.-29-DSG 2010b, S. 27]. Eine
Datenverarbeitung innerhalb des EU/EWR-Raums wird als zulassig angese-
hen. Clouds außerhalb des EWR sind generell unzulassig, wobei Ausnahmen
bei festgestellter Angemessenheit des Datenschutzniveaus moglich sind.
Der Datenschutz knupft an den Ort an, an dem die Datenverarbeitung statt-
findet [Weichert 2010, S. 682]. Hat eine Stelle eine Niederlassung in Deutsch-
land, greift das Territorialitatsprinzip, es gilt in diesem Fall das BDSG. In der
EU / im EWR gilt bezuglich des grenzuberschreitenden (innereuropaischen)
Datenverkehrs das Sitzprinzip (Art. 4 Richtlinie 95/46/EG). Dies besagt,
dass das Recht desjenigen Landes Anwendung findet, in dem die fur die Da-
tenerhebung oder -verarbeitung verantwortliche Stelle ihren Sitz hat – fur
eine Firma mit Sitz in Italien gilt nach wie vor das nationale italienische
Recht.
Problematisch wird die Anwendbarkeit des Datenschutzrechts, wenn es sich
bei dem Ort der Datenverarbeitung um ein (unsicheres) Drittland handelt.
Eine Ubertragung und Verarbeitung personenbezogener Daten ist moglich,
”wenn der fur die Verarbeitung Verantwortliche ausreichende Garantien hin-
sichtlich des Schutzes der Privatsphare, der Grundrechte und der Grundfrei-
heiten der Personen sowie hinsichtlich der Ausubung der damit verbundenen
Rechte bietet“ (Art. 26 Abs. 2 Richtlinie 95/46/EG). Dies kann vertraglich,
z.B. durch die Verwendung von EU-Standardvertragsklauseln, oder auch mit
Hilfe von Binding Corporate Rules umgesetzt werden. Grundsatzlich muss
jede Datenubermittlung aus Deutschland zulassig bzw. gerechtfertigt sein.
32
3 DATENSCHUTZ
3.3 Gefahren
3.3.1 Rechtsunsicherheit
Rechtsunsicherheit kann dazu fuhren, dass nur unzureichende oder uberhaupt
keine Datenschutzmaßnahmen durchgefuhrt werden. Aus diesem Grund sollte
geklart sein, wer fur die Verarbeitung von personenbezogenen Daten verant-
wortlich ist. Dabei sind dann in erster Linie die Maßstabe der Auftragsda-
tenverarbeitung zu beachten. Wird der Service ganz oder teilweise in einem
Drittland angeboten, muss sichergestellt sein, dass das Datenschutzniveau
”den Anforderungen des fur den Auftraggeber geltenden Datenschutzrechts
entspricht“ [Munch 2010, S. 257] (§ 4b,c BDSG). Die Herausforderung be-
steht darin, ausreichend Klarheit zu schaffen, um eine wirksame Anwendung
und Einhaltung des Datenschutzes in der Praxis zu ermoglichen und sicher-
zustellen.
3.3.2 Drittzugriff
Eine zentrale Frage bei der Nutzung von Cloud Computing Systemen ist die
des Drittzugriffs: Wer darf (legal) und wer kann (illegal) auf die in der Cloud
gespeicherten Daten zugreifen?
Fur den legalen Drittzugriff spielt der Ort der Datenverarbeitung eine ent-
scheidene Rolle. Es gelten die nationalen Gesetze des Staates, in dem sich
die Daten physisch befinden oder in dem das Unternehmen seinen Hauptsitz
hat. Haufig sind es Behorden der inneren Sicherheit (Polizei, Geheimdienste,
Strafverfolgungsbehorden), welchen ein legaler Zugang zu den Daten gewahrt
werden muss [Weichert 2010, S. 683]. Auch Behorden, die primar nicht mit
der Strafverfolgung betraut sind, konnen ggf. auf die Cloud-Daten zugreifen
(z.B. Finanz- oder Einwanderungsbehorden). Insbesondere in Landern ohne
Grundrechts- und Rechtsschutzstandard handelt es sich bei solchen Zugriffen
um existenzielle Gefahrdungen (vgl. [Weichert 2010, S. 684]).
Eine weitere legale Moglichkeit, auf die Cloud Daten zuzugreifen existiert fur
33
3 DATENSCHUTZ
US-Amerikanische Behorden. Die Rechtsgrundlage bildet der USA PATRI-
OT Act (Uniting and Strengthening America by Providing Appropriate Tools
Required to Intercept and Obstruct Terrorism Act), ein amerikanisches Bun-
desgesetz, welches 2001 als Reaktion auf die Anschlage vom 11. September
vom Kongress verabschiedet wurde. Dieses Gesetz ermoglicht dem FBI, vom
FISC (Foreign Intelligence Surveillance Court) Zugang zu allen benotigten
Daten zu erhalten [Boken 2012, S. 110]. Des Weiteren kann das FBI selbst
einen National Security Letter (NSL) erlassen, welcher Internetprovider ver-
pflichtet, dem FBI Daten zu ubermitteln. Eine Informations- oder Auskunfts-
pflicht gegenuber den Betroffenen gibt es hier nicht. Verhindert werden kann
dieser legale Zugriff nur mit Hilfe entsprechender technischer Vorkehrungen
(z.B. Verschlusselung). In Deutschland gelten dafur folgende gesetzliche Re-
gelungen:
• Richten sich die Ermittlungen gegen den Besitzer des Rechners oder des
Datentragers, muss grundsatzlich kein Schlussel herausgegeben werden.
• Richten sich die Ermittlungen gegen Dritte, kann die Herausgabe des
Schlussels verweigert werden (Recht auf Zeugnis- oder Aussageverwei-
gerung).
In Großbritannien durfen Ermittlungsbehorden unter Strafandrohung die
Herausgabe von Schlusseln verlangen. Rechtsgrundlage bildet Telekommu-
nikationsuberwachungsgesetz RIPA (Regulation of Investigatory Powers Act
2000). In den USA ist ein richterlicher Durchsuchungsbeschluss notwendig,
um die Schlusselherausgabe zu legitimieren.
Neben dem legalen Zugriff, welcher von den unterschiedlichen nationalen Ge-
setzen abhangig ist, existiert auch die Gefahr des illegalen Drittzugriffs. Diese
Gefahr kann allerdings durch geeignete technisch-organisatorische Maßnah-
men (siehe § 9 BDSG, Art. 17 Abs. 1 Richtlinie 95/46/EG) reduziert wer-
den. Mogliche Szenarien fur einen illegalen Drittzugriff werden in Kapitel 4.2
(S. 42) naher beschrieben.
34
3 DATENSCHUTZ
3.4 Angebote der Anbieter
Die Angebote der Cloud-Anbieter variieren im Bereich Datenschutz sehr
stark. Deutsche Nutzer einer Cloud sind an das deutsche Datenschutzrecht
gebunden und folglich kommen fur sie auch nur Cloud Angebote in Frage,
die dem europaischen Datenschutzstandard genugen (EU/EWR-Clouds). Der
Cloud Nutzer hat nur die Moglichkeit, sich auf die Aussagen der Anbieter
zu verlassen, da er sich selbst in der Regel nicht von den technischen und
organisatorischen Maßnahmen (§ 9 BDSG) uberzeugen kann. Die Zeitschrift
iX befragte die großen Cloud-Anbieter zum Thema Datenschutz und stellte
fest, dass lediglich Fujitsu, HP und Microsoft eine reine EU/EWR-Cloud be-
treiben und die gemaß § 11 BDSG erforderlichen Vorgaben berucksichtigen.
Die anderen befragten Unternehmen sahen entweder keinen Anlass fur eine
Stellungnahme oder reagierten gar nicht auf die Anfrage (siehe [Boken 2012,
S. 113]).
Eine Umfrage der EU-Kommission kam u.a. zu dem Ergebnis, dass besonders
das Fehlen eines einheitlichen rechtlichen Rahmens negative Auswirkungen
auf den Cloud Computing Markt habe [EU-Kommission 2011]. Befragt wur-
den Unternehmen, Einzelpersonen und offentliche Einrichtungen. Die Kom-
mission arbeitet derzeit an einer neuen Fassung der Richtlinie 95/46/EG,
da”internationale Vereinbarungen uber Prinzipien wie Zertifizierung, Daten-
schutz und Datensicherheit dringend notwendig [sind]“ [EU-Kommission 2011,
S. 7]. Die USA beanspruchen als wichtiger Handelspartner ein Mitsprache-
recht bei der Datenschutzreform [USGov 2012].
Fur die Cloud-Anbieter sind es – trotz einheitlicher Datenschutzrichtlinie
– die unterschiedlichen Datenschutzregeln innerhalb der EU, die zu einer
Rechtsunsicherheit fuhren [Kirsch 2011], fur die Cloud-Anwender ist es das
Problem der Auftragsdatenverarbeitung, dessen Anforderungen beim Cloud
Computing”hinsichtlich der Aufsichts- und Kontrollbefugnisse des Kunden“
[Duisberg 2011, S. 59] nur schwer oder gar nicht erfullbar sind.
35
3 DATENSCHUTZ
36
4 DATENSICHERHEIT
4 Datensicherheit
Definition Datensicherheit:
Datensicherheit ist die Menge der Maßnahmen zum Schutz
des Betreibers (Anwenders) im Hinblick auf die Funkti-
onsfahigkeit von DV-Systemen, insbes. zum Schutz vor
Verfalschung und Verlust von Daten und vor unberechtig-
ten Zugriffen auf Daten. [Kubicek 2007]
Das Thema Datensicherheit ist fur alle Beteiligten eines IT-Systems (Anbie-
ter, Nutzer) von großer Bedeutung. In der deutschen Sprache ist der Begriff
Sicherheit nicht aussagekraftig genug, im Englischen hingegen gibt es mit
Safety und Security eine sinnvolle Unterscheidung: Security beschreibt den
Schutz gegen beabsichtigte Angriffe, Safety den Schutz gegen unbeabsichtigte
Ereignisse (siehe Tabelle 2).
Security Safety
Vertraulichkeit: Anonymitat, Un-beobachtbarkeit,Unverkettbarkeit,Pseudonymitat,Abhorsicherheit,Sicherheit ge-gen unbefugtenGeratezugriff
Verfugbarkeit: Funktionssicherheit,technische Sicher-heit
Integritat: Zurechenbarkeit,Ubertragungs-integritat, Abrech-nungssicherheit
SonstigeSchutzziele:
Maßnahmen gegenhohe Gesundheits-belastung
Verfugbarkeit: Ermoglichen vonKommunikation
Tabelle 2: Abgrenzung von Security und Safety nach Federrath et al.[Federrath 2007, S. 488]
37
4 DATENSICHERHEIT
Abbildung 10: Datensicherheit als Prozess [Kappes 2007, S. 11]
In diesem Kapitel wird die Datensicherheit im Sinne von Security naher be-
trachtet. Die Datensicherheit unterliegt einem standigen Wandel. Anderungen
an bestehenden Systemen oder neu auftretende Schwachstellen sind perma-
nente Sicherheitsherausforderungen, welche nur bewaltigt werden konnen,
wenn die Datensicherheit als wiederkehrender Prozess verstanden wird (sie-
he Abbildung 10). Die drei Prozessschritte Uberwachung, Analyse/Design
und Umsetzung werden fortlaufend in dieser Reihenfolge bearbeitet, um die
nachfolgend aufgefuhrten Schutzziele sicher stellen zu konnen und eine hohe
Datensicherheit zu gewahrleisten.
4.1 Schutzziele
Die bekanntesten und wichtigsten Schutzziele sind Vertraulichkeit, Integritat
und Verfugbarkeit. Fur das Cloud Computing sind sie jedoch nicht ausrei-
chend. Aus diesem Grund werden an dieser Stelle zusatzlich die Schutzziele
Authentizitat, Transparenz und Zugriffssteuerung beschrieben. Jedes Schutz-
ziel wird durch mindestens eine Schutzmaßnahme umgesetzt.
38
4 DATENSICHERHEIT
4.1.1 Vertraulichkeit
Vertraulichkeit bedeutet, dass die Daten gegen unbefugte Einsichtnahme
geschutzt werden. Unbefugte haben keinen Zugang zu einer gespeicherten
oder ubertragenen Datei. Grundsatzlich kann eine angemessen starke Ver-
schlusselung die gespeicherten oder zu ubertragenden Daten schutzen und die
Vertraulichkeit gewahrleisten. Bei ruhenden Daten (Data at Rest) stellt ei-
ne Verschlusselung kein Problem dar. Auch eine Datenubertragung zwischen
zwei Kommunikationspartnern lasst sich mit Hilfe des Transport Layer Secu-
rity Protokolls (TLS) oder dessen Vorganger, dem Secure Sockets Layer Pro-
tokoll (SSL) sicher gestalten. Problematischer ist die Tatsache, dass im Cloud
Computing haufig mehr als zwei Kommunikationspartner beteiligt sind. In
diesem Fall wird die Unterstutzung weiterer Technologien (z.B. zur Verwal-
tung von Schlusseln) benotigt, um die Vertraulichkeit zwischen den verschie-
denen Akteuren garantieren zu konnen. Die im Cloud Computing immanen-
te Virtualisierung mit entsprechender Rechte- und Benutzerverwaltung hilft,
das Schutzziel Vertraulichkeit sicherzustellen.
4.1.2 Integritat
Das Schutzziel Datenintegritat dient dem Schutz der Daten vor unerwunsch-
ten Veranderungen oder Beschadigungen. Das Bundesamt fur Sicherheit in
der Informationstechnik (BSI) definiert Integritat als”die Sicherstellung der
Korrektheit (Unversehrtheit) von Daten und der korrekten Funktionsweise
von Systemen“ [BSI 2011]. Integritat kann nur gewahrleistet werden, wenn
auch die im virtuellen Speicher der Cloud abgelegten Daten vor Manipulatio-
nen geschutzt und die Cloud-Computing-Systeme fehlerfrei konfiguriert sind.
Eine kryptografische Prufsumme (wie beispielsweise Einweg-Hash-Funktio-
nen) kann Integritatsverletzungen erkennen und diesen somit vorbeugen. Im
Cloud Computing sollte nicht nur der vom Endbenutzer verwendete Cloud-
Service das Schutzziel erfullen, sondern auch alle weiteren beteiligten Kom-
ponenten. Neben der Datenintegritat spricht man in diesem Zusammenhang
39
4 DATENSICHERHEIT
von Software- Konfigurations- und Nachrichtenintegritat [Streitberger 2009,
S. 22]:
Softwareintegritat: Stellt sicher, dass die eingesetzte Software intakt lauft
und sie keine Hinterturen oder vergleichbare Sicherheitslucken aufweist.
Konfigurationsintegritat: Ausschließlich autorisierte Personen durfen die
Konfiguration der Cloud-Ressource oder des Cloud-Services verandern.
Nachrichtenintegritat: Dient dem Schutz von ubertragenen Daten sowohl
innerhalb einer Cloud als auch zwischen verschiedenen Clouds. Neben
den Nutzdaten mussen auch Steuer- und Protokolldaten geschutzt wer-
den, um diesem Ziel gerecht zu werden.
4.1.3 Verfugbarkeit
Eine hohe Verfugbarkeit gewahrleistet, dass Anwendungen und Services von
dem Anwender wie vorgesehen genutzt werden konnen [BSI 2011]. Die DIN-
Norm 40041 definiert Verfugbarkeit als”die Wahrscheinlichkeit, ein System
zu einem gegebenen Zeitpunkt in einem funktionsfahigen Zustand anzutref-
fen“. Zur Angabe der Verfugbarkeit wird der Prozentsatz der Zeit angegeben,
in der ein System tatsachlich nutzbar ist. Dieser errechnet sich wie folgt:
Verfugbarkeit =Gesamtzeit− Ausfallzeit
Gesamtzeit
Die Ausfallrate wird als Einerkomplement der Verfugbarkeit dargestellt:
Ausfallrate = 1− Verfugbarkeit
Eine Verfugbarkeit von 0, 999 (also 99, 9%) entspricht einer Ausfallzeit von
8,76 Stunden pro Jahr (wenn man als Grundlage einen durchgangigen Betrieb
von 24× 7× 365 Stunden annimmt). Um eine hohe Verfugbarkeit in Cloud-
Computing-Systemen sicherstellen zu konnen ist es notwendig, dass alle be-
teiligten Entitaten eine hohe Verfugbarkeit aufweisen. Neben den verschiede-
40
4 DATENSICHERHEIT
nen Komponenten eines Systems konnen dies auch Cloud- und Ressourcen-
Anbieter sein. Fur die Verfugbarkeitsbewertung von Cloud-Computing- Sys-
temen sind besonders die Daten- und die Applikationsverfugbarkeit relevant.
Eine hohe Datenverfugbarkeit ist gegeben, wenn es nahezu keinen Datenver-
lust gibt und auf die notwendigen Daten fast jederzeit zugegriffen werden
kann. Die Applikationsverfugbarkeit gibt Auskunft uber die Ausfall- bzw.
Betriebszeiten der Anwendungen. Um die Gesamtverfugbarkeit eines Cloud-
Computing-Systems zu berechnen, mussen die Verfugbarkeiten aller beteilig-
ten Komponenten (V (K)) multipliziert werden:
Verfugbarkeitgesamt =n∏
i=1
Vi = V (K1) · V (K2) · . . . · V (Kn)
Eine hohe Verfugbarkeit ist eine große Herausforderung, da vor allem Public
Clouds uber offentliche Netze erreichbar sind und somit auch den Gefahren
offentlicher Netze (z.B. Denial-of-Service-Angriffen) ausgeliefert sind. Dieses
Schutzziel kann durch die Schutzmaßnahmen Redundanz im Systemaufbau
(z.B. Ersatzkomponenten und automatisiertes Umschalten) und Einsatz von
Virtualisierungstechniken gewahrleistet werden. Die Cloud Umgebung eines
Nutzers wird somit durch den Ausfall eines Servers nur sehr selten beein-
trachtigt. Große Cloud-Anbieter garantieren sogar einen reibungslosen und
verlustfreien Betrieb, selbst wenn ein komplettes Rechenzentrum ausfallt.
4.1.4 Authentizitat
Unter dem Begriff Authentizitat (auf Echtheit gepruft, zuverlassig) wird
die Glaubwurdigkeit eines Objekts bzw. Subjekts verstanden. Die Authen-
tizitat einer Information ist die sichere Zuordnung zum Sender und der
Nachweis, dass die Information nach der Erstellung und dem Versand nicht
mehr verandert worden ist. Eine Tauschung des Empfangers durch den Sen-
der wird somit ausgeschlossen.”Die Uberprufung der Authentizitat [. . . ]
ist die Voraussetzung fur die Realisierung weiterer Sicherheitsanforderun-
gen wir Integritat und Vertraulichkeit“ [Eckert 2012, S. 459]. Eine Iden-
41
4 DATENSICHERHEIT
tifikation der Kommunikationspartner ist dazu zwingend erforderlich. Im
Cloud Computing kann es sich bei den Kommunikationspartnern neben rea-
len Menschen um Anwendungen oder um Cloud-Komponenten handeln. Zur
Gewahrleistung der Authentizitat werden ublicherweise digitale Signaturen
und/oder Passworter eingesetzt. Um eine vollstandige Authentizitat sicher-
zustellen sollte sich nicht nur der Cloud-Nutzer gegenuber dem Cloud-Service
authentifizieren, sondern auch umgekehrt.
4.1.5 Transparenz
Transparenz soll ein System (oder Teilsystem) fur eine Entitat erkennbar /
beobachtbar machen. Unter einer Entitat versteht man (je nach Situation und
Anwendungsfall) Komponenten, Systeme oder Menschen. Transparenz dient
dem Zweck, die Rechtskonformitat eines Systems insbesondere im Bereich
des Datenschutzes mit den entsprechenden technischen und organisatorischen
Maßnahmen nachweisen zu konnen. Eine dienliche Schutzmaßnahme ist die
gesicherte Dokumentation der Entitaten, Operationen und Zeiten.
4.1.6 Zugriffskontrolle
Die Dienste und die Infrastruktur mussen gegen die Benutzung Unbefugter
geschutzt sein. Die Zugriffskontrolle beschreibt, wie und in welcher Form
auf Ressourcen zugegriffen werden kann und wie diese Ressourcen geschutzt
werden. Unterschieden wird dabei zwischen der physischen und der logischen
Zugriffskontrolle.
4.2 Szenarien
Um die Datensicherheits-Problematik zu verdeutlichen, werden hier die ver-
breitetsten Angriffe auf eine Cloud vorgestellt. Angriffe, die aufgrund der
enormen Rechenleistung von einer Cloud ausgehen, um beispielsweise Brute-
Force-Angriffe durchzufuhren, werden in dieser Arbeit nicht weiter behandelt.
42
4 DATENSICHERHEIT
4.2.1 Externe Angriffe
4.2.1.1 Angriffe auf den Datentransport
In Cloud Computing Systemen mussen große Datenmengen vor ihrer Ver-
arbeitung zunachst uber Rechnernetze transportiert werden. Das geschieht
nicht nur zwischen dem Anwender und dem Cloud Dienstleister, sondern
auch zwischen den verschiedenen Rechenzentren des Dienstleisters und auch
innerhalb eines Rechnzentrums. Jeder Datentransport birgt dabei ein Risi-
ko, da die Daten abgehort, blockiert oder verfalscht werden konnen. Dieses
Risiko ist in der Regel jedoch eher als gering einzustufen, wachst aber mit
der zu ubermittelnden Menge an Daten und der Anzahl der am Transport
beteiligten Kommunikationsknoten.
Eine Abhilfe bietet die Transportverschlusselung. Sofern eine einzelne Verbin-
dung geschutzt werden soll, eignen sich Verfahren wie SSL/TLS. Fur komple-
xe Systeme bieten sich virtuelle private Netze (VPN) an. In der Regel ist nur
eine begrenzte Anzahl an Kommunikationspartnern am Cloud Computing
beteiligt. So bietet sich die Moglichkeit, dass Zertifikate, welche fur die Au-
thentifizierung der beteiligten Komponenten verwendet werden, sorgfaltiger
gepruft werden, als bei der allgemeinen Kommunikation im Internet. Die
allgemeine Kommunikation im Internet birgt die Gefahr eines Man-in-the-
middle-Angriffs, bei dem mit illegitimen Zertifikaten ein weiterer Kommuni-
kationspartner eingeschleust wird. Durch die uberschaubare Anzahl an Zerti-
fikaten ist dieses Problem beim Cloud Computing leicht zu vermeiden. Fehler
bei der Implementierung der Verschlusselung stellen aber nach wie vor eine
Gefahr dar (vgl. [Bachfeld 2010]).
4.2.1.2 Angriffe auf die Cloud-Anwendung
Angriffe auf Cloud-Anwendungen funktionieren ahnlich wie Angriffe auf lo-
kale Anwendungen. Eine Cloud Anwendung benotigt aber (im Gegensatz zu
einer lokalen Anwendung) eine Verbindung zum Internet oder zum Unterneh-
mensnetzwerk, uber die sie gewartet und genutzt werden kann. Diese Ver-
43
4 DATENSICHERHEIT
bindungen sind es, die sich externe Angreifer zu Nutze machen, um auf die
Daten zuzugreifen. Als Sicherheitsmaßnahme gegen diese Bedrohung sollte
man Rechner mit besonders kritischen Daten ohne Netzanschluss betreiben,
was eine deutlich hohere Sicherheit bietet aber außerst unpraktisch ist. Doch
auch dieses Verfahren bietet keine hundertprozentige Sicherheit. Der Compu-
terwurm Stuxnet hat 2010 gezeigt, dass Schadsoftware auch ohne Netzwerk
uber Datentrager verbreitet werden kann.
Theoretisch bietet eine lokal betriebene Datenverarbeitung einen großeren
Schutz als Cloud-Anwendungen. In der Praxis zeigt sich jedoch immer wie-
der, dass besonders kleine und mittelstandische Unternehmen die Informati-
onstechnik nebenbei pflegen, wahrend externe Cloud-Anbieter professionel-
le IT-Dienstleister sind. Diese garantieren vertraglich festgelegte Leistungen
und konnen bei auftretenden Schaden in Haftung genommen werden konnen.
4.2.1.3 Angriff auf die clientseitigen Anwendungen
Clientseitige Anwendungen, mit denen Cloud-Anwendungen genutzt und ge-
steuert werden, stellen ein weiteres Einfallstor fur Angreifer dar. Hierbei wird
der Computer (bzw. die Anwendung auf dem Computer) eines Benutzers
im Unternehmen kompromittiert. Anschließend konnen seine Passworter ab-
gehort und missbraucht werden oder der Computer wird direkt ferngesteuert
und im weiteren Angriff verwendet. Solch ein Angriff kann z.B. mit Troja-
nern durchgefuhrt werden. In Anlehnung an das Phishing spricht man in
diesem Bereich von Spear-Phishing und Whaling. Diese Variante ist nicht
cloud-spezifisch, wird jedoch moglicherweise im Rahmen des Cloud Compu-
tings zukunftig an Bedeutung gewinnen, da die Schutzvorrichtungen bei den
professionel agierenden Cloud-Anbietern wesentlich besser sein werden, als
bei privat verwalteten Endgeraten.
Der beste Schutz gegen diese Art des Angriffs ist die Schulung der Mitarbei-
ter gegen Social Engineering und Phishing sowie die eigentlich schon selbst-
verstandliche regelmaßige Aktualisierung der Software auf den clientseitigen
44
4 DATENSICHERHEIT
Endgeraten.
Spear-Phishing:Phishing bei einer bestimmten Zielgruppe, etwa Mitarbeiter ei-nes Unternehmens.Whaling:Phishing bei einer besonders lohnenswerten Person mit weitrei-chenden Rechten, wie hohe Fuhrungskrafte oder Administrato-ren.
4.2.1.4 Der Kunde als Angreifer
Ein externer Angreifer kann versuchen, den Angriff auf eine Cloud-Anwendung
dadurch zu erleichtern, indem er selbst Kunde bei dem entsprechenden Cloud-
Anbieter wird. Die hier beschreibenen Sicherheitslucken sind teilweise schon
lange geschlossen, sie sollen aber einen Eindruck vermitteln, welche Moglich-
keiten bestanden und unter Umstanden noch bestehen.
4.2.1.4.1 Ubernahme von Sessions Der betrugerische Kunde meldet
sich mit seinen eigenen legitimen Zugangsdaten an und versucht anschlie-
ßend durch die Manipulation seines Datenverkehrs mit dem Server zusatzliche
Rechte zu bekommen oder die Session von einem anderen Kunden direkt zu
stehlen.
Die Sicherheitsmaßnahmen des Anbieters sollten dieses Szenario eigentlich
verhindern, in der Vergangenheit wurden aber (z.B. bei Webmail-Anbietern)
immer wieder Lucken bekannt. Haufig werden dabei grundsatzlich geeignete
Protokolle durch Implementierungsfehler unsicher, gelegentlich sind auch die
Protokolle von Anfang an fehlerbehaftet (vgl. [Cheswick 2004, S. 141]).
4.2.1.4.2 Abhormoglichkeiten im Netz des Cloud-Anbieters Als
Kunde befindet sich der Angreifer bereits im lokalen Netz des Cloud-Anbieters.
Vorhandene Schutzmaßnahmen gegen Angriffe aus dem Internet (wie z.B.
Firewalls) braucht er deswegen nicht mehr zu uberwinden. In dieser Situati-
on ist es fur den Angreifer theoretisch einfacher, vertrauliche Informationen
45
4 DATENSICHERHEIT
uber das Angriffsziel sowie die Infrastruktur des Cloud-Anbieters zu sam-
meln, um diese entweder fur einen externen Angriff zu nutzen oder uber
Sicherheitslucken beim Anbieter die Infrastruktur zu seinen Gunsten zu ma-
nipulieren.
Eigentlich durfte das keine Gefahr darstellen. Der Cloud-Anbieter sollte in-
nerhalb seines Netzes die Gerate logisch voneinander trennen und Subnetze
separieren. Fehlkonfigurationen und Lucken sind allerdings nicht ausgeschlos-
sen. Weiterhin versuchen die Cloud-Betreiber die kritischen Details der in-
ternen Konfiguration geheim zu halten, damit ein Angreifer nicht gezielt
dagegen vorgehen kann.
4.2.1.4.3 Ausbruch aus der virtuellen Maschine Der Angreifer kann
versuchen, aus der (selbst angemieteten) virtuellen Maschine auszubrechen
und dann das Wirt-System anzugreifen. Wenn ihm das gelingt, kann er alle
weiteren virtuellen Maschinen dieses Wirtes weitreichend manipulieren oder
auch (samt den mit ihnen vorgehaltenen Daten) duplizieren [AKTM 2011,
S. 16]. Der Angreifer kann allerdings in der Regel nicht planen, welche Ma-
schinen von welchen anderen Kunden dabei betroffen sind, da die Verteilung
dieser virtuellen Maschinen auf die physischen Systeme zufallig erfolgt. Wenn
der Angreifer es nicht nur auf einen Zufallsfund abgesehen hat, muss er ausge-
hend von dem befallenen Wirt-System entweder versuchen, weitere Systeme
zu kompromittieren oder dermaßen in die inneren Ablaufe des Cloud-Servers
eingreifen, dass dem befallenen Wirt-System noch weitere virtuelle Maschi-
nen zugewiesen werden, die fur ihn moglicherweise interessanter sind.
Dieses Szenario wird zukunftig bedingt durch die wachsende Verbreitung
von Virtualisierungstechniken vermutlich noch an Wichtigkeit gewinnen. Der
Ausbruch aus virtuellen Maschinen, die Manipulation des Wirtes aus einer
virtuellen Maschine heraus und Schutzmaßnahmen gegen diese Form des An-
griffs gehoren momentan zu den aktuellen Forschungsansatzen in diesem Be-
reich [Kranawetter 2011].
46
4 DATENSICHERHEIT
4.2.2 Interne Angriffe
Mitarbeiter eines Cloud-Dienstleisters haben eine hohe Verantwortung und
auch zahlreiche Moglichkeiten zu einem sehr weitreichenden Vertrauensbruch.
Welche Moglichkeit der jeweilige Mitarbeiter tatsachlich hat wird je nach Be-
fugnis und organisatorischen Vorkehrungen sehr unterschiedlich sein.
Ein moglicher Angriff eines Cloud-Anbieter-Insiders ist das Abhoren inner-
halb des Netzes. Das funktioniert genau wie bei dem betrugerischen Kunden
(Kapitel 4.2.1.4.2), allerdings kann der betrugerische Administrator das ef-
fektiver und an gunstigeren Stellen im Netz des Anbieters durchfuhren.
Eine weitere Moglichkeit ist die Manipulation der (unverschlusselten) Daten
direkt auf den Servern.
Als eine dritte Moglichkeit kann die Verwendung von Kenntnissen um den
internen Aufbau des Cloud-Anbieters und eventuelle Schwachstellen gelten.
Der eigentliche Angriff wird dabei von außen durchgefuhrt. Dies geschieht
durch den Administrator selbst oder wird zumindest von ihm unterstutzt.
Dieser Weg hat fur den Administrator den großen Vorteil, dass er trotz Log-
gings nicht auf ihn personlich zuruckgefuhrt werden kann.
Die Dienstleister werden organisatorische Vorkehrungen getroffen haben, um
die Gefahr durch einen Insider gering zu halten. Ublicherweise folgen diese
Vorkehrungen den Prinzipien einer dezidierten Rechte- und Benutzerverwal-
tung. Auch ein umfassendes Logging von Zugriffen des Benutzers und ein
gezieltes Auswerten dieser Daten erhoht den Schutz, weil dadurch einerseits
Probleme aufgedeckt werden konnen und andererseits das Geschaft fur den
Insider riskanter wird und er moglicherweise von vornherein Abstand davon
nimmt.
4.2.3 Generelle Schutzmaßnahmen
Bei der Absicherung eines Cloud-Computing-Systems stehen die Werkzeuge
zur Verfugung, die auch zur Absicherung von lokalen Systemen eingesetzt
47
4 DATENSICHERHEIT
werden. Dazu gehoren
• Firewalls,
• Virenscanner,
• Identity-Management- und Authorisationssysteme,
• Verschlusselung von Datenspeicher und Datentransport und
• Logging-Systeme.
Genau wie bei lokalen Anwendungen besteht die Herausforderung darin, die-
se Werkzeuge so einzusetzen, dass sie ein angemessenes Schutzniveau bieten
ohne die Produktivitat der betroffenen Anwender unnotig zu beschranken.
Ein Vorteil von Cloud Computing kann in diesem Zusammenhang sein, dass
ein Teil der Schutzmaßnahmen (etwa das regelmaßige Einspielen von Sicher-
heitspatches und die Konfiguration der Firewalls) in professionellen Handen
liegt. Eine Losung (insbesondere fur großere Unternehmen) bieten Private
Clouds, welche im Vergleich zur herkommlichem, lokalen betriebenen Daten-
verarbeitung keine sicherheitsrelevanten Nachteile haben.
48
5 PROBLEME BEI DER NUTZUNG VON CLOUD SERVICES
5 Probleme bei der Nutzung von Cloud Ser-
vices
Es gibt viele Probleme bei der Nutzung von Cloud Computing, sowohl bei
SaaS (wie z.B. Kalender oder Textverarbeitung), PaaS als auch IaaS (hier
insbesondere Online-Storage). Problematisch wird es immer, sobald perso-
nenbezogene Daten den eigenen Rechner verlassen (Datenschutz) oder die
Daten nicht ausreichend gesichert sind (Datensicherheit). Anhand von Bei-
spielen wird in diesem Kapitel erlautert, welche Probleme auf den Benutzer
zukommen, wenn er Cloud-Services nutzen mochte. Vielen Benutzern scheint
oft nicht klar zu sein, dass sie sich bereits mit ihrem Webmail-Konto o.a. in
einer Cloud aufhalten. In diesem Kapitel wird davon ausgegangen, dass sich
der Benutzer bewusst fur das Cloud Computing entschieden hat.
Das erste Beispiel (im Folgenden Szenario 1 ) zeigt, zu welchen Problemen
es bei der Nutzung von Dropbox kommen kann. Dieses Szenario wurde nicht
etwa ausgedacht, sondern stellt eine Begebenheit aus dem realen Leben dar.
Konkret wird die Frage behandelt, welche Probleme entstehen konnen, wenn
Lehrer mit Hilfe von Dropbox Namens- und/oder Adresslisten von Schulern
speichern und bearbeiten. Das zweite Beispiel (Szenario 2 ) beschreibt, welche
Probleme entstehen konnen, wenn Cloud Computing in der freien Wirtschaft
eingesetzt und genutzt wird.
In Kapitel 5.1 wird Szenario 1 detailliert beschriebenen, bevor auf die Pro-
bleme (insbesondere in Bezug auf Datenschutz und Datensicherheit) einge-
gangen wird. Kapitel 5.2 widmet sich in gleichem Maße Szenario 2.
5.1 Szenario 1: Dropbox
5.1.1 Beschreibung
Dropbox ist ein Cloud-Dienst der Firma Dropbox Inc., welcher Ressour-
cen und Anwendungen zur externen Speicherung und Synchronisation von
49
5 PROBLEME BEI DER NUTZUNG VON CLOUD SERVICES
Daten in Form von SaaS bereitstellt. Durch die Dropbox-Software auf dem
Client-Rechner oder uber eine Webschnittstelle erhalt der Benutzer Zugriff
auf seinen (zuvor gemieteten) Online-Speicher12. Hierbei handelt es sich um
Amazons File-Hosting Service S313, ein IaaS-Angebot, welches von Dropbox
genutzt wird. Diese Kombination von SaaS und IaaS zeichnet Dropbox aus
– dennoch wird im Zusammenhang mit Dropbox in der Literatur nur von
IaaS gesprochen [Fiore 2011, S. 109]. Die Starke von Dropbox liegt in der
einfachen Handhabung und der transparenten Preisgestaltung. Die Dropbox-
Software lasst sich auf fast allen gangigen Systemen (Windows, Mac, Linux
sowie iPad, iPhone, Android und Blackberry) installieren. Ein Zugang zu den
Daten mittels Webinterface ist ohne die Installation der Software moglich.
In diesem Beispiel benutzen unterschiedliche Lehrer eine Dropbox, um die
Daten ihrer Schuler zu synchronisieren, zu teilen und zu verwalten. Dabei
handelt es sich um Textdateien, welche in der gemeinsam genutzen Cloud
liegen. Sie konnen von jedem berechtigten Lehrer gelesen und geschrieben
werden. Um Daten in die Dropbox zu laden bzw. vorhandene Daten zu
verandern, ist die Installation der proprietaren Dropbox-Software Voraus-
setzung. Die lokalen Kopien auf den Arbeitsrechnern aller beteiligter Lehrer
werden automatisch miteinander abgeglichen; die Dateien werden (Dropbox-
intern) versioniert. So sind Anderungen transparent und konnen gegebenen-
falls ruckgangig gemacht werden. Der Vorteil fur die Lehrer ist offensicht-
lich: Durch kooperatives Arbeiten werden Redundanzen vermieden. Infor-
mationen zu einem Schuler mussen nur ein einziges Mal eingetragen wer-
den. Des Weiteren ist keine permanente Internetanbindung notwendig. Sind
die Daten erst einmal synchronisiert, konnen sie offline bearbeitet werden.
Selbstverstandlich muss im Anschluss wieder eine Verbindung hergestellt wer-
den, um die Anderungen an den Server zu ubertragen. Die Daten werden
uber eine sichere SSL-Verbindung zum Server ubertragen und dort mittels
12In diversen Quellen werden diese Dienste Storage As A Service genannt. Da dieserBegriff nicht naher definiert ist, sondern lediglich eine Teilmenge von IaaS darstellt, wirder in dieser Arbeit nicht weiter verwendet.
13Im Internet verfugbar unter http://aws.amazon.com/de/s3
50
5 PROBLEME BEI DER NUTZUNG VON CLOUD SERVICES
Advanced Encryption Standard (AES-256)14 verschlusselt gespeichert. Der
Schlussel wird von Dropbox verwaltet, nicht vom Kunden [Dropbox 2011e].
In der Dropbox-Cloud befinden sich die Daten der Nutzer. Mit entsprechen-
der Dropbox-Software wird auf dem Rechner des Benutzers ein Verzeichnis
angelegt, welches sich mit der Cloud verbindet und die Daten synchronisiert.
Ein symbolischer Link ist nicht zwingend erforderlich, erleichtert aber die Ar-
beit, da sich das Dropbox-Verzeichnis standardmaßig nicht im Dokumente-
oder Desktop-Verzeichnis des Benutzers befindet. Abbildung 11 zeigt die In-
teraktionen zwischen der Dropbox und zwei Clients in Form eines Sequenz-
diagramms.
Abbildung 11: Interaktionen zweier Clients mit der Dropbox
14Dabei handelt es sich um einen vom NIST als Standard definierten Ver-schlusselungsalgorithmus (siehe [Daemen 2002])
51
5 PROBLEME BEI DER NUTZUNG VON CLOUD SERVICES
Erlauterung des Diagramms:
1. Client A stellt (automatisch) eine Verbindung zur Dropbox her. Drop-
box bestatigt die Anmeldung.
2. Client A uberpruft, ob neue oder veranderte Dateien in der Dropbox
liegen. Die Synchronisierung wird beendet, da keine Anderungen statt-
gefunden haben.
3. Client A ubertragt eine Datei in die Dropbox.
4. Client B stellt (automatisch) eine Verbindung zur Dropbox her. Drop-
box bestatigt die Anmeldung.
5. Client B uberpruft, ob neue oder veranderte Dateien in der Dropbox
liegen, und aktualisiert das lokale Dropbox-Verzeichnis.
6. Beide Clients und die Dropbox sind synchronisiert.
7. Client B bearbeitet die Datei (Datei1).
8. Client B ubertragt die geanderte Datei in die Dropbox.
9. Client A uberpruft, ob neue oder veranderte Dateien in der Dropbox
liegen, und aktualisiert das lokale Dropbox-Verzeichnis.
10. Beide Clients und die Dropbox sind synchronisiert.
11. Die Clients melden sich von der Dropbox ab.
Sofern der Nutzer keine zusatzlichen Einstellungen an der Dropbox-Software
vornimmt, wird diese beim Systemstart geladen. Eine Verbindung zur Drop-
box wird also automatisch hergestellt, sobald der Nutzter seinen Rechner
einschaltet.
52
5 PROBLEME BEI DER NUTZUNG VON CLOUD SERVICES
5.1.2 Probleme
Zu welchen Problemen es bei dieser Form der Cloud-Nutzung kommen kann,
wird hier anhand der in Kapitel 3 und 4 beschriebenen Gefahren verdeut-
licht. Fur die datenschutzrechtliche Betrachtung gilt – sobald es sich bei den
genutzten Inhalten um personenbezogene Daten handelt – das BDSG; fur die
Betrachtung der Datensicherheit wird die Cloud auf die Schutzziele (Kapitel
4.1) hin uberpruft.
5.1.2.1 Datenschutz
Zur Klarung der Rechtskonformitat mussen verschiedene Kriterien unter-
sucht werden:
1. Hauptleistungspflicht
2. Ort der Datenverarbeitung
3. Abgrenzung von Auftragsdatenverarbeitung und Funktionsubertragung
4. Einwilligung der Betroffenen
5. Zertifikate
Die Hauptleistungspflicht”pragt die Eigenart des jeweiligen Schuldver-
haltnisses und ist fur die Einordnung in die verschiedenen Typen der Schuld-
verhaltnisse entscheidend“ [Palandt 2012, § 241, Rn. 5]. Bei der Nutzung
von Dropbox ist es das Rechtsgebiet des Mietrechts, welches beachtet wer-
den muss (vgl. Tabelle 1 auf Seite 21), da es sich um eine Kombination aus
SaaS und IaaS handelt und weder Rechenleistung noch Bandbreite bereitge-
stellt werden.
Allen vertraglichen und rechtlichen Entscheidungen liegt der Ort der Da-
tenverarbeitung zu Grunde. Dropbox nutzt fur die Bereitstellung seiner
Dienste Amazons Simple Storage Service (S3) [Dropbox 2011d]. Amazon
53
5 PROBLEME BEI DER NUTZUNG VON CLOUD SERVICES
hat fur seine Dienstleistungen im Bereich Cloud Computing Serverstand-
orte in den USA und in Irland. So ist die Moglichkeit gegeben, dass Daten
aus Deutschland oder Europa auf Servern in Europa gespeichert und ver-
arbeitet werden konnen und folglich den Anforderungen europaischer Da-
tenschutzstandards genugen. Dropbox nutzt jedoch ausschließlich die Server
in den USA, da Amazons europaische Server momentan ungefahr 10% teu-
rer sind. Zur Vermeidung von Dienstunterbrechungen legt Amazon”bei der
Speicherung von Daten bis zu drei Kopien in verschiedenen Rechenzentren
an“ [Baun 2011, S. 17], was datenschutzrechtlich im Hinblick auf den Ort der
Datenverarbeitung zu weiteren Problemen fuhren kann. Amazon verspricht
aber, gespeicherte Daten nicht selbststandig in eine andere Region zu uber-
tragen [Amazon 2012]. Fur das deutsche bzw. europaische Datenschutzrecht
ist dieser Hinweis jedoch irrelevant, da sich die Daten bereits in einem unsi-
cheren Drittland befinden.
Die Abgrenzung von Auftragsdatenverarbeitung und Funktionsuber-
tragung wird in Tabelle 3 dargestellt. Grundlage dieser Abgrenzung bilden
u.a. die in Kapitel 3.1.1 aufgefuhrten Erkennungsmerkmale. Die Beurteilung
der Merkmale bekraftigt die These, wonach es sich beim Cloud Computing
”in den meisten Fallen“ (vgl. [Weichert 2010, S. 682]) um eine Auftragsda-
tenverarbeitung handelt. Allerdings werden die rechtlichen Voraussetzungen
fur eine Auftragsdatenverarbeitung nicht eingehalten. Um dem deutschen
Recht zu entsprechen, mussen die in § 11 BDSG aufgefuhrten Regelun-
gen in einem schriftlichen Vertrag enthalten sein und umgesetzt werden15.
Der Auftraggeber hat den Auftragnehmer (hier: Dropbox)”unter besonderer
Berucksichtigung der Eignung der [. . . ] getroffenen technischen und organisa-
torischen Maßnahmen sorgfaltig auszuwahlen“ (§ 11 BDSG) – eine Vorgabe,
die in diesem Fall nicht zu bewerkstelligen ist.
15Mustervertrage zur Auftragsdatenverarbeitung gibt es online z.B.bei der IT-Beauftragten der Bundesregierung: http://www.cio.bund.
de/SharedDocs/Publikationen/DE/IT-Beschaffung/mustervereinbarung_
auftragsdatenverarbeitung_pdf_download.html
54
5 PROBLEME BEI DER NUTZUNG VON CLOUD SERVICES
Merkmal Beurteilung
Fehlende Entscheidungsbefugnis des Auftragneh-mers.
!
Auft
rags
dat
enve
rarb
eitu
ng Weisungsgebundenenheit des Auftragnehmers
bezuglich dessen, was mit den Daten geschieht.!
Fehlende (vertragliche) Beziehung des Auftragneh-mers zum Betroffenen.
©
Umgang nur mit Daten, die der Auftraggeber zurVerfugung stellt; es sei denn, der Auftrag ist auch aufdie Erhebung personenbezogener Daten gerichtet.
!
Ausschluss der Verarbeitung oder Nutzung der Datenzu eigenen Zwecken des Auftragnehmers.
!
Auftragnehmer tritt (gegenuber dem Betroffenen)nicht in eigenem Namen auf.
©
Uberlassung von Nutzungsrechten an den Daten. %
Funkti
onsu
ber
trag
ung Eigenverantwortliche Sicherstellung von Zulassigkeit
und Richtigkeit der Daten durch den Dienstleis-ter, einschließlich des Sicherstellens der Rechte vonBetroffenen (Benachrichtigungspflicht, Auskunftsan-spruch).
%
Weisungsfreiheit des Dienstleisters bezuglich dessen,was mit den Daten geschieht.
%
Handeln des Dienstleisters (gegenuber dem Betroffe-nen) im eigenen Namen.
©
Entscheidungsbefugnis des Dienstleisters in der Sa-che.
%
! trifft zu % trifft nicht zu © nicht bewertbar
Tabelle 3: Dropbox: Auftragsdatenverarbeitung oder Funktionsubertragung?
Die Einwilligung der Betroffenen ist bei der Verarbeitung personenbezo-
gener Daten besonders wichtig (siehe § 4 BDSG). In den Landesschulgesetzen
(in diesem Fall: im Bremischen Schuldatenschutzgesetz, BremSchulDSG) ist
der Umgang mit personenbezogenen Daten geregelt. Grundsatzlich durfen
55
5 PROBLEME BEI DER NUTZUNG VON CLOUD SERVICES
Schulbedienstete”personenbezogene Daten weder auf privateigenen Daten-
verarbeitungsgeraten speichern, noch diese Daten auf Datenverarbeitungs-
geraten außerhalb der Schule verarbeiten oder durch unbefugte Dritte ver-
arbeiten lassen“ (§ 3 Satz 2 BremSchulDSG), solange sie sich nicht schrift-
lich zur Beachtung der Vorschriften verpflichten. In dem obigen Szenario
liegen entsprechende Einwilligungen (sowohl von den Schulern als auch von
den Erziehungsberechtigten) und notwendige Einverstandniserklarungen vor.
Diese allein sind jedoch fur eine rechtlich korrekte Datenverarbeitung nicht
ausreichend, da alle in diesem Kapitel aufgefuhrten Kriterien erfullt werden
mussen.
Eine gewisse Sicherheit konnen Unternehmen wie Dropbox durch den Besitz
bestimmter Zertifikate suggerieren. Auch wenn die Aussagekraft mancher
Zertifizierungen nur gering ist, so kann Dropbox bisher lediglich das Safe Har-
bor Zertifikat vorweisen [Dropbox 2011c]. Dieser Umstand ist uberraschend
– man sollte meinen, dass ein Unternehmen mit mehreren Millionen Kunden
auf der ganzen Welt16 wenigstens die bewahrtesten Zertifikate besitzt.
Fazit: Die Frage nach der Rechtskonformitat lasst sich anhand der eingangs
erwahnten Kriterien relativ leicht beantworten. Besonders die Tatsache, dass
sich der Ort der Datenverarbeitung außerhalb Europas befindet und der Nut-
zer keine Moglichkeiten hat, die technischen und organisatorischen Maßnah-
men zu uberprufen und zu dokumentieren, macht deutlich, dass einer Nut-
zung aus datenschutzrechtlicher Sicht abzuraten ist. Auch sind die Einwilli-
gungen der Betroffenen nur gultig, so lange die gesamte Datenverarbeitung
rechtlich einwandfrei geregelt ist. Die Ergebnisse finden sich zusammengefasst
in Tabelle 4.
Eine dem deutschen Datenschutz konforme Nutzung von Dropbox ist – so-
fern man personenbezogene Daten nutzt – ohne zusatzliche Maßnahmen
nicht moglich. Nur falls die Speicherung und Verarbeitung der Daten fur
16Die genaue Anzahl der Dropbox Kunden schwankt je nach Quelle und Zeit zwischen 25Millionen im Jahr 2010 [Cloudsider 2010] und 50 Millionen Nutzern 2012 [Janssen 2012],Tendenz steigend.
56
5 PROBLEME BEI DER NUTZUNG VON CLOUD SERVICES
Hauptleistungspflicht: Mietrecht
Ort der Datenverarbeitung: außerhalb der EU / des EWR
Abgrenzung von Auftragsda-tenverarbeitung und Funkti-onsubertragung:
Auftragsdatenverarbeitung
Einwilligungen vorhanden
Zertifikate: Safe Harbor (ausschließlich)
Tabelle 4: Untersuchungergebnis des 1. Fallbeispiels: Datenschutz
”personliche oder familiare Tatigkeiten“ (§ 1 Abs. 2 Satz 3 BDSG) erfolgt,
lasst das BDSG eine Ausnahme zu. Ein Umstand, welcher in diesem Szenario
nicht gegeben ist.
5.1.2.2 Datensicherheit
Die Einhaltung der Schutzziele ist beim Cloud Computing von großter Re-
levanz. Dazu muss die Sicherheit der Rechenzentren, der Plattformen und
der Daten gewahrleistet sein. Das Festlegen der technischen und organisato-
rischen Maßnahmen nach § 9 BDSG tragt zur Gewahrleistung der Datensi-
cherheit bei.
Ein System kann mit Hilfe entsprechender Fragenkataloge und Checklisten
(vgl. [Munch 2010, S. 323 ff.]) auf die verschiedenen Schutzziele hin uberpruft
werden. Typische Prufpunkte einer solchen Checkliste sind z.B.”Hat der
Raum ausreichend sichere Wande?“ oder”Sind die richtigen Feuerloschgerate
vorhanden?“ [Munch 2010, CD-ROM/CHE02.doc]. Ohne Zugang zu den Ser-
verraumen lassen sich diese Fragen nicht beantworten. Aus diesem Grund
werden die Schutzziele anhand bekannt gewordener Vorfalle bewertet.
Das Schutzziel Vertraulichkeit (Schutz vor unbefugter Einsichtnahme) wird
nicht erfullt, wie ein Vorfall aus dem Jahr 2011 zeigt: In der Nacht vom
19. auf den 20. Juni war der Zugang zu Dropbox vier Stunden lang mit
beliebigen Passwortern moglich. Wie viele der Dropbox-Nutzer von diesem
57
5 PROBLEME BEI DER NUTZUNG VON CLOUD SERVICES
Vorfall betroffen waren, lasst sich nicht klaren (Dropbox selbst spricht von
weniger als 1%) [Bachfeld 2011, Dropbox 2011a]. Allein dieses Ereignis macht
deutlich, wie schnell es zu einer unbefugten Einsichtnahme kommen kann. Ob
der Zwischenfall mit oder ohne Vorsatz zu Stande gekommen ist, ist fur die
Erfullung des Schutzziels irrelevant. Außerdem ist es Dropbox-Mitarbeitern
technisch moglich, die gespeicherten Daten einzusehen (siehe Kapitel 4.2.2),
solange sie nicht zusatzlich verschlusselt werden.
Die Integritat (keine unerwunschten Veranderungen oder Beschadigungen)
lasst sich nur schwer uberprufen. Durch den Einsatz von SSL/TLS scheint
Dropbox die Nachrichtenintegritat zu gewahrleisten. Dies ist wahrend der Re-
gistrierung und Anmeldung von großer Wichtigkeit, da zu diesem Zeitpunkt
sensible Daten wie z.B. das Passwort ubertragen werden. Doch auch bei
den zu ubertragenden Nutzdaten ist eine Verschlusselung der Transportwe-
ge notwendig. Um zu uberprufen, ob die Nutzdaten verschlusselt ubertragen
werden, reicht es aus, die Systemzeit des lokalen Rechners so zu verandern,
dass die dort gespeicherten SSL- bzw. TLS-Zertifikate nicht mehr gultig sind.
Dropbox stoppt den Datenverkehr und weist den Benutzer in einer Meldung
darauf hin, dass keine sichere Verbindung hergestellt werden kann. Solange
die Zertifikate nicht gultig sind, findet keine Synchronisierung statt (siehe
auch [Dropbox 2012a]). Ob es Dritten moglich ist, die in der Dropbox ge-
speicherten Daten zu verandern oder zu beschadigen, kann hier nicht ge-
klart werden, da nicht sicher ist, ob die Daten z.B. mit (kryptographischen)
Prufsummen versehen sind. Es sind Zweifel an der Integritat angebracht, da
Integritatsverletzungen zumindest theoretisch stattfinden konnen – vor un-
befugter Einsichtnahme besteht schließlich auch kein ausreichender Schutz.
Um die Verfugbarkeit von Dropbox zu erfahren, mussen die Verfugbarkeiten
aller beteiligter Komponenten miteinander multipliziert werden. Bekannt
ist jedoch nur die Verfugbarkeit des Ressourcen-Anbieters Amazon (99,99%
[Amazon 2012]).
Vgesamt = VDropbox · VAmazon , d.h. Vgesamt ≤ VAmazon
58
5 PROBLEME BEI DER NUTZUNG VON CLOUD SERVICES
Es ist davon auszugehen, dass die Verfugbarkeit von Dropbox unter 99,99%
liegt. Bewerten lasst sich dieses allerdings aufgrund der fehldenden Informa-
tionen nicht.
Das Schutzziel Authentizitat wird, wie bereits auf Seite 41 erwahnt, mit
Hilfe digitaler Signaturen und/oder Passwortern realisiert. Dropbox benutzt
keine digitalen Signaturen, was z.B. daran erkennbar ist, dass der Benut-
zer von jedem Gerat auf seine Dropbox zugreifen kann, ohne einen privaten
Schlussel auf das Gerat ubertragen zu mussen. Außerdem verschickt Drop-
box keine Bestatigungsmail an den Nutzer, nachdem dieser sich bei Drop-
box registriert hat, was sog.”incrimination attacks“ [Borgmann 2012, S. 79]
ermoglichen kann. Das Fraunhofer-Institut hat in einer Veroffentlichung auf
diese Probleme aufmerksam gemacht und auch mogliche Folgen beschrieben
[Borgmann 2012, S. 141].
Die Frage nach der Transparenz ist ohne zusatzliche (interne) Informatio-
nen von Dropbox nicht zu beantworten und somit auch nicht zu bewerten.
Bei Dropbox existiert eine Zugriffskontrolle. Diese ist notwendig, damit der
Nutzer auf seine Inhalte zugreifen kann und auch, um diese Inhalte mit weite-
ren Personen (sowohl mit anderen Dropbox-Nutzern, als auch mit Personen,
die keinen Dropbox-Account besitzen) zu teilen. Wie und in welcher Form
diese Zugriffskontrolle umgesetzt wird, ist jedoch nicht (offentlich) bekannt
[Dropbox 2012b].
Aufgrund der nur sparlich vorhandenen (bzw. zuganglichen) Informationen
konnen in diesem Kapitel keine konkreten Angaben zur Datensicherheit ge-
macht werden. Tabelle 5 macht deutlich, dass viele Schutzziele nicht be-
wertbar sind. Diese Tatsache zeigt jedoch, dass auch im Bereich der Daten-
sicherheit große Vorsicht geboten ist. Ohne zusatzliche Maßnahmen (siehe
Kapitel 6) ist von einer Dropbox-Nutzung dringend abzuraten.
59
5 PROBLEME BEI DER NUTZUNG VON CLOUD SERVICES
Schutzziel Beurteilung
Vertraulichkeit %
Softwareintegritat ©Konfigurationsintegritat ©Nachrichtenintegritat !
Verfugbarkeit ©
Authentizitat %
Transparenz ©
Zugriffskontrolle ©! trifft zu % trifft nicht zu © nicht bewertbar
Tabelle 5: Untersuchungergebnis des 1. Fallbeispiels: Datensicherheit
5.2 Szenario 2: Cloud Computing im Unternehmens-
kontext
5.2.1 Beschreibung
Cloud Computing eroffnet Unternehmen neue Moglichkeiten, wobei insbe-
sondere die okonomischen Aspekte (”Kosteneffizienz, Flexibilitat, Agilitat“
[Vogel 2010, S. 136]) in den Vordergrund rucken. Henneberger und Garzotto
stellen in einem Modell Vorgehen und Kriterien fur eine Entscheidung vor
[Henneberger 2010, S. 76 ff.], die Entscheidung fur oder gegen das Cloud
Computing bleibt aber nach wie vor Aufgabe des Unternehmens.
In diesem Szenario geht es nicht darum, ein Unternehmen (bzw. dessen IT)
besonders detailliert darzustellen. Es soll hier vielmehr um allgemeine Pro-
bleme bei der Cloud-Computing-Nutzung gehen. Wahrend Szenario 1 sehr
konkret war, wird an dieser Stelle ein fiktives Unternehmen beschrieben, wel-
ches verschiedene Cloud-Modelle nutzt.
Dieses Unternehmen benutzt eine Hybrid Cloud. Personenbezogene- und wei-
tere sensible Daten verarbeitet das Unternehmen in einer Private Cloud. Fur
60
5 PROBLEME BEI DER NUTZUNG VON CLOUD SERVICES
Abbildung 12: Szenario 2
Anwendungen (wie z.B. Office-Suiten oder die E-Mail-Kommunikation17) und
den Webauftritt werden Public Clouds angemietet. Die Zweigstellen des Un-
ternehmens konnen auch auf die Hybrid Cloud zugreifen. Zusatzlich nutzt die
Unternehmenszentrale noch eine Community Cloud. Dabei geht es um den
Zusammenschluss von Private Clouds mit einem weiteren Unternehmen, z.B.
einem Zulieferer. Dies ist sinnvoll, da auf diese Weise gemeinsam benotigte
Ressourcen (wie z.B. eine Datenbank mit Informationen, welche beide Un-
ternehmen direkt betreffen) verwaltet werden konnen.
5.2.2 Probleme
Die Probleme in den Bereichen Datenschutz und Datensicherheit lassen sich
anhand dieses Szenarios relativ schnell aufzeigen. Problematischer ist das sog.
Vendor-Lock-In, welches aus diesem Grund in einem zusatzlichen Kapitel
(Kapitel 5.2.2.3, Seite 64) behandelt wird.
17Das Auslagern des E-Mail-Systems in eine Public Cloud ist nicht ungewohnlich, siehe[GSA 2011] und [USDA 2010].
61
5 PROBLEME BEI DER NUTZUNG VON CLOUD SERVICES
5.2.2.1 Datenschutz
Fur die Betrachtung der Datenschutzproblematik sind nur die Public Clouds
von Bedeutung, da der Datenverkehr der Private Clouds das Unternehmen
nicht verlasst (vgl. Cloud-Definitionen in Kapitel 2.1.1). Einzige Ausnahme in
diesem Szenario ist die Community Cloud; hier kann auch der Zulieferer (Un-
ternehmen B) auf die Private Cloud des Unternehmens A zugreifen. Da sich
aber in diesem Szenario keine personenbezogenen Daten in der Community
Cloud befinden, konnen an dieser Stelle auch keine datenschutzrechtlichen
Probleme auftreten.
Eine Public Cloud beinhaltet den Webauftritt des Unternehmens, die andere
Public Cloud dient der Buroarbeit und der Kommunikation. Interessant fur
die Auswertung ist lediglich die zweite Public Cloud. Uber diese findet der
E-Mail-Verkehr statt. Ohne eigenen E-Mail-Server ist das Unternehmen auf
externe Dienstleister angewiesen. Wird dabei ein Anbieter mit Sitz außerhalb
Europas gewahlt (z.B. Google), so kommen auf den Anwender die gleichen
Probleme zu, wie in Szenario 1:
Hauptleistungspflicht: Mietrecht
Ort der Datenverarbeitung: außerhalb der EU / des EWR
Abgrenzung von Auftragsda-tenverarbeitung und Funkti-onsubertragung:
Auftragsdatenverarbeitung
Einwilligungen keine
Zertifikate: –
Tabelle 6: Untersuchungergebnis des 2. Fallbeispiels: Datenschutz
Die ersten drei Zeilen der Tabelle gleichen dem Untersuchungergebnis des
1. Fallbeispiels. Uber Zertifikate konnen keine Angaben gemacht werden, da
diese von Anbieter zu Anbieter variieren konnen. Bei den Einwilligungen
ist davon auszugehen, dass diese nicht eingeholt werden. Andernfalls ware
der Aufwand, eine E-Mail mit personenbezogenen Daten zu versenden, viel
62
5 PROBLEME BEI DER NUTZUNG VON CLOUD SERVICES
zu hoch. Werden Dokumente (dazu gehoren auch E-Mails) mit Bezug auf
fremde Personen in einer Public Cloud bearbeitet, muss dem Cloud-Anbieter
ein (schriftlicher) Auftrag zur Datenverarbeitung gegeben werden.”Ein Ver-
stoß liegt folglich bereits vor, wenn die Sekretarin [. . . ] ihrem Chef Termine
mit Adressen und Telefonnummern der Kunden in den Google-Kalender ein-
tragt oder ihm die Daten per Mail an seinen Google-Mail-Account schickt“
[Heidrich 2011, S. 89]. Die Unternehmensleitung ist rechtlich zu einer Ri-
sikovorsorge verpflichtet, sie muss also sowohl die Anforderungen fur den
Datenschutz als auch fur die Datensicherheit beachten [Boken 2011, S. 115].
Dieses Szenario hat gezeigt, dass es trotz unterschiedlicher Anwendungsfalle
im Bereich des Cloud Computings zu den gleichen datenschutzrechtlichen
Problemen kommt, wie im vorherigen Szenario.
5.2.2.2 Datensicherheit
Durch den Einsatz mehrerer Clouds liegt es in den Handen des Unterneh-
mens, welchen Daten welcher Schutz zukommen wird. Bei den Public Clouds
ist davon auszugehen, dass das Unternehmen eine vertragliche Beziehung
mit den Cloud-Anbietern eingegangen ist, in der die Leistungen und Risi-
ken in Form von Service-Level-Agreements (SLAs) beschrieben wurden. U.a.
sind auch Angaben zur Verfugbarkeit, Preisgestaltung und Rechtsfolgen bei
Nichteinhaltung Teil der SLAs. Dies ist bei den Private Clouds anders. Hier
hat das Unternehmen die volle Kontrolle uber die Daten und das Rechenzen-
trum. Im Gegensatz zu einer Public Cloud lasst sich in diesem Fall sehr gut
bestimmen, wo genau die Daten liegen. So ist es dem Unternehmen moglich,
die Sicherheit des Rechenzentrums, der Plattformen und der Daten mit Hilfe
entsprechender Checklisten (siehe [Munch 2010, S. 323 ff.]) zu uberprufen
und gegebenenfalls Maßnahmen zu ergreifen, welche die Sicherheit erhohen.
Die gesetzlichen Vorgaben mussen von dem Unternehmen selbstverstandlich
eingehalten werden.
Aus diesem Grund wird das Konzept der Private Cloud in Kapitel 6.3 als
Empfehlung fur eine sichere Nutzung behandelt.
63
5 PROBLEME BEI DER NUTZUNG VON CLOUD SERVICES
Schutzziel BeurteilungPublic Private
Vertraulichkeit © !
Integritat © !
Verfugbarkeit % !
Authentizitat © !
Transparenz % !
Zugriffskontrolle © !
! trifft zu % trifft nicht zu © nicht bewertbar
Tabelle 7: Untersuchungergebnis des 2. Fallbeispiels: Datensicherheit
5.2.2.3 Vendor-Lock-In
Vendor-Lock-In bezeichnet eine”enge Bindung von Benutzern an bestimmte
kommerzielle Cloud-Anbieter“ [Baun 2011, S. 37]. Neu ist dieses Phanomen
jedoch nicht; bereits 1870 nutzte John D. Rockefeller diese Herstellerab-
hangigkeit aus und konnte so durch das Verschenken von Ollampen einen
dauerhaften Absatz seines Ols sicherstellen [SDI 2009].
Im Cloud Computing sind es besonders die Abhangigkeiten von Schnittstel-
len und Formaten, wobei die Gefahr der Abhangigkeit bei IaaS nahezu kein
Problem darstellt, wahrend es bei SaaS und PaaS zu großeren Problemen
(z.B. bei der Migration zu anderen Anbietern) kommen kann [Baun 2011, S.
87]. Das liegt insbesondere daran, dass Cloud-Storage-Dienste (als Beispiel
fur IaaS) auf der untersten Ebene des Schichtenmodells ausgefuhrt werden,
wahrend PaaS und SaaS komplexere Aufgaben wahrnehmen und auch andere
(oft proprietare) Schnittstellen benutzen.
Die Problematik des Vendor-Lock-Ins sollte nicht unterschatzt werden, da
es viele Grunde fur einen Anbieterwechsel geben kann. So kann der Anbie-
ter Konkurs anmelden, er kann umziehen (und Europa verlassen), er kann
von einem anderen Unternehmen (mit Sitz in einem unsicheren Drittland)
64
5 PROBLEME BEI DER NUTZUNG VON CLOUD SERVICES
aufgekauft werden oder die Kosten bei diesem Anbieter sind dem Kunden
einfach zu hoch. Solange es noch keine einheitlichen Standards auf dem
Gebiet des Cloud Computings gibt, wird der Anwender mit dem Problem
des Lock-Ins konfrontiert. In ihrem Paper bezeichnen Armbrust et al. das
Vendor-Lock-In (auch: Data-Lock-In) als eine der großen Cloud-Computing-
Herausforderungen fur die Zukunft [Armbrust 2009, S. 15]. Der wissenschaft-
liche Dienst des Deutschen Bundestages fordert die Sicherstellung der”In-
teroperabilitat zwischen den Cloud-Services“ [Singer 2010, S. 2], um eine
dauerhafte Bindung an den Cloud-Anbieter zu vermeiden.
65
5 PROBLEME BEI DER NUTZUNG VON CLOUD SERVICES
66
6 EMPFEHLUNGEN FUR EINE SICHERE NUTZUNG
6 Empfehlungen fur eine sichere Nutzung
Nachdem in Kapitel 5 die Probleme der Cloud Computing Nutzung anhand
zweier Beispiele beschrieben wurden, geht es in diesem Kapitel um eine siche-
re und rechtskonforme Nutzung. In Kapitel 6.1 wird an das bereits beschrie-
bene Dropbox-Szenario angeknupft. Anschließend wird die Nutzung einer
rein innereuropaischen Cloud (Kapitel 6.2) und einer Private Cloud (Kapi-
tel 6.3) betrachtet.
6.1 Dropbox
Damit Dropbox weiter genutzt werden kann, empfiehlt sich der Einsatz von
Verschlusselungstechniken. Die Ubertragung personenbezogener Daten in ein
unsicheres Drittland ist gestattet, sofern die Daten sicher verschlusselt oder
pseudonymisiert sind. Eine Pseudonymisierung der Daten kommt in diesem
Beispiel nicht in Frage, da es den Arbeitsaufwand der Beteiligten erhoht und
somit der Idee des Cloud Computing entgegensteht. Eine Verschlusselung ist
die Voraussetzung fur die sichere und rechtskonforme Nutzung von Cloud-
Storage. Des Weiteren schutzt eine Verschlusselung die Daten vor unbe-
fugter Einsichtnahme und stellt somit das Schutzziel Vertraulichkeit sicher.
Der Nutzer sollte sich jedoch nicht auf die von Dropbox durchgefuhrte Ver-
schlusselung verlassen. Die Tatsache, dass Dropbox die Schlussel verwaltet,
lasst durchaus Zweifel an der Sicherheit aufkommen. Schlagzeilen wie”Drop-
box akzeptierte vier Stunden lang beliebige Passworter“ [Bachfeld 2011] zei-
gen auf, was bei zentralisierter Schlusselverwaltung passieren kann und warum
die Kontrolle uber den eigenen Schlussel so wichtig ist. In diesem Kapitel
werden mit TrueCrypt und EncFS zwei Empfehlungen zur sicheren Ver-
schlusselung gegeben.
Sehr verbreitet ist das quelloffene Programm TrueCrypt. Es ist kostenlos
und durchaus leistungsfahig genug, die Daten wirkungsvoll zu schutzen. Fur
die Verschlusselung stehen die Algorithmen AES, Twofish und Serpent zur
67
6 EMPFEHLUNGEN FUR EINE SICHERE NUTZUNG
Verfugung. TrueCrypt verschlusselt allerdings keine einzelnen Dateien, son-
dern erstellt ein Volume mit eigenem Dateisystem (vergleichbar mit einer
Festplattenpartition), welches in einer Containerdatei abgelegt ist. Die Große
des Containers muss bei der Erstellung angegeben werden; sie lasst sich im
Nachhinein nicht mehr verandern. Mit Hilfe der TrueCrypt-Software und des
entsprechenden Schlussels kann der Container als logisches Laufwerk in das
System eingebunden werden. Zu diesem Zeitpunkt kann der Nutzer den In-
halt der Containerdatei lesen und schreiben. Ohne TrueCrypt und passendem
Schlussel lasst sich nicht erkennen, ob und wie viele Dateien sich im Contai-
ner befinden. Die Kombination von TrueCrypt und Dropbox ist moglich, hat
aber den Nachteil, dass der gesamte Container (unabhangig von seinem In-
halt) in die Dropbox geladen werden muss. Diese Problematik tritt auch auf,
wenn in einem bestehenden Container etwas geandert wird. Je nach Große des
Containers und Bandbreite kann eine Synchronisierung viel Zeit in Anspruch
nehmen. Aus diesem Grund – und um der Dropbox-Idee treu zu bleiben –
empfiehlt es sich, TrueCrypt so zu konfigurieren, dass der Zeitstempel des
Containers bei Anderungen unverandert bleibt. So werden wie gewohnt nur
die Anderungen in die Cloud ubertragen [Dropbox 2011b].
Wenn mehrere Personen auf die Dropbox zugreifen, ist nicht ausgeschlos-
sen, dass es zu gleichzeitigen Zugriffen auf die Containerdatei kommt, was
zu Inkonsistenzen fuhren kann (siehe Abbildung 13): Nachdem sich Nutzer
A angemeldet hat, synchronisiert sich die Dropbox, und die aktuelle Version
des Containers wird auf den Rechner A geladen. Der Nutzer bindet den Con-
tainer mit Hilfe der TrueCrypt-Software und dem entsprechenden Schlussel
in sein System ein und kann nun dessen Inhalt lesen und schreiben. In diesem
Beispiel legt er eine neue Datei in dem Container an. Solange der Container
nicht ausgehangt wird, synchronisiert Dropbox nicht. Inzwischen hat Nutzer
B eine Verbindung zur Dropbox hergestellt und fugt ebenfalls eine Datei in
den Container ein. Im Anschluss hangt er den Container aus und Dropbox
synchronisiert wie gewohnt. Auf Rechner A taucht im Dropbox-Verzeichnis
eine Kopie der Containerdatei auf, deren Name auf einen Konflikt auf Rech-
68
6 EMPFEHLUNGEN FUR EINE SICHERE NUTZUNG
Abbildung 13: Inkonsistenzen bei der Nutzung von TrueCrypt-Containern inder Dropbox
ner A verweist. TrueCrypt zeigt nach wie vor den originalen Container als
Ziel an, beim Aushangen werden die Anderungen allerdings in die Kopie
des Containers geschrieben und synchronisiert. In der Dropbox liegen nun
zwei Containerdateien mit unterschiedlichen Inhalten. Um derartige Inkon-
sistenzen zu vermeiden, darf ein TrueCrypt-Container jeweils nur auf einem
Rechner geoffnet werden.
Mit EncFS gibt es eine weitere Moglichkeit, Dateien zu verschlusseln. Die
zu schutzenden Dateien werden in versteckten und verschlusselten Ordnern
abgelegt. Die Ordner sind passwortgeschutzt und mussen – ahnlich wie ein
69
6 EMPFEHLUNGEN FUR EINE SICHERE NUTZUNG
TrueCrypt-Container – vor der Benutzung eingebunden werden. EncFS ar-
beitet allerdings dateiorientiert, was bedeutet, dass die Dateien einzeln on-
the-fly ver- und entschlusselt werden konnen. Dies ist in Kombination mit
der Dropbox vorteilhaft, da nur die veranderten Dateien synchronisiert und
Inkonsistenzen vermieden werden.
Wie der Nutzer seine Daten verschlusselt, bleibt ihm selbst uberlassen. Mit
TrueCrypt und EncFS erhalt er die Moglichkeit, seine Daten lokal nach seinen
Vorstellungen zu schutzen. TrueCrypt verschlusselt die Daten vollstandig und
nutzt dabei das Konzept der glaubhaften Abstreitbarkeit. So ist nicht nach-
weisbar, dass uberhaupt eine Verschlusselung eingesetzt wurde [Bender 2010,
S. 328]. EncFS verschlusselt die Daten und die Dateinamen, die Dateien be-
finden sich jedoch offen im Dateisystem. Mit den entsprechenden Rechten
konnen die Verzeichnisstruktur, die Anzahl der Dateien, die Dateigroßen und
die Metadaten eingesehen werden. Weitere lokale Verschlusselungsmethoden
haben Borgmann et al. in Form einer Grafik dargestellt:
Abbildung 14: Lokale Verschlusselungstechniken [Borgmann 2012, S. 119]
70
6 EMPFEHLUNGEN FUR EINE SICHERE NUTZUNG
6.2 Innereuropaische Auftragsdatenverarbeitung
Aufgrund der vielen verschiedenen Datenschutzstandards und -regelungen
(siehe Kapitel 3) empfiehlt sich als sichere Alternative die Nutzung innereu-
ropaischer Clouds. Im Prinzip muss der Anwender dabei nur die folgenden
zwei Punkte beachten:
1. Sorgfaltige Auswahl des Cloud-Anbieters.
Nur Anbieter, die ihren Firmensitz in Europa haben und die Daten in
europaischen Rechenzentren verarbeiten, unterliegen den Datenschutz-
bestimmungen des europaischen Datenschutzrechts. Vorhandene Zerti-
fikate (wie z.B. ISO 27001) erleichtern die Auswahl.
2. Voraussetzungen fur eine Auftragsdatenverarbeitung prufen.
Ein Sicherheitsvorteil ist die Anwendung der Auftragsdatenverarbei-
tung nach § 11 BDSG. Der Anwender sollte darauf achten, dass er dem
Cloud-Anbieter eine Genehmigung zur Speicherung personenbezogener
Daten erteilt, dieser die Daten jedoch nicht weiter verarbeitet. Mit dem
Auftrag besitzt der Anbieter nicht das Recht zur Weitergabe an Drit-
te. Der Anwender muss den Vertragspartner (also den Cloud-Anbieter)
daher sorgfaltig auswahlen und die technischen und organisatorischen
Maßnahmen nach § 9 BDSG prufen. Die Erfullung der acht Gebote des
Datenschutzes (Anlage zu § 9 BDSG, siehe Kasten auf Seite 72) ist
dabei von Vorteil.
Einer rechtlich einwandfreien Auftragsdatenverarbeitung steht demnach nichts
mehr im Wege. Ein hoheres Datenschutzniveau ist nur noch mit einer Priva-
te Cloud zu gewahrleisten. Die professionelle Betreuung der Rechenzentren
durch die Anbieter kann zwar eine hohe Datensicherheit gewahrleisten, eine
Public Cloud bietet allerdings auch eine großere Angriffsflache, als der eigene
Rechner bzw. das eigene Rechenzentrum.
71
6 EMPFEHLUNGEN FUR EINE SICHERE NUTZUNG
8 Gebote des Datenschutzes (Anlage zu § 9 Satz 1 BDSG)1. Zutrittskontrolle:
Unbefugten ist der Zutritt zu Datenverarbeitungsanlagen,mit denen personenbezogene Daten verarbeitet oder ge-nutzt werden, zu verwehren.
2. Zugangskontrolle:Es ist zu verhindern, dass Datenverarbeitungssysteme vonUnbefugten genutzt werden konnen.
3. Zugriffskontrolle:Es ist zu gewahrleisten, dass die zur Benutzung einesDatenverarbeitungssystems Berechtigten ausschließlich aufdie ihrer Zugriffsberechtigung unterliegenden Daten zugrei-fen konnen, und dass personenbezogene Daten bei der Ver-arbeitung, Nutzung und nach der Speicherung nicht un-befugt gelesen, kopiert, verandert oder entfernt werdenkonnen.
4. Weitergabekontrolle:Es ist zu gewahrleisten, dass personenbezogene Daten beider elektronischen Ubertragung oder wahrend ihres Trans-ports oder ihrer Speicherung auf Datentrager nicht un-befugt gelesen, kopiert, verandert oder entfernt werdenkonnen, und dass uberpruft und festgestellt werden kann,an welche Stellen eine Ubermittlung personenbezogenerDaten durch Einrichtungen zur Datenubertragung vorge-sehen ist.
5. Eingabekontrolle:Es ist zu gewahrleisten, dass nachtraglich uberpruft undfestgestellt werden kann, ob und von wem personenbe-zogene Daten in Datenverarbeitungssysteme eingegeben,verandert oder entfernt worden sind.
6. Auftragskontrolle:Es ist zu gewahrleisten, dass personenbezogene Daten, dieim Auftrag verarbeitet werden, nur entsprechend den Wei-sungen des Auftraggebers verarbeitet werden konnen.
7. Verfugbarkeitskontrolle:Es ist zu gewahrleisten, dass personenbezogene Daten ge-gen zufallige Zerstorung oder Verlust geschutzt sind.
8. Trennungskontrolle:Es ist zu gewahrleisten, dass zu unterschiedlichen Zweckenerhobene Daten getrennt verarbeitet werden konnen.
72
6 EMPFEHLUNGEN FUR EINE SICHERE NUTZUNG
6.3 Private Cloud
Die rechtlichen Probleme im Cloud Computing fuhren dazu, dass besonders
Unternehmen ihre schutzbedurftigen Daten in einer Private Cloud speichern.
In Hinblick auf eine datenschutzkonforme Nutzung bietet sich das Konzept
der Private Cloud an, da in diesem Fall”[. . . ]
’nur‘die allgemeinen Anforde-
rungen fur interne Datenverarbeitung“ gelten [Schweinoch 2011]. Die Private
Cloud ermoglicht es dem Anwender außerdem, die in einer Auftragsdaten-
verarbeitung vom BDSG geforderten Maßnahmen (siehe Kasten auf Seite
23) umzusetzen, sofern es sich nicht um eine Virtual Private Cloud (VPC)
handelt. VPCs werden wie Public Clouds angeboten, mit dem Unterschied,
dass diese in einem isolierten Bereich bereitgestellt werden und ein Zugriff
oft nur uber ein VPN moglich ist (z.B. Amazons Virtual Private Cloud18). So
lasst sich innerhalb einer Public Cloud eine Private Cloud einrichten, ohne
eigene Hardware nutzen zu mussen. In diesem Fall steht der Anwender bei
der Uberprufung der technischen und organisatorischen Maßnahmen vor den
gleichen Problemen, wie bei einer Public Cloud. Aus diesem Grund wird in
diesem Kapitel nur die sichere Nutzung einer echten (wie in Kapitel 2.1.1
definierten) Private Cloud beschrieben.
Inzwischen existieren viele Produkte, die angeben, Private Clouds zu sein –
dabei handelt es sich aber oft um einfache Server oder sog. Online-Festplatten
(also lokale, externe Festplatten, welche uber ein Netzwerk angesprochen
werden konnen), welche der Cloud-Definition dieser Arbeit nicht Stand halten
und deswegen auch nicht weiter betrachtet werden.
Aufgrund der Komplexitat sind die Anforderungen fur eine sichere Priva-
te Cloud sehr hoch. Die Eigenschaften Flexibilitat und Skalierbarkeit sollen
genauso beibehalten werden, wie die in Kapitel 2.1.3 beschriebenen Cloud-
Merkmale. Die notwendigen Ressourcen sind fur kleine Unternehmen und
Privatanwender oft ein Problem, da sie teuer sind und regelmaßig gewartet
werden mussen. Dennoch sind diese Ressourcen eine Voraussetzung fur das
18Im Internet verfugbar unter http://aws.amazon.com/de/vpc
73
6 EMPFEHLUNGEN FUR EINE SICHERE NUTZUNG
Cloud Computing. Auf einem einzigen Server lassen sich die Anforderungen
fur eine Private Cloud nicht umsetzen. Außerdem ist es empfehlenswert, die
Private Cloud so zu gestalten, dass bei Bedarf Services aus einer Public Cloud
integriert werden konnen. Hier ist es Aufgabe des IT-Managements, die fur
das Unternehmen richtige Cloud-Strategie zu entwickeln und umzusetzen.
6.4 Fazit
Eine sichere und rechtskonforme Cloud-Nutzung ist durchaus moglich. Der
Anwender muss selbst abwagen, wie viel Komfort und wie viel Sicherheit
ihm wichtig ist bzw. notwendig erscheint. Erfolgt die Speicherung und Verar-
beitung nicht”ausschließlich fur personliche oder familiare Tatigkeiten“ (§ 1
Abs. 2 Satz 3 BDSG), greift das BDSG und der Nutzer tragt die Verant-
wortung fur die Daten. Nachfolgend werden die Vor- und Nachteile der oben
beschriebenen Empfehlungen zusammengefasst.
Lokale Verschlusselung:
Pro:
• Schlussel befindet sich beim Benutzer.
• Daten gelten – je nach Schlussellange – als sehr gut geschutzt (der Ver-
schlusselungsalgorithmus AES ist z.B. in den USA fur staatliche Doku-
mente mit hochster Geheimhaltungsstufe zugelassen [Wikipedia 2012]19).
Kontra:
• Nicht alle Daten lassen sich verschlusseln. Dies Problem tritt in der Re-
gel auf, wenn Anwendungen untereinander Daten austauschen mussen.
Bei IaaS (insbesondere beim Storage) stellt dies jedoch selten ein Pro-
blem dar.
19Texte aus der Wikipedia sind bekanntermaßen nicht dauerhaft publiziert. Deshalb istdiese Quelle mit Vorsicht zu genießen und gelegentlich auf ihre Aktualitat zu prufen.
74
6 EMPFEHLUNGEN FUR EINE SICHERE NUTZUNG
• Verliert der Nutzer den Schlussel, kann auf die Daten nicht mehr zuge-
griffen werden.
• Je nach Algorithmus kann eine Verschlusselung sehr zeitaufwandig sein.
Innereuropaische Auftragsdatenverarbeitung:
Pro:
• Datenschutz nach EU-Recht.
• Wartung und Pflege werden von professionellen (externen) Dienstleis-
tern erbracht.
Kontra:
• Die Erreichbarkeit von Public Clouds uber offentliche Netze birgt ge-
wisse Gefahren (z.B. Denial-of-Service-Angriffe).
Private Cloud:
Pro:
• Daten verlassen das Unternehmen nicht.
• Die Hurde fur die Verarbeitung personenbezogener Daten ist nicht so
hoch, wie in Public Clouds (es gelten die allgemeinen Anforderungen
fur interne Datenverarbeitung).
• Der Anwender kann die technischen und organisatorischen Maßnahmen
zum Schutz der Daten uberprufen.
Kontra:
• Es sind viele Ressourcen (wie z.B. ein eigenes Rechenzentren) notwen-
dig.
75
6 EMPFEHLUNGEN FUR EINE SICHERE NUTZUNG
Das BSI hat in Abbildung 15 die Aspekte fur eine rechtskonforme Nutzung
zusammengefasst.
Abbildung 15: Aspekte des Datenschutzes nach Landvogt [Landvogt 2010, S.11]
Somit ist die Nutzung von Clouds außerhalb des EWR nicht gestattet, die
Datensicherheit muss durch die agierenden Stellen gewahrleistet werden und
es mussen alle Voraussetzungen fur eine Auftragsdatenverarbeitung erfullt
werden.
76
7 FAZIT UND AUSBLICK
7 Fazit und Ausblick
Die Vorteile des Cloud Computing sind sehr zahlreich und konnen somit vie-
le Anwender in ihren Bann ziehen. Fur den Privatanwender ist es haufig die
Tatsache, dass er mit jedem seiner Gerate auf seine Daten zugreifen kann
– sei es, um die eigene Musik- oder Fotosammlung immer dabei zu haben
(solange eine Verbindung zum Internet besteht), oder fur die Nutzung von
SaaS-Angeboten wie beispielsweise online Office-Paketen, diversen Webmail-
Diensten oder sozialen Netzwerken. Viele der Cloud-Angebote sind fur den
privaten Gebrauch zudem oftmals kostenlos. Produkte wie das Google Chro-
mebook20 fordern den Trend zum Cloud Computing, da es bei diesen Geraten
nicht vorgesehen ist, Daten lokal zu speichern. Die Daten und Anwendungen
befinden sich in der Cloud. Im Unternehmenskontext sprechen in erster Linie
die okonomischen Vorteile und die Flexibilitat fur das Cloud Computing.
In dieser Arbeit ist deutlich geworden, welche Probleme entstehen konnen,
wenn Daten ausgelagert werden. Neben den Anforderungen fur die Datensi-
cherheit sind es vor allem die datenschutzrechtlichen Probleme, welche auf
den Anwender zukommen. Diese sind allesamt nicht neu. In einem Um-
feld, in dem immer mehr Daten den eigenen Rechner verlassen, sind sie je-
doch viel prasenter. Fur mehr Rechtssicherheit ware eine einheitliche Cloud-
Computing-Definition wunschenswert. Recherchen im Rahmen dieser Arbeit
haben den Satz”zwei Juristen, drei Meinungen“ bestatigen konnen. Bis es ei-
ne Rechtssicherheit gibt bleibt dem Anwender nichts anderes ubrig, als selbst
die Verantwortung zu ubernehmen und Maßnahmen zum Schutz der Daten
zu ergreifen – eine Vorgabe, die von vielen Privatnutzern nicht ohne Weite-
res umgesetzt werden kann. Fur Unternehmen ist es besonders wichtig, die
Risiken zu analysieren und die richtigen Schlusse daraus zu ziehen. Blindes
Vertrauen kann sehr schnell sehr teuer werden. Zertifikate und Abkommen
helfen den großen Anbietern, eine dem europaischen Datenschutz konforme
Losung zu bieten. Die Vergangenheit hat allerdings gezeigt, dass auch diese
20http://www.google.com/intl/de/chromebook/
77
7 FAZIT UND AUSBLICK
Vorgehensweise eine einheitliche und globale Regelung nicht ersetzen kann.
Die Tatsache, dass es fur den Anwender nicht nachvollziehbar ist, wo sich sei-
ne Daten physisch befinden, macht Cloud Computing fur die Gesellschaft fur
Informatik e.V.”intransparent und unkontrollierbar“, weshalb
”10 Thesen
zu Sicherheit und Datenschutz in Cloud Computing“ veroffentlicht wurden
[GI 2010]. Pearson et al. stellen verschiedene Architekturen vor, mit deren
Hilfe ein sog. Privacy Manager for Cloud Computing umgesetzt werden kann,
welcher das Risiko des Datenmissbrauchs reduziert [Pearson 2009]. Entwick-
lungen in diese Richtung konnen viel Erfolg versprechen, solange derartige
Unsicherheiten vorhanden sind.
Die schnellen Wandel in der IT lassen aber deshalb noch keinen Schluss auf
einen Paradigmenwechsel zu. Zwar deutet im Moment vieles darauf hin, dass
sich dieser Trend durchsetzen kann, es bleibt aber abzuwarten, welches Ge-
wicht den sicherheitsrelevanten Fragen zukunftig zukommen wird. Die immer
haufiger auftretenden Skandale in Bezug auf Datenschutz und Datensicher-
heit geben genug Anlass, eine externe Datenhaltung zu kritisieren.
Ein Resultat dieser Arbeit ist die Erkenntnis, dass von dem Auslagern von
Daten ohne weitere Maßnahmen dringend abgesehen werden sollte (und dass
Goethe mit seinem Gedicht (siehe Seite 1) auch in Bezug auf Datenwolken
Recht behalten sollte). Die vielen Vorteile des Cloud Computing sind uner-
heblich im Vergleich zu den Gefahren. Nur wer weiß, wo sich seine Daten
befinden, kann sie optimal schutzen. Cloud Computing ist und bleibt ein
spannendes und auch viel versprechendes Thema. Fur die Zukunft bleibt zu
hoffen, dass einheitliche Standards geschaffen werden, damit die Unsicher-
heiten bei allen Beteiligten (Anbieter und Anwender) zerstreut werden.
78
LITERATUR
Literatur
[AKTM 2011] AKTM: Orientierungshilfe Cloud Computing. Ar-
beitskreise Technik und Medien der Konferenz
der Datenschutzbeauftragten des Bundes und der
Lander (Hrsg.), Munchen, 26. September 2011.
[Armbrust 2009] Armbrust, M. et al.: Above the Clouds: A Berke-
ley View of Cloud Computing. Technischer Be-
richt UCB/EECS-2009-28, University of California
at Berkeley, Berkeley, Februar 2009.
[Bao 2011] Bao, X. et al.: SyncViews: Toward Consistent User
Views in Cloud-Based File Synchronization Services.
In: 2011 Sixth Annual ChinaGrid Conference, Seiten
89–96, Dalian, China, 2011. IEEE Computer Society.
[Baun 2009] Baun, C. et al.: Servervirtualisierung. Informatik-
Spektrum, 32:197–205, 2009.
[Baun 2011] Baun, C. et al.: Cloud Computing: Web-basierte dy-
namische IT-Services. Informatik im Fokus. Sprin-
ger, Berlin Heidelberg, 2. Auflage, Februar 2011.
[Bender 2010] Bender, M. und T. Ackermann: Schutzziele der IT-
Sicherheit. Datenschutz und Datensicherheit – DuD,
34(5):323–3281, 2010.
[Birk 2010] Birk, D. und D. C. Wegener: Uber den Wolken: Cloud
Computing im Uberblick. Datenschutz und Datensi-
cherheit – DuD, 34(9):641–645, 2010.
[BMWi 2010] BMWi: Aktionsprogramm Cloud Computing. Bun-
desministerium fur Wirtschaft und Technologie
(Hrsg.), Berlin, Oktober 2010.
79
LITERATUR
[Boken 2011] Boken, A.: Wege in die Wolke. iX – Magazin fur
professionelle Informationstechnik, 4:115–117, April
2011.
[Boken 2012] Boken, A.: Patriot Act und Cloud Computing: Zu-
griff auf Zuruf? iX – Magazin fur professionelle In-
formationstechnik, 1:110–113, Januar 2012.
[Borgmann 2012] Borgmann, M. et al.: On the Security of Cloud Sto-
rage Services. Technischer Bericht, Fraunhofer Insti-
tute for Secure Information Technology SIT, Darm-
stadt, Marz 2012.
[BSI 1992] BSI: Kriterien fur die Bewertung der Sicherheit von
Systemen der Informationstechnik: ITSEC. Bundes-
anzeiger, Koln, 1992.
[Cheswick 2004] Cheswick, W. R. et al.: Firewalls und Sicherheit im
Internet: Schutz vor cleveren Hackern. Addison-
Wesley, Munchen [u.a.], 2., aktualisierte Auflage,
2004.
[Daemen 2002] Daemen, J. und V. Rijmen: The design of Rijndael:
AES – the advanced encryption standard. Springer,
Berlin, 2002.
[Dreier 2011] Dreier, T. und O. Meyer-van Raay: Computer-
recht. In: Schulte, M. und R. Schroder (Heraus-
geber): Handbuch des Technikrechts, Enzyklopadie
der Rechts- und Staatswissenschaft, Seiten 813–855.
Springer, Berlin Heidelberg, 2011.
[Duisberg 2011] Duisberg, A.: Geloste und ungeloste Rechtsfragen im
IT-Outsourcing und Cloud Computing. In: Picot, A.,
80
LITERATUR
T. Gotz und U. Hertz (Herausgeber): Trust in IT,
Seiten 49–70. Springer, Berlin Heidelberg, 2011.
[Eckert 2012] Eckert, C.: IT-Sicherheit: Konzepte - Verfahren -
Protokolle. Oldenbourg-Verl., Munchen, 7., uberarb.
und erw. Auflage, 2012.
[EU-Kommission 2000] EU-Kommission: ABl L215/7: Entscheidung der
Kommission gemaß der Richtlinie 95/46/EG des
Europaischen Parlaments und des Rates uber die An-
gemessenheit des von den Grundsatzen des”
siche-
ren Hafens“ und der diesbezuglichen”
Haufig gestell-
ten Fragen“ (FAQ) gewahrleisteten Schutzes, vorge-
legt vom Handelsministerium der USA. Europaische
Kommission (Hrsg.), Brussel, 26. Juli 2000.
[EU-Kommission 2010] EU-Kommission: ABl L039: Beschluss uber Stan-
dardvertragsklauseln fur die Ubermittlung per-
sonenbezogener Daten an Auftragsverarbeiter in
Drittlandern nach der Richtlinie 95/46/EG. Eu-
ropaische Kommission (Hrsg.), Brussel, 12. Februar
2010.
[EU-Kommission 2011] EU-Kommission: Cloud Computing: Public Consul-
ting Report. European Commission – Informati-
on Society and Media Directorate-General (Hrsg.),
Brussel, 5. Dezember 2011.
[Federrath 2007] Federrath, H. und A. Pfitzmann: Datenschutz und
Datensicherheit. In: Schneider, U. und D. Werner
(Herausgeber): Taschenbuch der Informatik, Kapi-
tel 15, Seiten 488–510. Carl-Hanser-Verl., Munchen,
6. Auflage, 2007.
81
LITERATUR
[Fiore 2011] Fiore, S. und G. Aloisio: Grid and Cloud Database
Management. Springer, Berlin Heidelberg, 4. Auf-
lage, 2011.
[Freitag 2011] Freitag, S.: Rechnen im Netz: Grid versus Cloud.
iX – Magazin fur professionelle Informationstechnik,
8:94–97, August 2011.
[Fujitsu 2010] Fujitsu: Personal data in the cloud: The importance
of trust. Fujitsu Research Institute (Hrsg.), Tokio,
November 2010.
[Goethe 1840] Goethe, J.: Goethe’s sammtliche Werke in funf
Banden. Baudry’s europaische Buchhandlung, 1840.
[Heidrich 2011] Heidrich, J.: Cloud-Dienste und der deutsche Daten-
schutz. c’t kompakt security, 03:88–90, 2011.
[Henneberger 2010] Henneberger, M. und F. Garzotto: Ein Entschei-
dungsmodell fur den Einsatz von Cloud Computing
in Unternehmen. HMD Praxis der Wirtschaftsinfor-
matik, 275:76–84, 2010.
[Jin 2010] Jin, H. et al.: Cloud Types and Services. In: Furht, B.
und A. Escalante (Herausgeber): Handbook of Cloud
Computing, Kapitel 14, Seiten 335–355. Springer US,
2010.
[Kappes 2007] Kappes, M.: Netzwerk- und Datensicherheit: Eine
praktische Einfuhrung. B.G. Teubner Verlag / GWV
Fachverlage GmbH, Wiesbaden, 2007.
[Kubicek 2007] Kubicek, H.: Datenschutz 1. Vorlesungsfolien im
Wintersemenster 2007/08 an der Universitat Bre-
men, Fachbereich 3 – Mathematik / Informa-
82
LITERATUR
tik, Arbeitsgruppe Informationsmanagement (un-
veroffentlicht), Oktober 2007.
[Korffer 2010] Korffer, B. et al.: Bundesdatenschutzgesetz: BDSG;
Kommentar. Beck, Munchen, 10., uberarb. und
erg. Auflage, 2010.
[Lenk 2009] Lenk, A. et al.: What’s Inside the Cloud? An Archi-
tectural Map of the Cloud Landscape. In: CLOUD ’09
Proceedings of the 2009 ICSE Workshop on Software
Engineering Challenges of Cloud Computing, Seiten
23–31, Washington DC, Mai 2009. IEEE Computer
Society.
[Marnau 2011a] Marnau, N. et al.: TClouds. Datenschutz und Da-
tensicherheit – DuD, 35(5):333–338, 2011.
[Marnau 2011b] Marnau, N. und E. Schlehahn: Cloud Computing und
Safe Harbor. Datenschutz und Datensicherheit –
DuD, 35(5):311–316, 2011.
[Meky 2011] Meky, M. et al.: A Novel and Secure Data Sharing
Model with Full Owner Control in the Cloud Envi-
ronment. International Journal of Computer Science
and Information Security, 9(6):12–17, 2011.
[Mell 2011] Mell, P. und T. Grance: The NIST Definition of
Cloud Computing. U.S. Department of Commerce,
Gaithersburg, USA, September 2011.
[Melzer 2010] Melzer, I. et al.: Service-orientierte Architekturen
mit Web-Services. Konzepte – Standards – Praxis.
Spektrum Akademischer Verlag, Heidelberg, 4. Auf-
lage, 2010.
83
LITERATUR
[Moos 2006] Moos, F.: Datenschutzrecht schnell erfasst. Springer,
Berlin, 2006.
[Munch 2010] Munch, P.: Technisch-organisatorischer Daten-
schutz: Leitfaden fur Praktiker. Datakontext,
Verl.-Gruppe Huthig, Jehle, Rehm, Heidelberg, 4.
uberarb. und erw. Auflage, 2010.
[Munch 2011] Munch, I. et al.: Eine Gefahrdungsanalyse von Priva-
te Clouds. Datenschutz und Datensicherheit – DuD,
35(5):322–328, 2011.
[Palandt 2012] Palandt, O.: Burgerliches Gesetzbuch: Kommen-
tar. Beck’sche Kurz-Kommentare; Band 7. Beck,
Munchen, 71. Auflage, 2012.
[Paulus 2011] Paulus, S.: Standards fur Trusted Clouds. Daten-
schutz und Datensicherheit – DuD, 35(5):317–321,
2011.
[Pearson 2009] Pearson, S. et al.: A Privacy Manager for Cloud
Computing. In: Jaatun, M. et al. (Herausgeber):
Cloud Computing, Band 5931 der Reihe Lecture No-
tes in Computer Science, Seiten 90–106. Springer,
Bristol, UK, 2009.
[Rademacher 2011] Rademacher, R.: Das große Misstrauen der Kleinen
– Cloud Computing reißt mittelstandische Firmen
nicht vom Hocker. Digital, Seiten 23–24, Juli 2011.
[Ramireddy 2010] Ramireddy, S. et al.: Privacy and Security Practices
in the Arena of Cloud Computing – A Research in
Progress. In: AMCIS 2010 Proceedings, Paper 574,
2010. http://aisel.aisnet.org/amcis2010/574.
84
LITERATUR
[Reimer 2012] Reimer, H.: Einheitliches Datenschutzrecht in Euro-
pa durch Verordnung? Datenschutz und Datensi-
cherheit – DuD, 36(2):139–140, 2012.
[Riegel 1991] Riegel, R.: Zum Verhaltnis von Recht und Wirklich-
keit am Beispiel des Datenschutzrechts in der Eu-
ropaischen Gemeinschaft. Die offentliche Verwal-
tung: DOV; Zeitschrift fur offentliches Recht und
Verwaltungswissenschaft, Seiten 311–319, 1991.
[Ristenpart 2009] Ristenpart, T. et al.: Hey, you, get off of my cloud:
exploring information leakage in third-party compu-
te clouds. In: ACM Conference on Computer and
Communications Security ’09, Seiten 199–212, 2009.
[Streitberger 2009] Streitberger, D. W. und A. Ruppel: Cloud Com-
puting Sicherheit – Schutzziele. Taxonomie.
Marktubersicht. Technischer Bericht, Fraunhofer-
Einrichtung fur Angewandte und Integrierte
Sicherheit AISEC, Garching, September 2009.
[Tschersich 2011] Tschersich, T.: Zur Notwendigkeit eines Umdenkens
beim Thema Cybersicherheit. Datenschutz und Da-
tensicherheit – DuD, 35(6):408–411, 2011.
[Vogel 2010] Vogel, R. et al.: Cloud Computing. In: Desktopvirtua-
lisierung, Kapitel 9, Seiten 119–137. Springer, Berlin
Heidelberg, 2010.
[Weichert 2010] Weichert, T.: Cloud Computing und Daten-
schutz. Datenschutz und Datensicherheit – DuD,
34(10):679–687, Oktober 2010.
85
LITERATUR
[Weinhardt 2009] Weinhardt, C. et al.: Cloud-Computing – Eine Ab-
grenzung, Geschaftsmodelle und Forschungsgebiete.
Wirtschaftsinformatik, 51(5):453–462, 2009.
[Wieduwilt 2010] Wieduwilt, H.: Cloud Computing: Zwischen Wolken-
himmel und Haftungsholle. Frankfurter Allgemeine
Zeitung, 26. Marz 2010.
[Winkler 2011] Winkler, V. J. R.: Securing the Cloud: Cloud Compu-
ter Security Techniques and Tactics. Syngress, April
2011.
[Wu 2010] Wu, J. et al.: Cloud Storage as the Infrastructure
of Cloud Computing. Lightweight protection against
brute force login attacks on Web applications, Seiten
380–383, 2010.
86
ONLINE-LITERATUR
Online-Literatur
[Amazon 2012] Amazon: Funktionsweise von Amazon S3. Web-
seite, 2012. http://aws.amazon.com/de/s3/
#functionality.
[Art.-29-DSG 2007] Art.-29-DSG: Stellungnahme 4/2007 zum Begriff
personenbezogene Daten. Generaldirektion Jus-
tiz, Freiheit und Sicherheit, Direktion C der Eu-
ropaischen Kommission (Hrsg.), Brussel, 2007.
http://ec.europa.eu/justice/policies/privacy/
docs/wpdocs/2007/wp136_de.pdf (21.11.2011).
[Art.-29-DSG 2010a] Art.-29-DSG: Stellungnahme 1/2010 zu den Begriffen
fur die Verarbeitung Verantwortlicher und Auftrags-
verarbeiter. Generaldirektion Justiz, Freiheit und
Sicherheit, Direktion D der Europaischen Kommis-
sion (Hrsg.), Brussel, 2010. http://ec.europa.
eu/justice_home/fsj/privacy/index_de.htm
(11.11.2011).
[Art.-29-DSG 2010b] Art.-29-DSG: Stellungnahme 8/2010 zum anwend-
baren Recht. Generaldirektion Justiz, Direktion
C der Europaischen Kommission (Hrsg.), Brussel,
2010. http://ec.europa.eu/justice/policies/
privacy/index_en.htm (11.11.2011).
[Bachfeld 2010] Bachfeld, D.: heise Security � Red Hat warnt vor Lucke
in OpenSSL. Webseite, November 2010. http://www.
heise.de/-1137654 (30.10.2011).
[Bachfeld 2011] Bachfeld, D.: heise Security � Dropbox akzeptierte vier
Stunden lang beliebige Passworter. Webseite, Juni
2011. http://heise.de/-1264100 (30.04.2012).
87
ONLINE-LITERATUR
[Banisar 2011] Banisar, D.: Privacy International � Global Map
of Data Protection. Webseite, Februar 2011.
https://www.privacyinternational.org/article/
global-map-data-protection (22.07.2011).
[BFDI 2010] BFDI: Beschluss des Dusseldorfer Kreises
� Prufung der Selbst-Zertifizierung des Daten-
importeurs nach dem Safe Harbor-Abkommen
durch das Daten exportierende Unternehmen
(uberabeitete Fassung), August 2010. http:
//www.bfdi.bund.de/SharedDocs/Publikationen/
Entschliessungssammlung/DuesseldorferKreis/
290410_SafeHarbor.html?nn=409242 (14.10.2011).
[BITKOM 2011] BITKOM: Cloud Computing. PK Folien, Februar
2011. http://www.bitkom.org/files/documents/
PK_Folien_Cloud_Computing_28_2_2011_VOR_ORT_
1seitig_NEU.pdf (08.11.2011).
[Brunette 2009] Brunette, G. et al.: Security Guidance for Critical
Areas of Focus in Cloud Computing V2.1, Dezem-
ber 2009. https://cloudsecurityalliance.org/
csaguide.pdf (25.07.2011).
[BSI 2011] BSI: Glossar und Begriffsdefinitionen. Bundesamt fur
Sicherheit in der Informationstechnik (Hrsg.), Bonn,
2011. https://www.bsi.bund.de/cln_174/DE/
Themen/weitereThemen/ITGrundschutzKataloge/
Inhalt/Glossar/glossar_node.html (29.11.2011).
[BSI 2012] BSI: Leitfaden Informationssicherheit. Bun-
desamt fur Sicherheit in der Informati-
onstechnik (Hrsg.), Bonn, 2012. https:
//www.bsi.bund.de/DE/Themen/ITGrundschutz/
88
ONLINE-LITERATUR
LeitfadenInformationssicherheit/leitfaden_
node.html (29.03.2012).
[Cloudsider 2010] Cloudsider: Cloudsider.com � 25 Millionen nutzen
Dropbox. Webseite, 2010. http://www.cloudsider.
com/news/25-millionen-nutzen-dropbox.html
(14.02.2012).
[Connolly 2008] Connolly, C.: The US Safe Harbor – Fact or Fiction?,
2008. http://www.galexia.com/public/research/
articles/research_articles-pa08.html
(13.12.2011).
[Dropbox 2011a] Dropbox: Dropbox Blog � Yesterday’s Authentication
Bug. Webseite, 2011. http://blog.dropbox.com/?p=
821 (04.05.2012).
[Dropbox 2011b] Dropbox: Dropbox Forums � Dropbox and TrueCrypt
Files. Webseite, 2011. http://forums.dropbox.com/
topic.php?id=14332 (25.02.2012).
[Dropbox 2011c] Dropbox: Hilfecenter � Certification. Webseite, 2011.
https://www.dropbox.com/help/238 (23.01.2012).
[Dropbox 2011d] Dropbox: Hilfecenter � Where are my files stored?
Webseite, 2011. https://www.dropbox.com/help/7
(14.02.2012).
[Dropbox 2011e] Dropbox: Sicherheitsuberblick. Webseite, 2011. https:
//www.dropbox.com/security (07.12.2011).
[Dropbox 2012a] Dropbox: Dropbox Forums � Kann keine sichere Ver-
bindung herstellen. Webseite, 2012. http://forums.
dropbox.com/topic.php?id=50464 (15.05.2012).
89
ONLINE-LITERATUR
[Dropbox 2012b] Dropbox: Dropbox Hilfecenter � Freigaben. Webseite,
2012. https://www.dropbox.com/help/category/
Sharing (15.05.2012).
[Easynet 2011] Easynet: Fulfilling the Cloud: Is network neglect
killing the cloud’s benefits?, Mai 2011. http:
//cloud.easynet.com/Fulfilling_the_Cloud.pdf
(28.07.2011).
[GI 2010] GI: Gesellschaft fur Informatik stellt zehn
Thesen zu Sicherheit und Datenschutz in
Cloud Computing vor. Pressemitteilung, De-
zember 2010. http://www.gi.de/presse/
pressearchiv/pressemitteilungen-2010/
pressemitteilung-vom-1-dezember-2010.html
(20.01.2012).
[GSA 2011] GSA: GSA Becomes First to Move Email to Cloud.
Webseite, Mai 2011. http://www.gsa.gov/portal/
content/208417 (29.04.2012).
[Janssen 2012] Janssen, S.: Stuttgarter Zeitung � Mit Cloud-
Computing zum Multimillionar. Webseite, 2012.
http://www.stuttgarter-zeitung.de/inhalt.
internet-mit-cloud-computing-zum-multimillionaer.
6fbc6c1d-8617-44cf-8c8b-45d8c1e2a28d.html
(14.02.2012).
[Kirsch 2011] Kirsch, C.: heise online � Cloud-Betreiber wollen har-
monisierten EU-Datenschutz. Webseite, September
2011. http://heise.de/-1341666 (31.10.2011).
[Kranawetter 2011] Kranawetter, M.: TechNet Blog � Sicherheit von
Cloud-Angeboten: Ausbruch aus virtueller Maschine
90
ONLINE-LITERATUR
moglich? Webseite, Marz 2011. http://blogs.
technet.com/b/germany/archive/2011/03/07/
sicherheit-von-cloud-angeboten-ausbruch-aus-
virtueller-maschine-m-246-glich.aspx
(22.10.2011).
[Landvogt 2010] Landvogt, J.: BSI IT-Grundschutz-Tag � Cloud Com-
puting und Datenschutz. Bundesamt fur Sicherheit
in der Informationstechnik (Hrsg.), November 2010.
https://www.bsi.bund.de/SharedDocs/Downloads/
DE/BSI/Veranstaltungen/Grundschutz/4GS_
Tag2010/Cloud-Computing-und-Datenschutz.html
(14.09.2011).
[Rufer 2011] Rufer, M. und E. Kia-Wernard: Cloud Compu-
ting braucht internationale Rechtssicherheit. Dell
Presseinformation, Juli 2011. http://www.pr-com.
de/de/pressezentrum/presseinformationen/
index.php?ID=9c24b65139d585e428cbde85d90be8b0
(15.07.2011).
[Sauerbrey 2010] Sauerbrey, A.: Tagesspiegel � Cloud Computing:
Warnung vor der Wolke. Webseite, Mai 2010.
http://www.tagesspiegel.de/wirtschaft/
cloud-computing-warnung-vor-der-wolke/
1817232.html (05.05.2011).
[Schweinoch 2011] Schweinoch, M.: Computerwoche � Damit das Cloud
Computing nicht zur Rechtsfalle wird. Webseite, April
2011. http://www.computerwoche.de/management/
it-strategie/2362186/ (29.04.2012).
91
ONLINE-LITERATUR
[SDI 2009] SDI: SDI-Research � Lexikon � Rockefeller-Prinzip.
Webseite, 2009. http://www.sdi-research.at/
lexikon/rockefeller-prinzip.html (01.06.2012).
[Seiffert 2002] Seiffert, W.: Der Landesbeauftragte fur den Daten-
schutz Niedersachsen � Orientierungshilfe Auftragsda-
tenverarbeitung, Dezember 2002. http://www.lfd.
niedersachsen.de/download/32265 (16.08.2011).
[Shirey 2007] Shirey, R.: RFC 4949, Internet Security Glossary, Ver-
sion 2. Webseite, 2007. https://tools.ietf.org/
html/rfc4949 (17.01.2012).
[Singer 2010] Singer, D. O.: Aktueller Begriff: Cloud Computing,
Marz 2010. http://www.bundestag.de/dokumente/
analysen/2010/cloud_computing.pdf (28.04.2011).
[Singh 2004] Singh, A.: An Introduction to Virtualization. Web-
seite, 2004. http://www.kernelthread.com/
publications/virtualization/ (24.01.2012).
[Stallman 2011] Stallman, R.: Kampft gegen die Netz-Moloche!
veroffentlicht von SPIEGEL ONLINE unter CC BY-
ND 3.0 Lizenz, Juli 2011. http://www.spiegel.
de/netzwelt/web/0,1518,774766,00.html
(19.07.2011).
[ULD 2010] ULD: ULD Pressemitteilung � 10 Jahre Sa-
fe Harbor. Webseite, Juli 2010. https:
//www.datenschutzzentrum.de/presse/
20100723-safe-harbor.htm (14.10.2011).
[USDA 2010] USDA: USDA moves to the Microsoft Cloud. Websei-
te, Dezember 2010. http://www.usda.gov � Release
0638.10 (29.04.2012).
92
ONLINE-LITERATUR
[USGov 2012] USGov: Consumer Data Privacy in a Net-
worked World: A Framework for Protec-
ting Privacy and Promoting Innovation in
the Global Digital Economy, Februar 2012.
http://www.whitehouse.gov/sites/default/
files/email-files/privacy_white_paper.pdf
(01.03.2012).
[Velten 2010] Velten, C. und S. Janata: Experton Group
� Cloud Marktzahlen. Webseite, 2010.
http://www.experton-group.de/consulting/
cloud-computing-programme/ict-anwender/
cloud-marktzahlen.html (11.05.2011).
[Whitney 2010] Whitney, L. und F. Kalenda: ZDNet � Umfrage:
Risiken von Cloud-Computing uberwiegen. Web-
seite, April 2010. http://www.zdnet.de/news/
wirtschaft_unternehmen_business_umfrage_
risiken_von_cloud_computing_ueberwiegen_
story-39001020-41530184-1.htm (05.05.2011).
[Wikipedia 2012] Wikipedia: Advanced Encryption Standard
— Wikipedia, Die freie Enzyklopadie, 2012.
http://de.wikipedia.org/wiki/Advanced_
Encryption_Standard (01.06.2012).
[Winkler 2011] Winkler, S.: Breuning & Winkler � Cloud Com-
puting: Hauptleistungspflicht und SLA. Websei-
te, 2011. http://www.breuning-winkler.de/
cloud-computing-hauptleistungspflicht-und-sla
(15.02.2012).
93
ABBILDUNGSVERZEICHNIS
Abbildungsverzeichnis
1 Schematische Darstellung der Cloud Computing Modelle . . . 8
2 Die drei Services im Schichtenmodell . . . . . . . . . . . . . . 9
3 Virtualisierungskonzepte nach Baun et al. . . . . . . . . . . . 13
4 Grundeinstellung zum Thema Cloud Computing . . . . . . . . 15
5 Umfrage: Planen Sie die Nutzung von Cloud Diensten? . . . . 16
6 Umfrage: Wo speichern Sie Fotos, Videos, Dokumente etc.? . . 17
7 Prognostiziertes Marktvolumen fur Cloud Computing Services 18
8 Datenschutz Weltkarte . . . . . . . . . . . . . . . . . . . . . . 19
9 22% der Safe Harbor zertifizierten Unternehmen erfullen die
erforderlichen Voraussetzungen . . . . . . . . . . . . . . . . . 31
10 Datensicherheit als Prozess . . . . . . . . . . . . . . . . . . . . 38
11 Interaktionen zweier Clients mit der Dropbox . . . . . . . . . 51
12 Szenario 2 . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 61
13 Inkonsistenzen bei der Nutzung von TrueCrypt-Containern in
der Dropbox . . . . . . . . . . . . . . . . . . . . . . . . . . . . 69
14 Lokale Verschlusselungstechniken . . . . . . . . . . . . . . . . 70
15 Aspekte des Datenschutzes . . . . . . . . . . . . . . . . . . . . 76
94
TABELLENVERZEICHNIS
Tabellenverzeichnis
1 Vertragsarten im Cloud Computing nach Winkler . . . . . . . 21
2 Abgrenzung von Security und Safety nach Federrath et al. . . 37
3 Dropbox: Auftragsdatenverarbeitung o. Funktionsubertragung? 55
4 Untersuchungergebnis des 1. Fallbeispiels: Datenschutz . . . . 57
5 Untersuchungergebnis des 1. Fallbeispiels: Datensicherheit . . 60
6 Untersuchungergebnis des 2. Fallbeispiels: Datenschutz . . . . 62
7 Untersuchungergebnis des 2. Fallbeispiels: Datensicherheit . . 64
95
Erklarung
Hiermit erklare ich, dass ich die vorliegende Diplomarbeit selbststandig ver-
fasst und keine anderen als die angegebenen Quellen und erlaubten Hilfs-
mittel benutzt habe. Weiter erklare ich, die Diplomarbeit in gleicher oder
ahnlicher Form keiner anderen Prufungsbehorde vorgelegt zu haben.
Bremen, den 05. Juni 2012
Steffen Bothe
96