Sensitive Daten: Ab in die Wolke?

Unser Netzwerk-Provider SWITCH beherbergt einen Arbeitskreis «ICT Law». Darin diskutieren Fachleute aus den Bereichen Recht und IT aktuelle Probleme. Die Thematik «Cloud» und «Bring Your Own Device» ist möglicherweise für einen breiteren Kreis von Interesse. Hier einige persönliche Eindrücke, die ich an der entsprechenden Veranstaltung gewonnen habe.

Aus den Berichten der Teilnehmenden wurde klar: Die Cloudservices wirken in die Hochschulen hinein und es gibt Ansätze spontaner Nutzung – teilweise wohl auch unter Verletzung von geltenden Standards. Die Verantwortlichen nehmen die ganze Bandbreite von möglichen Haltungen ein: Von Laissez Faire über Empfehlungen bis zu einem Verbot der Nutzung von Cloudspeicher für betriebliche Zwecke.

Cloud als Speicher

In der Diskussion dominierte der Aspekt der Cloud als Speicher. Die Anwesenden waren sich einig, dass bereits das Auslagern von Daten ein unübersichtliches Problemgemenge mit sich bringt. Etwas einfacher ist die Lage dann, wenn ausschliesslich verschlüsselte Objekte verschoben werden. Das Auslagern von Services wie Mail wirft noch mehr Probleme auf. Folgende Problemkreise lassen sich identifizieren:

1. Kontrollverlust: Der technische und institutionelle Zugriff auf die IT-Infrastruktur fehlt
2. Rechtskontext: Eine Zuordnung von IT-Infrastruktur und Rechtsraum ist nicht mehr zwingend gegeben.
3. Rechtsverletzungen: Das Lagern und Bearbeiten von Daten in einem andern Rechtssystem kann einem Bruch von rechtlichen und anderen Anforderungen des Kunden mit sich bringen.

Sowohl die Zurückhaltung wie der Diskussionsbedarf gegenüber Cloud-Lösungen erscheinen berechtigt. Verglichen mit einer neuen Lösung im Inneren des Betriebs kommt für Cloud-Varianten eine Menge juristischer und anderer Abklärungen dazu. Qualität auf dem Papier heisst bekanntlich nicht Qualität in Wirklichkeit. Bereits in einigen Regionen der EU lässt die Rechtssicherheit in einem Ausmass zu wünschen übrig, dass eine Auslagerung wichtiger Daten und Services in einen solchen Kontext kaum mit hohen Qualitätsanforderungen vereinbar erscheint.

Wie das Problem auch durch indirekte Cloudisierung plötzlich auf den Tisch kommen können, zeigt ein Beispiel eines Teilnehmers: Ein Provider betrieblicher Ressourcenmanagements plant eine Migration seiner Plattform auf Cloudspeicher, wobei eine der physischen Locations ein fernöstliches Zwangsregime ist.

Datenklassierung

Als zentrales Element für die Beurteilung von Auslagerungsprojekten wurde immer die wieder die Datenklassierung genannt. Es erscheint sinnvoll, verschiedene Klassen und ihren jeweiligen Schutzbedarf zu identifizieren. An der ETH Zürich wird zB in der Benutzerordnung eine binäre Unterscheidung etabliert, indem von „besonderem Schutzbedarf“ die Rede ist. Einen Trend zur Datenklassierung gibt es auch aus ganz andern Gründen. Der massiv steigende Speicher- und Archivierungsbedarf der meisten Hochschulen ruft nach differenzierter Behandlung verschiedener Datenklassen. Es ist schlicht zu teuer, alle in maximaler Verfügbarkeit und Sicherheit bereit zu halten.

Als ultimative Methode stellt sich Datenklassierung aber aus zwei Gründen nicht dar. Das Betrachten von Datenmengen kann aus sich keine Einstufungen begründen. Begründet werden muss ausgehend von den betrieblichen Prozessen, aus denen die Daten stammen – und von regulatorischen Randbedingungen. Zweitens betreffen die Qualitätsanforderungen an Daten genau so die Qualitätsanforderungen an den Prozess und die technische Infrastruktur, auf denen die Daten bearbeitet werden.

Mit andern Worten: Aus den betrieblichen und regulatorischen Anforderungen eines Betriebsprozesses heraus kann und muss spezifiziert werden, welche Anforderungen eine Speicherstrategie erfüllen muss. Dieses Set von Anforderungen muss an jede Speicherlösung gelegt werden – ob der Store im Keller stehen soll oder in der Cloud.

In der Diskussion wurden verschieden rechtliche Hotspots genannt, die bei Cloud-Lösungen vermehrte Aufmerksamkeit gewinnen: Entspricht der Schutz von Personendaten schweizerischen Standards? Ist der Schutz betrieblicher Daten hinreichend gewährleistet? Existierend weiter gehende Anforderungen für öffentliche Institutionen wie staatliche Hochschulen? Wo ist der Gerichtsstand angesiedelt?

Use Your Own Device

Während die Cloud neuartige Problemfelder schafft, kann davon beim Thema „Bring Your Own Device“ im Hochschulkontext keine Rede sein. Der Begriff „Bring“ weist ohnehin in die falsche Richtung. Im Zeitalter des Internet besteht das Problem nicht darin, dass ein Gerät irgendwo hin gerät, sondern dass Daten und Credentials irgendwohin ausser betrieblicher Kontrolle geraten. Es war schon vor zehn Jahren ein Problem, wenn exponierte Führungskräfte ihre Mails oder Forscher ihre sensitiven Daten oder Sachbearbeiter Personaldossiers auf persönliche Geräte unbestimmter Qualität geladen hätten.

Möglicherweise sollten weder die Smartphones noch ein Ruf nach neuen Regulierungen im Fokus stehen. Vielmehr gilt, so wurde in der Diskussion mehrfach unterstrichen, gegenüber privaten Geräten das gleiche wie gegenüber den Möglichkeiten der Cloud: Letzten Endes können und müssen die Verantwortlichen von Prozessen und Projekten festlegen, welche Qualitätsanforderungen hinreichend, welche Risiken tragbar sind.

Posted on 18.05.2012 by Urs Meile
in Kommunikation, Mail, Web, Multimedia, Drucken, News, Passwort, Applikationen, Software, Arbeitsplätze, Speicher, Support, Wissenschaftl. Rechnen Tags: Bring Own Device, Cloud, cloud computing