{"id":4874,"date":"2012-05-16T14:48:00","date_gmt":"2012-05-16T12:48:00","guid":{"rendered":"https:\/\/wpethzprd.ethz.ch\/id\/?p=4874"},"modified":"2012-05-18T08:01:08","modified_gmt":"2012-05-18T06:01:08","slug":"sensitive","status":"publish","type":"post","link":"https:\/\/blogs.ethz.ch\/id\/2012\/05\/16\/sensitive\/","title":{"rendered":"Sensitive Daten: Ab in die Wolke?"},"content":{"rendered":"

Unser Netzwerk-Provider SWITCH beherbergt einen Arbeitskreis \u00abICT Law\u00bb. Darin diskutieren Fachleute aus den Bereichen Recht und IT aktuelle Probleme. Die Thematik \u00abCloud\u00bb und \u00abBring Your Own Device\u00bb ist m\u00f6glicherweise f\u00fcr einen breiteren Kreis von Interesse. Hier einige pers\u00f6nliche Eindr\u00fccke, die ich an der entsprechenden Veranstaltung gewonnen habe.<\/em><\/p>\n

Aus den Berichten der Teilnehmenden wurde klar: Die Cloudservices wirken in die Hochschulen hinein und es gibt Ans\u00e4tze spontaner Nutzung – teilweise wohl auch unter Verletzung von geltenden Standards. Die Verantwortlichen nehmen die ganze Bandbreite von m\u00f6glichen Haltungen ein: Von Laissez Faire \u00fcber Empfehlungen bis zu einem Verbot der Nutzung von Cloudspeicher f\u00fcr betriebliche Zwecke.<\/p>\n

Cloud als Speicher<\/h3>\n

In der Diskussion dominierte der Aspekt der Cloud als Speicher. Die Anwesenden waren sich einig, dass bereits das Auslagern von Daten ein un\u00fcbersichtliches Problemgemenge mit sich bringt. Etwas einfacher ist die Lage dann, wenn ausschliesslich verschl\u00fcsselte Objekte verschoben werden. Das Auslagern von Services wie Mail wirft noch mehr Probleme auf. Folgende Problemkreise lassen sich identifizieren:<\/p>\n

    \n
  1. Kontrollverlust: Der technische und institutionelle Zugriff auf die IT-Infrastruktur fehlt<\/li>\n
  2. Rechtskontext: Eine Zuordnung von IT-Infrastruktur und Rechtsraum ist nicht mehr zwingend gegeben.<\/li>\n
  3. Rechtsverletzungen: Das Lagern und Bearbeiten von Daten in einem andern Rechtssystem kann einem Bruch von rechtlichen und anderen Anforderungen des Kunden mit sich bringen.<\/li>\n<\/ol>\n

    Sowohl die Zur\u00fcckhaltung wie der Diskussionsbedarf gegen\u00fcber Cloud-L\u00f6sungen erscheinen berechtigt. Verglichen mit einer neuen L\u00f6sung im Inneren des Betriebs kommt f\u00fcr Cloud-Varianten eine Menge juristischer und anderer Abkl\u00e4rungen dazu. Qualit\u00e4t auf dem Papier heisst bekanntlich nicht Qualit\u00e4t in Wirklichkeit. Bereits in einigen Regionen der EU l\u00e4sst die Rechtssicherheit in einem Ausmass zu w\u00fcnschen \u00fcbrig, dass eine Auslagerung wichtiger Daten und Services in einen solchen Kontext kaum mit hohen Qualit\u00e4tsanforderungen vereinbar erscheint.<\/p>\n

    Wie das Problem auch durch indirekte Cloudisierung pl\u00f6tzlich auf den Tisch kommen k\u00f6nnen, zeigt ein Beispiel eines Teilnehmers: Ein Provider betrieblicher Ressourcenmanagements plant eine Migration seiner Plattform auf Cloudspeicher, wobei eine der physischen Locations ein fern\u00f6stliches Zwangsregime ist.<\/p>\n

    Datenklassierung<\/h3>\n

    Als zentrales Element f\u00fcr die Beurteilung von Auslagerungsprojekten wurde immer die wieder die Datenklassierung genannt. Es erscheint sinnvoll, verschiedene Klassen und ihren jeweiligen Schutzbedarf zu identifizieren. An der ETH Z\u00fcrich wird zB in der Benutzerordnung eine bin\u00e4re Unterscheidung etabliert, indem von \u201ebesonderem Schutzbedarf\u201c die Rede ist. Einen Trend zur Datenklassierung gibt es auch aus ganz andern Gr\u00fcnden. Der massiv steigende Speicher- und Archivierungsbedarf der meisten Hochschulen ruft nach differenzierter Behandlung verschiedener Datenklassen. Es ist schlicht zu teuer, alle in maximaler Verf\u00fcgbarkeit und Sicherheit bereit zu halten.<\/p>\n

    Als ultimative Methode stellt sich Datenklassierung aber aus zwei Gr\u00fcnden nicht dar. Das Betrachten von Datenmengen kann aus sich keine Einstufungen begr\u00fcnden. Begr\u00fcndet werden muss ausgehend von den betrieblichen Prozessen, aus denen die Daten stammen – und von regulatorischen Randbedingungen. Zweitens betreffen die Qualit\u00e4tsanforderungen an Daten genau so die Qualit\u00e4tsanforderungen an den Prozess und die technische Infrastruktur, auf denen die Daten bearbeitet werden.<\/p>\n

    Mit andern Worten: Aus den betrieblichen und regulatorischen Anforderungen eines Betriebsprozesses heraus kann und muss spezifiziert werden, welche Anforderungen eine Speicherstrategie erf\u00fcllen muss. Dieses Set von Anforderungen muss an jede Speicherl\u00f6sung gelegt werden – ob der Store im Keller stehen soll oder in der Cloud.<\/p>\n

    In der Diskussion wurden verschieden rechtliche Hotspots genannt, die bei Cloud-L\u00f6sungen vermehrte Aufmerksamkeit gewinnen: Entspricht der Schutz von Personendaten schweizerischen Standards? Ist der Schutz betrieblicher Daten hinreichend gew\u00e4hrleistet? Existierend weiter gehende Anforderungen f\u00fcr \u00f6ffentliche Institutionen wie staatliche Hochschulen? Wo ist der Gerichtsstand angesiedelt?<\/p>\n

    Use Your Own Device<\/h3>\n

    W\u00e4hrend die Cloud neuartige Problemfelder schafft, kann davon beim Thema \u201eBring Your Own Device\u201c im Hochschulkontext keine Rede sein. Der Begriff \u201eBring\u201c weist ohnehin in die falsche Richtung. Im Zeitalter des Internet besteht das Problem nicht darin, dass ein Ger\u00e4t irgendwo hin ger\u00e4t, sondern dass Daten und Credentials irgendwohin ausser betrieblicher Kontrolle geraten. Es war schon vor zehn Jahren ein Problem, wenn exponierte F\u00fchrungskr\u00e4fte ihre Mails oder Forscher ihre sensitiven Daten oder Sachbearbeiter Personaldossiers auf pers\u00f6nliche Ger\u00e4te unbestimmter Qualit\u00e4t geladen h\u00e4tten.<\/p>\n

    M\u00f6glicherweise sollten weder die Smartphones noch ein Ruf nach neuen Regulierungen im Fokus stehen. Vielmehr gilt, so wurde in der Diskussion mehrfach unterstrichen, gegen\u00fcber privaten Ger\u00e4ten das gleiche wie gegen\u00fcber den M\u00f6glichkeiten der Cloud: Letzten Endes k\u00f6nnen und m\u00fcssen die Verantwortlichen von Prozessen und Projekten festlegen, welche Qualit\u00e4tsanforderungen hinreichend, welche Risiken tragbar sind.<\/p>\n","protected":false},"excerpt":{"rendered":"

    Thematik \u00abCloud\u00bb und \u00abBring Your Own Device\u00bb: Unser Netzwerk-Provider SWITCH beherbergt den Arbeitskreis \u00abICT Law\u00bb. Fachleute diskutieren aus den Bereichen Recht und IT aktuelle Probleme.<\/p>\n","protected":false},"author":537,"featured_media":0,"comment_status":"open","ping_status":"closed","sticky":false,"template":"","format":"standard","meta":{"footnotes":""},"categories":[1175,1179,1176,25,1181,1177,890,898,1178],"tags":[46861,6855,3370],"class_list":["post-4874","post","type-post","status-publish","format-standard","hentry","category-kommunikation","category-mail-web","category-multimedia-drucken","category-news","category-passwort-applikationen","category-software-arbeitsplatze","category-speicher","category-support","category-wissenschaftl-rechnen","tag-bring-own-device","tag-cloud","tag-cloud-computing"],"_links":{"self":[{"href":"https:\/\/blogs.ethz.ch\/id\/wp-json\/wp\/v2\/posts\/4874","targetHints":{"allow":["GET"]}}],"collection":[{"href":"https:\/\/blogs.ethz.ch\/id\/wp-json\/wp\/v2\/posts"}],"about":[{"href":"https:\/\/blogs.ethz.ch\/id\/wp-json\/wp\/v2\/types\/post"}],"author":[{"embeddable":true,"href":"https:\/\/blogs.ethz.ch\/id\/wp-json\/wp\/v2\/users\/537"}],"replies":[{"embeddable":true,"href":"https:\/\/blogs.ethz.ch\/id\/wp-json\/wp\/v2\/comments?post=4874"}],"version-history":[{"count":0,"href":"https:\/\/blogs.ethz.ch\/id\/wp-json\/wp\/v2\/posts\/4874\/revisions"}],"wp:attachment":[{"href":"https:\/\/blogs.ethz.ch\/id\/wp-json\/wp\/v2\/media?parent=4874"}],"wp:term":[{"taxonomy":"category","embeddable":true,"href":"https:\/\/blogs.ethz.ch\/id\/wp-json\/wp\/v2\/categories?post=4874"},{"taxonomy":"post_tag","embeddable":true,"href":"https:\/\/blogs.ethz.ch\/id\/wp-json\/wp\/v2\/tags?post=4874"}],"curies":[{"name":"wp","href":"https:\/\/api.w.org\/{rel}","templated":true}]}}