Trusted Cloud:
Standards für die Sicherheit


[7.2.2017] Im Rahmen des Programms Trusted Cloud wurden einheitliche Standards für die Sicherheit von Cloud-Diensten entwickelt. In den Prozess und die Pilotzertifizierung eingebunden war der kommunale IT-Dienstleister regio iT.

Gütesiegel für das Produkt bürgerportal von regio iT. Sie ist einfach zu nutzen und schwer zu schützen – die Cloud. Um sie auch wirklich sicher zu machen, wurden einheitliche Standards für die Sicherheit in der Datenwolke definiert. Das Pilotprojekt Datenschutzzertifizierung wurde im Rahmen des Technologieprogramms Trusted Cloud, gefördert durch das Bundesministerium für Wirtschaft und Energie (BMWi), durchgeführt. Vertreter aus Industrie, Forschung und von Datenschutzbehörden erarbeiteten in einem sehr intensiven Prozess einheitliche Richtlinien. Mit am Tisch: der kommunale IT-Dienstleister regio iT als „Experte aus der Praxis“, wie regio iT-Unternehmensarchitekt Peter Niehues sagt.
Mit dem Trusted Cloud Datenschutz Profil (TCDP) sollen vertrauenswürdige Cloud-Services und Cloud-bezogene Dienstleistungen ausgezeichnet und die Orientierung für Cloud-Anwender erleichtert werden. Zudem soll künftig nachgewiesen werden, dass ein Cloud-Dienst konform zum Bundesdatenschutzgesetz und der kommenden EU-Datenschutz-Grundverordnung (DSGVO) betrieben wird. „Datenschutz und gesetzeskonformer Datentransfer spielen gerade in der öffentlichen Verwaltung eine große Rolle“, so Niehues. Damit Behörden von den Vorzügen des Teilens und der gemeinsamen Bearbeitung von Daten in einer Cloud profitieren können, muss diese hohen Sicherheitsanforderungen genügen.

regio iT bringt kommunale Erfahrungen ein

IT-Dienstleister regio iT hat schon früh auf Sicherheit gesetzt und kann besonders sensible Daten in einer eigenen Cloud sicher speichern. IDGARD – ein Produkt des regio iT-Partners UNISCON – verschlüsselt automatisch alle Daten in der ucloud, der hochsicheren regio iT-Datenwolke. Damit kann niemand, der nicht vom Verfasser des Dokuments ausdrücklich eingeladen wurde, darauf zugreifen. „Auch nicht der Administrator“, ergänzt Niehues. Die Wolke selbst liegt in einem zertifizierten Rechenzentrum, das mit modernster Sicherheitstechnik ausgestattet ist. Ein externer Zugriff auf die Festplatten ist nicht möglich und auch Stromausfälle können den Servern nichts anhaben. Hard- und Software sind so sicher, dass sie auch den Voraussetzungen des § 203 StGB genügen: totale Geheimhaltung.
Seine Erfahrungen als Cloud-Anbieter brachte der kommunale IT-Dienstleister in das Pilotprojekt mit ein. „Unsere Rolle war klar definiert. Wir wissen, was in der Praxis unabhängig von der Unternehmensgröße umsetzbar ist. Damit die Entwicklung insbesondere nicht an den kleinen und mittleren Unternehmen vorbeigeht, haben wir aufgezeigt, was nicht nur realisierbar, sondern auch finanziell darstellbar ist“, erläutert Niehues die Aufgabe von regio iT bei der Erarbeitung des Trusted Cloud Datenschutz Profils. Nach intensiven Diskussionen wurde unter anderem das Verfahren festgelegt sowie drei Schutzklassen definiert.

Pilot bei der Zertifizierung

In der ersten Schutzklasse muss durch technische und organisatorische Maßnahmen sichergestellt werden, dass Daten nicht unbemerkt bearbeitet oder gelöscht werden können. In Klasse zwei müssen zudem Fehler seitens des Cloud-Betreibers ausgeschlossen sein. Es muss beispielsweise sichergestellt werden, dass beim Austausch einer Festplatte diese nicht einfach im Müll landet und Daten in falsche Hände geraten. Klasse drei erfordert zusätzliche Schutzmaßnahmen, die beispielsweise eine forensische Analyse ermöglichen. Mithilfe der Forensik können Angriffe auf IT-Systeme nachverfolgt werden. Die Vorschläge sollen voraussichtlich auch in die EU-Datenschutz-Grundverordnung einfließen und eine europaweite Zertifizierung ermöglichen. Ein Pilotverfahren wurde entwickelt und getestet und auch hier war regio iT dabei: Als einer von bundesweit sechs Anbietern hatte der kommunale IT-Dienstleister den Antrag auf Zertifizierung seines bürgerportals und der Cloud-Dienste eingereicht. Das bürgerportal bietet als virtuelles Rathaus online Zugang zu Verwaltungsleistungen – jederzeit und von jedem Ort aus. Durch den modularen Aufbau und modernste Internet-Technologien ist eine Einbindung des bürgerportals in vorhandene Systeme medienbruchfrei umsetzbar.

Aufwand rechnet sich

Das zweistufige Verfahren zur Zertifizierung war zeit- und arbeitsintensiv. Der Aufwand ist aus Sicht von Niehues aber „absolut gerechtfertigt“. Nicht nur, weil die Cloud-Dienste durch die Zertifizierung vergleichbar werden, sondern weil am Ende des Verfahrens ein wirkliches Qualitätssiegel steht. Stufe eins sieht die Festlegung des Zertifizierungsgegenstandes vor (Target of Audit). Was kommt rein, was nicht? Die inhaltlichen Anforderungen an die begleitende Dokumentation sind hoch: Einsatzzweck, die Art der verarbeiteten personenbezogenen Daten, informationstechnische Geräte einschließlich des Standorts, verwendete Programme und die zur Inbetriebnahme getätigten Schritte, die physikalischen und logischen Verbindungen zu anderen informationstechnischen Geräten (Netzplan) und einiges mehr werden niedergeschrieben. Die Dokumentation wird dem Auditoren-Team zur Prüfung vorab zur Verfügung gestellt. Diese erstellen daraus den Auditplan für die Prüfung vor Ort – Stufe zwei der Zertifizierung. „Wir haben zwei sehr gut vorbereitete Auditoren in Aachen begrüßen können“, so Niehues. Einen Tag lang wurde die eingereichte Dokumentation Punkt für Punkt abgeklopft. Wie ist das Back-up-Prozedere? Wie sehen die Zutrittsberechtigungen für die Server-Räume aus? Am Ende dieses Audits steht die Nachbesserung der Dokumentation, die dann an die Zertifizierungsstelle geschickt wird.

Gütesiegel für das bürgerportal

Nach dreimonatiger Arbeit war es Ende September vergangenen Jahres schließlich so weit: Das bürgerportal von regio iT wurde von der Zertifizierungsstelle der TÜV Informationstechnik GmbH (TÜViT) gemäß dem „Trusted Cloud Datenschutz Profil für Cloud-Dienste“ zertifiziert. „Das ist ein Gütesiegel für unser bürgerportal und eine tolle Belohnung für den hohen Aufwand, den unsere Mitarbeiterinnen und Mitarbeiter betrieben haben“, so Dieter Rehfeld, Vorsitzender der regio iT-Geschäftsführung, bei der Übergabe des Zertifikats im Bundeswirtschaftsministerium. Als einer von nur vier bundesweit ausgewählten Diensten wurde regio iT im Pilotverfahren zertifiziert. Damit bietet das bürgerportal des kommunalen IT-Dienstleisters einen hochsicheren Cloud-Dienst, der das Bundesdatenschutzgesetz in vollem Umfang berücksichtigt und schon jetzt die Anforderungen der noch in der Umsetzung befindlichen EU-Datenschutz-Grundverordnung erfüllt.
„Wenn die Kunden im Bürgerportal die ucloud als Dateiablage nutzen, sind unsere Daten nicht nur verschlüsselt, sondern versiegelt“, erläutert Niehues die Vorzüge des bürgerportals mit Dateiablage in der ucloud. Er wird auch die nächsten Schritte begleiten: „Wir werden nun die Zertifizierung nach TCDP 1.0 in Angriff nehmen und streben diese auch für weitere Services an“, kündigt Rehfeld an.

Carola Adenauer ist freie Journalistin in Rheda-Wiedenbrück.

www.trusted-cloud.de
www.regioit.de
Dieser Beitrag ist in der Februar-Ausgabe von Kommune21 im Schwerpunkt Cloud Computing erschienen. Hier können Sie ein Exemplar bestellen oder die Zeitschrift abonnieren. (Deep Link)

Stichwörter: Cloud Computing, regio iT, Trusted Cloud, IT-Sicherheit, Zertifizierung

Bildquelle: regio iT

Druckversion    PDF     Link mailen


ekom21
Weitere Meldungen und Beiträge aus dem Bereich Cloud Computing
krz: Feuerwehr nutzt DataBox Bericht
[15.2.2017] Auf vertrauliche Daten und schützenswerte Dokumente an jedem Ort und zu jeder Zeit sicher zuzugreifen sowie sie mit anderen zu teilen, ist für Kommunen ohne viel Aufwand möglich. Das zeigt eine Lösung des Kommunalen Rechenzentrums Minden-Ravensberg/Lippe. mehr...
Die DataBox steht auch als App bereit.
Cloud Computing: Aufbruch in die Zukunft Bericht
[31.1.2017] Cloud-basierte Dienste werden überall dort eingesetzt, wo Kostendruck herrscht und dem Mangel an qualifizierten IT-Fachkräften begegnet werden muss. Auch die öffentliche Verwaltung wird ohne Cloud-Dienste ihre Leistungsfähigkeit verlieren. mehr...
Mit Cloud-Diensten effizienter werden und Kosten sparen.
IT-Consult Halle: Sicheres Speichern in der Cloud
[20.12.2016] Eine Cloud-Speicherlösung für Kommunen und Unternehmen bietet ab sofort der IT-Dienstleister IT-Consult Halle an. mehr...
Cloud Computing: Bedenken zerstreuen Bericht
[16.12.2016] Mit der Deutschland Cloud will Microsoft Sicherheitsbedenken bei der Auslagerung von Daten und Diensten in Rechenzentren zerstreuen. Die Cloud-Strategie ist für den IT-Konzern ein zentraler Baustein der digitalen Transformation von Wirtschaft und Gesellschaft. mehr...
Microsoft öffnet das Fenster zur Cloud.
BSI: Label für sichere Cloud-Dienste
[14.12.2016] Deutschland und Frankreich wollen im Bereich Cloud Computing enger zusammenarbeiten. Im Fokus steht dabei ein gemeinsames Label für sichere Cloud-Dienste. mehr...
Deutschland und Frankreich schaffen gemeinsames Label für sichere Cloud-Dienste.