Trusted Cloud:
Standards für die Sicherheit


[7.2.2017] Im Rahmen des Programms Trusted Cloud wurden einheitliche Standards für die Sicherheit von Cloud-Diensten entwickelt. In den Prozess und die Pilotzertifizierung eingebunden war der kommunale IT-Dienstleister regio iT.

Gütesiegel für das Produkt bürgerportal von regio iT. Sie ist einfach zu nutzen und schwer zu schützen – die Cloud. Um sie auch wirklich sicher zu machen, wurden einheitliche Standards für die Sicherheit in der Datenwolke definiert. Das Pilotprojekt Datenschutzzertifizierung wurde im Rahmen des Technologieprogramms Trusted Cloud, gefördert durch das Bundesministerium für Wirtschaft und Energie (BMWi), durchgeführt. Vertreter aus Industrie, Forschung und von Datenschutzbehörden erarbeiteten in einem sehr intensiven Prozess einheitliche Richtlinien. Mit am Tisch: der kommunale IT-Dienstleister regio iT als „Experte aus der Praxis“, wie regio iT-Unternehmensarchitekt Peter Niehues sagt.
Mit dem Trusted Cloud Datenschutz Profil (TCDP) sollen vertrauenswürdige Cloud-Services und Cloud-bezogene Dienstleistungen ausgezeichnet und die Orientierung für Cloud-Anwender erleichtert werden. Zudem soll künftig nachgewiesen werden, dass ein Cloud-Dienst konform zum Bundesdatenschutzgesetz und der kommenden EU-Datenschutz-Grundverordnung (DSGVO) betrieben wird. „Datenschutz und gesetzeskonformer Datentransfer spielen gerade in der öffentlichen Verwaltung eine große Rolle“, so Niehues. Damit Behörden von den Vorzügen des Teilens und der gemeinsamen Bearbeitung von Daten in einer Cloud profitieren können, muss diese hohen Sicherheitsanforderungen genügen.

regio iT bringt kommunale Erfahrungen ein

IT-Dienstleister regio iT hat schon früh auf Sicherheit gesetzt und kann besonders sensible Daten in einer eigenen Cloud sicher speichern. IDGARD – ein Produkt des regio iT-Partners UNISCON – verschlüsselt automatisch alle Daten in der ucloud, der hochsicheren regio iT-Datenwolke. Damit kann niemand, der nicht vom Verfasser des Dokuments ausdrücklich eingeladen wurde, darauf zugreifen. „Auch nicht der Administrator“, ergänzt Niehues. Die Wolke selbst liegt in einem zertifizierten Rechenzentrum, das mit modernster Sicherheitstechnik ausgestattet ist. Ein externer Zugriff auf die Festplatten ist nicht möglich und auch Stromausfälle können den Servern nichts anhaben. Hard- und Software sind so sicher, dass sie auch den Voraussetzungen des § 203 StGB genügen: totale Geheimhaltung.
Seine Erfahrungen als Cloud-Anbieter brachte der kommunale IT-Dienstleister in das Pilotprojekt mit ein. „Unsere Rolle war klar definiert. Wir wissen, was in der Praxis unabhängig von der Unternehmensgröße umsetzbar ist. Damit die Entwicklung insbesondere nicht an den kleinen und mittleren Unternehmen vorbeigeht, haben wir aufgezeigt, was nicht nur realisierbar, sondern auch finanziell darstellbar ist“, erläutert Niehues die Aufgabe von regio iT bei der Erarbeitung des Trusted Cloud Datenschutz Profils. Nach intensiven Diskussionen wurde unter anderem das Verfahren festgelegt sowie drei Schutzklassen definiert.

Pilot bei der Zertifizierung

In der ersten Schutzklasse muss durch technische und organisatorische Maßnahmen sichergestellt werden, dass Daten nicht unbemerkt bearbeitet oder gelöscht werden können. In Klasse zwei müssen zudem Fehler seitens des Cloud-Betreibers ausgeschlossen sein. Es muss beispielsweise sichergestellt werden, dass beim Austausch einer Festplatte diese nicht einfach im Müll landet und Daten in falsche Hände geraten. Klasse drei erfordert zusätzliche Schutzmaßnahmen, die beispielsweise eine forensische Analyse ermöglichen. Mithilfe der Forensik können Angriffe auf IT-Systeme nachverfolgt werden. Die Vorschläge sollen voraussichtlich auch in die EU-Datenschutz-Grundverordnung einfließen und eine europaweite Zertifizierung ermöglichen. Ein Pilotverfahren wurde entwickelt und getestet und auch hier war regio iT dabei: Als einer von bundesweit sechs Anbietern hatte der kommunale IT-Dienstleister den Antrag auf Zertifizierung seines bürgerportals und der Cloud-Dienste eingereicht. Das bürgerportal bietet als virtuelles Rathaus online Zugang zu Verwaltungsleistungen – jederzeit und von jedem Ort aus. Durch den modularen Aufbau und modernste Internet-Technologien ist eine Einbindung des bürgerportals in vorhandene Systeme medienbruchfrei umsetzbar.

Aufwand rechnet sich

Das zweistufige Verfahren zur Zertifizierung war zeit- und arbeitsintensiv. Der Aufwand ist aus Sicht von Niehues aber „absolut gerechtfertigt“. Nicht nur, weil die Cloud-Dienste durch die Zertifizierung vergleichbar werden, sondern weil am Ende des Verfahrens ein wirkliches Qualitätssiegel steht. Stufe eins sieht die Festlegung des Zertifizierungsgegenstandes vor (Target of Audit). Was kommt rein, was nicht? Die inhaltlichen Anforderungen an die begleitende Dokumentation sind hoch: Einsatzzweck, die Art der verarbeiteten personenbezogenen Daten, informationstechnische Geräte einschließlich des Standorts, verwendete Programme und die zur Inbetriebnahme getätigten Schritte, die physikalischen und logischen Verbindungen zu anderen informationstechnischen Geräten (Netzplan) und einiges mehr werden niedergeschrieben. Die Dokumentation wird dem Auditoren-Team zur Prüfung vorab zur Verfügung gestellt. Diese erstellen daraus den Auditplan für die Prüfung vor Ort – Stufe zwei der Zertifizierung. „Wir haben zwei sehr gut vorbereitete Auditoren in Aachen begrüßen können“, so Niehues. Einen Tag lang wurde die eingereichte Dokumentation Punkt für Punkt abgeklopft. Wie ist das Back-up-Prozedere? Wie sehen die Zutrittsberechtigungen für die Server-Räume aus? Am Ende dieses Audits steht die Nachbesserung der Dokumentation, die dann an die Zertifizierungsstelle geschickt wird.

Gütesiegel für das bürgerportal

Nach dreimonatiger Arbeit war es Ende September vergangenen Jahres schließlich so weit: Das bürgerportal von regio iT wurde von der Zertifizierungsstelle der TÜV Informationstechnik GmbH (TÜViT) gemäß dem „Trusted Cloud Datenschutz Profil für Cloud-Dienste“ zertifiziert. „Das ist ein Gütesiegel für unser bürgerportal und eine tolle Belohnung für den hohen Aufwand, den unsere Mitarbeiterinnen und Mitarbeiter betrieben haben“, so Dieter Rehfeld, Vorsitzender der regio iT-Geschäftsführung, bei der Übergabe des Zertifikats im Bundeswirtschaftsministerium. Als einer von nur vier bundesweit ausgewählten Diensten wurde regio iT im Pilotverfahren zertifiziert. Damit bietet das bürgerportal des kommunalen IT-Dienstleisters einen hochsicheren Cloud-Dienst, der das Bundesdatenschutzgesetz in vollem Umfang berücksichtigt und schon jetzt die Anforderungen der noch in der Umsetzung befindlichen EU-Datenschutz-Grundverordnung erfüllt.
„Wenn die Kunden im Bürgerportal die ucloud als Dateiablage nutzen, sind unsere Daten nicht nur verschlüsselt, sondern versiegelt“, erläutert Niehues die Vorzüge des bürgerportals mit Dateiablage in der ucloud. Er wird auch die nächsten Schritte begleiten: „Wir werden nun die Zertifizierung nach TCDP 1.0 in Angriff nehmen und streben diese auch für weitere Services an“, kündigt Rehfeld an.

Carola Adenauer ist freie Journalistin in Rheda-Wiedenbrück.

www.trusted-cloud.de
www.regioit.de
Dieser Beitrag ist in der Februar-Ausgabe von Kommune21 im Schwerpunkt Cloud Computing erschienen. Hier können Sie ein Exemplar bestellen oder die Zeitschrift abonnieren. (Deep Link)

Stichwörter: IT-Infrastruktur, regio iT, Trusted Cloud, IT-Sicherheit, Zertifizierung

Bildquelle: regio iT

Druckversion    PDF     Link mailen


ekom21

 Anzeige

Weitere Meldungen und Beiträge aus dem Bereich IT-Infrastruktur
Dortmund: Freie Software, offene Standards
[17.4.2018] Die Potenziale freier Software und offener Standards untersucht Dortmund in den kommenden zwei Jahren. Die Ruhrmetropole erweitert dafür ihren Masterplan Digitale Stadtverwaltung. mehr...
Die Potenziale freier Software und offener Standards für die Verwaltung untersucht die Stadt Dortmund.
Ludwigsburg: Von der Planstadt zur Smart City
[12.4.2018] An fünf Abenden spannen in Ludwigsburg Experten den Bogen von historischen zu aktuellen Themen der Stadtentwicklung. Thematisiert werden unter anderem Smart-City-Lösungen, die energieeffiziente Straßenbeleuchtung oder die Stadt in der Cloud. mehr...
Geräte-Management: E-Mails im Container Bericht
[10.4.2018] Ob mit dem Diensthandy oder einem privaten Gerät: Mit der App DME können Mitarbeiter der Verwaltung in Hamburg, Schleswig-Holstein und Sachsen-Anhalt von unterwegs aus auf E-Mails, Kalender und Kontakte zugreifen. mehr...
Fujitsu: Blockchain Innovationszentrum eröffnet
[6.4.2018] In einem neuen Blockchain Innovation Center will das Unternehmen Fujitsu dem Einsatz der Blockchain-Technologie für Smart-City-Services auf den Grund gehen. mehr...
Bonn: Digitalisierung mit CDO
[4.4.2018] Als Chief Digital Officer (CDO) wird Friedrich Fuß die Digitalisierung in Bonn moderieren und koordinieren. Die Bundesstadt plant und realisiert unterschiedliche Vorhaben, um Bürgern und Unternehmen neue, zeitgemäße Services anbieten zu können. mehr...
Mithilfe eines CDO widmet sich die Stadtverwaltung Bonn der Digitalisierung.
Suchen...

 Anzeige

Ausgewählte Anbieter aus dem Bereich IT-Infrastruktur:
IT-Guide PlusDATEV eG
90429 Nürnberg
DATEV eG
TSA - Teleport GmbH
06108 Halle (Saale)
TSA - Teleport GmbH
Aktuelle Meldungen