Trusted Cloud:
Standards für die Sicherheit


[7.2.2017] Im Rahmen des Programms Trusted Cloud wurden einheitliche Standards für die Sicherheit von Cloud-Diensten entwickelt. In den Prozess und die Pilotzertifizierung eingebunden war der kommunale IT-Dienstleister regio iT.

Gütesiegel für das Produkt bürgerportal von regio iT. Sie ist einfach zu nutzen und schwer zu schützen – die Cloud. Um sie auch wirklich sicher zu machen, wurden einheitliche Standards für die Sicherheit in der Datenwolke definiert. Das Pilotprojekt Datenschutzzertifizierung wurde im Rahmen des Technologieprogramms Trusted Cloud, gefördert durch das Bundesministerium für Wirtschaft und Energie (BMWi), durchgeführt. Vertreter aus Industrie, Forschung und von Datenschutzbehörden erarbeiteten in einem sehr intensiven Prozess einheitliche Richtlinien. Mit am Tisch: der kommunale IT-Dienstleister regio iT als „Experte aus der Praxis“, wie regio iT-Unternehmensarchitekt Peter Niehues sagt.
Mit dem Trusted Cloud Datenschutz Profil (TCDP) sollen vertrauenswürdige Cloud-Services und Cloud-bezogene Dienstleistungen ausgezeichnet und die Orientierung für Cloud-Anwender erleichtert werden. Zudem soll künftig nachgewiesen werden, dass ein Cloud-Dienst konform zum Bundesdatenschutzgesetz und der kommenden EU-Datenschutz-Grundverordnung (DSGVO) betrieben wird. „Datenschutz und gesetzeskonformer Datentransfer spielen gerade in der öffentlichen Verwaltung eine große Rolle“, so Niehues. Damit Behörden von den Vorzügen des Teilens und der gemeinsamen Bearbeitung von Daten in einer Cloud profitieren können, muss diese hohen Sicherheitsanforderungen genügen.

regio iT bringt kommunale Erfahrungen ein

IT-Dienstleister regio iT hat schon früh auf Sicherheit gesetzt und kann besonders sensible Daten in einer eigenen Cloud sicher speichern. IDGARD – ein Produkt des regio iT-Partners UNISCON – verschlüsselt automatisch alle Daten in der ucloud, der hochsicheren regio iT-Datenwolke. Damit kann niemand, der nicht vom Verfasser des Dokuments ausdrücklich eingeladen wurde, darauf zugreifen. „Auch nicht der Administrator“, ergänzt Niehues. Die Wolke selbst liegt in einem zertifizierten Rechenzentrum, das mit modernster Sicherheitstechnik ausgestattet ist. Ein externer Zugriff auf die Festplatten ist nicht möglich und auch Stromausfälle können den Servern nichts anhaben. Hard- und Software sind so sicher, dass sie auch den Voraussetzungen des § 203 StGB genügen: totale Geheimhaltung.
Seine Erfahrungen als Cloud-Anbieter brachte der kommunale IT-Dienstleister in das Pilotprojekt mit ein. „Unsere Rolle war klar definiert. Wir wissen, was in der Praxis unabhängig von der Unternehmensgröße umsetzbar ist. Damit die Entwicklung insbesondere nicht an den kleinen und mittleren Unternehmen vorbeigeht, haben wir aufgezeigt, was nicht nur realisierbar, sondern auch finanziell darstellbar ist“, erläutert Niehues die Aufgabe von regio iT bei der Erarbeitung des Trusted Cloud Datenschutz Profils. Nach intensiven Diskussionen wurde unter anderem das Verfahren festgelegt sowie drei Schutzklassen definiert.

Pilot bei der Zertifizierung

In der ersten Schutzklasse muss durch technische und organisatorische Maßnahmen sichergestellt werden, dass Daten nicht unbemerkt bearbeitet oder gelöscht werden können. In Klasse zwei müssen zudem Fehler seitens des Cloud-Betreibers ausgeschlossen sein. Es muss beispielsweise sichergestellt werden, dass beim Austausch einer Festplatte diese nicht einfach im Müll landet und Daten in falsche Hände geraten. Klasse drei erfordert zusätzliche Schutzmaßnahmen, die beispielsweise eine forensische Analyse ermöglichen. Mithilfe der Forensik können Angriffe auf IT-Systeme nachverfolgt werden. Die Vorschläge sollen voraussichtlich auch in die EU-Datenschutz-Grundverordnung einfließen und eine europaweite Zertifizierung ermöglichen. Ein Pilotverfahren wurde entwickelt und getestet und auch hier war regio iT dabei: Als einer von bundesweit sechs Anbietern hatte der kommunale IT-Dienstleister den Antrag auf Zertifizierung seines bürgerportals und der Cloud-Dienste eingereicht. Das bürgerportal bietet als virtuelles Rathaus online Zugang zu Verwaltungsleistungen – jederzeit und von jedem Ort aus. Durch den modularen Aufbau und modernste Internet-Technologien ist eine Einbindung des bürgerportals in vorhandene Systeme medienbruchfrei umsetzbar.

Aufwand rechnet sich

Das zweistufige Verfahren zur Zertifizierung war zeit- und arbeitsintensiv. Der Aufwand ist aus Sicht von Niehues aber „absolut gerechtfertigt“. Nicht nur, weil die Cloud-Dienste durch die Zertifizierung vergleichbar werden, sondern weil am Ende des Verfahrens ein wirkliches Qualitätssiegel steht. Stufe eins sieht die Festlegung des Zertifizierungsgegenstandes vor (Target of Audit). Was kommt rein, was nicht? Die inhaltlichen Anforderungen an die begleitende Dokumentation sind hoch: Einsatzzweck, die Art der verarbeiteten personenbezogenen Daten, informationstechnische Geräte einschließlich des Standorts, verwendete Programme und die zur Inbetriebnahme getätigten Schritte, die physikalischen und logischen Verbindungen zu anderen informationstechnischen Geräten (Netzplan) und einiges mehr werden niedergeschrieben. Die Dokumentation wird dem Auditoren-Team zur Prüfung vorab zur Verfügung gestellt. Diese erstellen daraus den Auditplan für die Prüfung vor Ort – Stufe zwei der Zertifizierung. „Wir haben zwei sehr gut vorbereitete Auditoren in Aachen begrüßen können“, so Niehues. Einen Tag lang wurde die eingereichte Dokumentation Punkt für Punkt abgeklopft. Wie ist das Back-up-Prozedere? Wie sehen die Zutrittsberechtigungen für die Server-Räume aus? Am Ende dieses Audits steht die Nachbesserung der Dokumentation, die dann an die Zertifizierungsstelle geschickt wird.

Gütesiegel für das bürgerportal

Nach dreimonatiger Arbeit war es Ende September vergangenen Jahres schließlich so weit: Das bürgerportal von regio iT wurde von der Zertifizierungsstelle der TÜV Informationstechnik GmbH (TÜViT) gemäß dem „Trusted Cloud Datenschutz Profil für Cloud-Dienste“ zertifiziert. „Das ist ein Gütesiegel für unser bürgerportal und eine tolle Belohnung für den hohen Aufwand, den unsere Mitarbeiterinnen und Mitarbeiter betrieben haben“, so Dieter Rehfeld, Vorsitzender der regio iT-Geschäftsführung, bei der Übergabe des Zertifikats im Bundeswirtschaftsministerium. Als einer von nur vier bundesweit ausgewählten Diensten wurde regio iT im Pilotverfahren zertifiziert. Damit bietet das bürgerportal des kommunalen IT-Dienstleisters einen hochsicheren Cloud-Dienst, der das Bundesdatenschutzgesetz in vollem Umfang berücksichtigt und schon jetzt die Anforderungen der noch in der Umsetzung befindlichen EU-Datenschutz-Grundverordnung erfüllt.
„Wenn die Kunden im Bürgerportal die ucloud als Dateiablage nutzen, sind unsere Daten nicht nur verschlüsselt, sondern versiegelt“, erläutert Niehues die Vorzüge des bürgerportals mit Dateiablage in der ucloud. Er wird auch die nächsten Schritte begleiten: „Wir werden nun die Zertifizierung nach TCDP 1.0 in Angriff nehmen und streben diese auch für weitere Services an“, kündigt Rehfeld an.

Carola Adenauer ist freie Journalistin in Rheda-Wiedenbrück.

http://www.trusted-cloud.de
http://www.regioit.de
Dieser Beitrag ist in der Februar-Ausgabe von Kommune21 im Schwerpunkt Cloud Computing erschienen. Hier können Sie ein Exemplar bestellen oder die Zeitschrift abonnieren. (Deep Link)

Stichwörter: IT-Infrastruktur, regio iT, Trusted Cloud, IT-Sicherheit, Zertifizierung

Bildquelle: regio iT

Druckversion    PDF     Link mailen



Weitere Meldungen und Beiträge aus dem Bereich IT-Infrastruktur
Vitako / Deutscher Landkreistag: Positionspapier zur föderalen IT-Architektur
[27.8.2020] Der Deutsche Landkreistag und Vitako haben ein Papier zur föderalen Digitalisierungsarchitektur vorgelegt. Unter anderem wird umrissen, wie bereits bestehende kommunale IT-Strukturen weiterentwickelt werden können, um OZG-Vorgaben zu erfüllen. mehr...
Bürgerservice: Terminal als Brücke Bericht
[19.8.2020] Mit automatisierten Ausgabe-Terminals können Behörden den Bürgern nicht nur Dokumente außerhalb von Öffnungszeiten zur Verfügung stellen. Sie stärken damit auch den lokalen Einzelhandel oder reduzieren sogar den CO2-Ausstoß in einer Kommune. mehr...
Niedersachsen: Software entlastet Gesundheitsämter
[17.8.2020] Eine spezielle Software soll die Gesundheitsämter in Niedersachsen bei ihren pandemiebezogenen Aufgaben unterstützen. Die Open-Source-Anwendung soll bis Jahresende im gesamten Bundesland implementiert sein. mehr...
SharePointForum 2020: Webinar-Serie und Präsenzveranstaltung
[13.8.2020] Mit einer wöchentlichen Webinar-Serie startete das Stuttgarter SharePointForum 2020 bereits Ende Juli. Auf der Präsenzveranstaltung Ende Oktober stehen die Themen SharePoint, Microsoft Teams und Office 365 im Fokus. mehr...
Die Präsenztickets für das SharePointForum sind in diesem Jahr begrenzt, um ausreichend Raum bieten zu können. Allerdings besteht auch die Möglichkeit online teilzunehmen.
XPlanung/XBau: Datenformate werden weiterentwickelt
[12.8.2020] Der Betrieb der Leitstelle XPlanung/XBau wurde jetzt mit einer Verwaltungsvereinbarung gesichert. Die in Hamburg ansässige, bundesweit tätige Koordinierungsstelle treibt die Vereinheitlichung von Datenstandards im Planungs- und Bauwesen voran. mehr...
Suchen...

Aktuelle Information des Verlags


In Zeiten der Corona-Pandemie werden wir aktuelle Ausgaben von Kommune21 allen Interessierten bis auf weiteres kostenfrei digital zur Verfügung stellen. Weisen Sie bitte auch Ihre Kolleginnen und Kollegen im Homeoffice auf diese Möglichkeit hin.

Wir haben an dieser Stelle eine Bitte an Sie:
Die gegenwärtige Situation macht einmal mehr deutlich, wie wichtig das Thema Digitalisierung auch in Ihrer Verwaltung, Behörde oder Schule ist. Kommune21 berichtet seit 20 Jahren über alle wichtigen Themen der IT-gestützten Verwaltungsmodernisierung und hilft, die Digitalisierung im Public Sector transparent und besser zu gestalten. Bitte prüfen Sie über Ihre Buchhaltung, ob Sie bereits ein reguläres Abonnement von Kommune21 haben. Wenn nicht, dann freuen wir uns, wenn Sie gerade in diesen Zeiten ein Abonnement in Betracht ziehen. Danke!

Kommune21, Ausgabe 9/2020
Kommune21, Ausgabe 8/2020
Kommune21, Ausgabe 7/2020
Kommune21, Ausgabe 6/2020

Ausgewählte Anbieter aus dem Bereich IT-Infrastruktur:
IT-Guide PlusDATEV eG
90429 Nürnberg
DATEV eG
Net at Work GmbH
33104 Paderborn
Net at Work GmbH
ColocationIX GmbH
28195 Bremen
ColocationIX GmbH
Consultix GmbH
28195 Bremen
Consultix GmbH
Aktuelle Meldungen