GERMAN CLOUD interviewt in seiner Reihe " Zehn Fragen an..." regelmäßig Persönlichkeiten mit fundiertem Branchenwissen zu Cloud-Computing. Das aktuelle Interview führte Götz Piwinger, Geschäftsführer des Verbands mit Herr Matthias Bongarth vom LDI RLP.
"Wie eine aktuelle Studie von GERMAN CLOUD zeigt, haben fast 70 Prozent der deutschen Verbraucher Zweifel, ob ihre Daten bei einem nicht-deutschen Cloud-Anbieter wirklich in guten Händen sind."
Frage 1:
GC: Mittelständische Unternehmen gehen vorsichtig dazu über, Firmendaten in der Cloud zu verarbeiten. Haben Sie den Eindruck, dass diese Unternehmen wissen, wonach sie fragen müssen, wenn es um den Schutz und die Sicherheit ihrer Daten geht?
Matthias Bongarth:
Der Landesbetrieb Daten und Information kann hier durch seine Arbeit unterstützen, denn er erarbeitet derzeit in Zusammenarbeit mit Landesrechenzentren mehrerer Bundesländer ein Eckpunktepapier "Cloud-Services". Dieses Dokument kann als Leitfaden für Behörden oder auch Unternehmen dienen, die den Schritt in die "Cloud" erwägen. Dabei ist zunächst anhand mehrerer Kriterien zu prüfen, ob eine Migration der Daten in eine Public-Cloud rechtlich überhaupt möglich ist. Hat man sich für ein Public-Cloud-Modell entschieden, enthält das Eckpunktepapier einen Fragenkatalog, der als Vorlage für ein Pflichtenheft verwendet werden kann. Diese Fragen sind in einem realen Ausschreibungsverfahren bereits verwendet und im Anschluss optimiert worden.
Frage 2:
Mit dem Projekt "Polizeicloud" haben Sie eine Cloud geschaffen, die nach den strengsten Richtlinien: IS0 27001 auf Basis des IT-Grundschutzes, zertifiziert ist. Damit ist Rheinland Pfalz das erste Bundesland mit diesem Sicherheitsstandard. Warum war Ihnen dieser Schritt so wichtig?
Matthias Bongarth:
Die hohen Sicherheitsanforderungen der polizeilichen Verfahren machten es notwendig, das IT-Sicherheitsmanagement durch externe Auditoren verifizieren zu lassen. Mit der Erteilung eines ISO 27001-Zertifikats auf der Basis von IT-Grundschutz durch das Bundesamt für Sicherheit in der Informationstechnik (BSI) konnten wir nachweisen, dass wir alle erforderlichen Maßnahmen der Grundschutzkataloge, entsprechend des Schutzbedarfs der beteiligten Verfahren, umgesetzt haben. Die Zertifizierung war auch eine wesentliche Rahmenbedingung, unter der wir das Projekt gemeinsam mit der Polizei überhaupt durchführen konnten.
Frage 3:
GC: Ich habe mal bei einem anderen Gespräch mit Ihnen ein Zitat notiert: "..Mit dem Zertifikat hat sich die Welt geändert..." Wie war das gemeint?
Matthias Bongarth:
Rheinland-Pfalz, als erstes Bundesland mit einer ISO 27001 zertifizierten Cloud-Umgebung, ist beispielgebend für andere Bundesländer. Deutsche Behörden sind generell gehalten, sich an die Vorgaben des IT-Grundschutzes zu halten. Wir haben gezeigt, dass dies auch möglich und umsetzbar ist, wenn Verfahren in einer Private-Cloud betrieben werden. Seit wir das Zertifikat haben ist das Interesse an dieser Lösung riesengroß und wir sind als Berater stark gefragt.
Frage 4:
GC: Nun ist die ISO 27001 zwar eine hochwertige Zertifizierung. Sie sichert jedoch nicht zwingend die Einhaltung deutscher Datenschutz und Datensicherheitsrichtlinien zu. Warum eigentlich nicht?
Matthias Bongarth:
Ich sehe das etwas anders. Um ein ISO 27001-Zertifikat auf der Basis von IT-Grundschutz zu erlangen müssen sämtliche Maßnahmen entsprechend des ermittelten Schutzbedarfs umgesetzt werden. Beim Durchlaufen der Vorbereitung der Zertifizierung werden sämtliche an den Verfahren beteiligten Prozesse durchleuchtet. Dies führt zwangsläufig zu einer Verbesserung des Sicherheitsniveaus. Wichtig dabei ist natürlich, dass die Maßnahmen nicht nur auf dem Papier umgesetzt werden, sondern, wie bei uns, auch tatsächlich gelebt werden.
Auch in puncto Datenschutz wird durch die Umsetzung des BSI-Bausteins "Datenschutz", der u.a. vom Bundesbeauftragten für den Datenschutz und die Informationsfreiheit erarbeitet wurde, ein klares Signal für ein formelles Einhalten der Datenschutzgesetze gegeben.
Frage 5:
GC: Die ISO 27001 ist für mittelständische Cloudanbieter aus Gründen des Aufwands nicht erfüllbar. So waren zum Beispiel beim LDI intern und extern 1,5 Personenjahre nötig, obwohl das Unternehmen schon sehr gut vorbereitet war. Glauben Sie, dass das German Cloud Zertifikat so etwas wie eine ISO-light für kleinere Cloudanbieter sein kann?
Matthias Bongarth:
Bestimmte behördliche Verfahren erfordern einen Betrieb in einem Rechenzentrum in hoheitlicher Hand. Für andere Verfahren mit einem "normalen" Schutzbedarf, kann der Schritt in eine Public-Cloud sinnvoll sein. Dabei spielen natürlich auch finanzielle Faktoren eine Rolle. Soll der Cloud-Anbieter nun den gleichen Standard, also beispielsweise ein ISO 27001-Zertifikat auf Basis von IT-Grundschutz wie ein Landesrechenzentrum bieten, so geht der wirtschaftliche Vorteil verloren. In diesem Fall bietet das von Ihnen genannte Zertifikat eine Möglichkeit für den Auftraggeber einen entsprechenden Level an Datenschutz und IT-Sicherheit vom Cloud-Anbieter zu fordern.
Frage 6:
GC: Auf der Seite der Anbieter von Public Cloudlösungen bestehen nach wie vor Herausforderungen, die noch nicht final gelöst sind. Wie kann zum eispiel ein Kunde das "Recht auf Vergessen", die endgültige Löschung der anvertrauten Daten prüfen?
Matthias Bongarth:
Die Frage ist, wie definiert man endgültige Löschung. Sollen die Daten so gelöscht werden, dass auch eine forensische Analyse der Festplatte keine verwertbaren Daten liefert, so müsste man fordern, das ausschließlich kundenexklusive Hardware zum Einsatz kommt und Festplatten nach Vorgaben des BSI sicher gelöscht oder vernichtet werden. In der Realität wird man sich damit begnügen müssen vom Cloud-Anbieter, z.B. im Rahmen einer Ausschreibung, das Verfahren zur Datenlöschung beschreiben und bestätigen zu lassen.
Frage 7:
GC: Für Unternehmen, die sich für eine Cloudlösung entscheiden, spielt das Bundesdatenschutzgesetz eine erhebliche Rolle. Beispielsweise haftet der Unternehmer bei Datenverlusten. Andererseits können Unternehmen ihr Haftungsrisiko durch Cloudlösungen minimieren. Welche Punkte sollten Unternehmen dabei beachten?
Matthias Bongarth:
Zur Einhaltung des Bundesdatenschutzgesetzes kann man nur empfehlen, ausschließlich Cloud-Service-Anbieter zu beauftragen, die nachweislich ihre Rechenzentren im direkten Geltungsbereich der deutschen Gesetzgebung betreiben, also in Deutschland. Das Unternehmen sollte von dem Anbieter Bestätigungen fordern, dass er über einen offiziell bestellten Datenschutzbeauftragten und ein formales Datenschutzkonzept verfügt und ggf. einem Vor-Ort-Audit des behördlichen bzw. zuständigen Datenschutzbeauftragten zustimmt. Die Mitarbeiter des Cloud-Anbieters sollten bereit sein, sich nach dem örtlich geltenden Datenschutzgesetzen (LDSG oder vergleichbar) und ggf. dem Verpflichtungsgesetz verpflichten zu lassen.
Frage 8:
GC: Mittlerweile ist es nicht nur ein sehr gute Empfehlung, seine Daten in eine Deutsche Cloud zu bringen. Hinzukommt, dass die Verschlüsselung und das Backup ebenso deutscher Herkunft sein sollten. Oder muss man das Ihrer Meinung nach nicht zu ernst nehmen?
Matthias Bongarth:
Natürlich muss man diese Themen sehr ernst nehmen. Wichtig ist allerdings zunächst, dass die Daten im Geltungsbereich des Bundesdatenschutzgesetzes gespeichert, verarbeitet und archiviert werden. Bei der Wahl der Verschlüsselung sollten nur als sicher geltende Algorithmen verwendet werden. Die Erzeugung, Verteilung und Speicherung der Schlüssel muss so erfolgen, dass diese nicht kompromittiert werden und auch Administratoren des Cloud-Service-Anbieters keinen Zugriff auf diese haben.
Die Sicherheitsarchitektur der Cloud ist so aufzubauen, dass das Herkunftsland der Software keine Rolle spielt. Würde man so weit gehen, müsste man u.a. auch die Herkunftsländer der Hardware und der Betriebssysteme in Frage stellen.
Frage 9:
GC: Sie haben bei der Umsetzung des Cloudprojektes einmal erzählt, dass manche Nutzer nach der Umstellung "Verlustängste" bekamen (Wo ist mein Towergehäuse, wo ist mein CD Laufwerk?). Welche Erfahrungen haben Sie bei der Umstellung noch gemacht?
Matthias Bongarth:
Durch die Optimierung der Auslastung der Hardwareressourcen und den damit einhergehenden Einsparungen, z.B. bei den Lizenzkosten, ist die anfängliche Skepsis schnell vergangen. Die kürzeren Provisionierungszeiten und die gute Skalierbarkeit der virtuellen Maschinen über das Self-Service-Portal haben die Kunden überzeugt. Als dann schließlich das hohe Niveau des IT-Sicherheitsmanagements durch die Erteilung des ISO 27001 Zertifikats auf der Basis von IT-Grundschutz erteilt wurde, waren alle anfänglichen Ängste vergessen. Dennoch kann ich rückblickend sagen, dass das Cloudprojekt in besonderem Maße auch ein Kommunikations- und Informationsprojekt war und man diesen Aspekten - neben der Technik - eine große Bedeutung zumessen muss.
Frage 10:
GC: Sie sind bei den Bundesländern Vorreiter in Sachen Cloud-Technologie. Der deutsche Anbieter T-Systems hat ihre Ausschreibung für die Public Cloud gewonnen. Welche Erfahrungen haben Sie beim Ausschreibungsverfahren gesammelt? Und, was haben Sie als Nächstes geplant?
Matthias Bongarth:
Eine wichtige Erfahrung war, dass man bei einer Ausschreibung für eine Public-Cloud die Messlatte nicht zu hoch legen darf. So gab es in der ersten Ausschreibungsrunde keinen Anbieter, der alle Ausschlusskriterien erfüllen konnte. Wir mussten erkennen, dass wir dem Standard, den wir bei der von uns betriebenen und ISO 27001 zertifizierten Private-Cloud, nicht von einem Public-Cloud-Anbieter erwarten können. Dies zeigt, wie wichtig es ist, vor einem Schritt in die Cloud den Schutzbedarf der Daten zu ermitteln und eine Entscheidung über das angestrebte Cloud-Modell, Private- oder Public-Cloud, zu treffen, um dann nach der Migration mit dem gegebenen IT-Sicherheitsniveau leben zu können.
Nachdem wir nun den Grundstein für eine Zusammenarbeit mit T-Systems gelegt haben, und wir unseren Kunden nun verschiedene, abgestufte Cloud-Modelle, von der Nutzung einer Public-Cloud bis hin zu einer kundenexklusiven Private-Cloud anbieten können, gilt es existierende und auch mögliche neue Kunden zu beraten, um das für sie passende Modell zu finden.
Dazu arbeiten wir derzeit an verschiedenen Stellschrauben, um Flexibilität, Transparenz, wirtschaftlichen Nutzen sowie IT-Innovation und -Sicherheit weiter zu optimieren. Damit investieren wir mit unserem hochmotivierten Team in das Vertrauen unserer Kunden.
Lieber Herr Bongarth, wir danken Ihnen für das Gespräch!
Das Interview führte Götz Piwinger, Gründer der Initiative GERMAN CLOUD. Mehr Informationen finden Sie unter www.german-cloud.de
"Wie eine aktuelle Studie von GERMAN CLOUD zeigt, haben fast 70 Prozent der deutschen Verbraucher Zweifel, ob ihre Daten bei einem nicht-deutschen Cloud-Anbieter wirklich in guten Händen sind."
Frage 1:
GC: Mittelständische Unternehmen gehen vorsichtig dazu über, Firmendaten in der Cloud zu verarbeiten. Haben Sie den Eindruck, dass diese Unternehmen wissen, wonach sie fragen müssen, wenn es um den Schutz und die Sicherheit ihrer Daten geht?
Matthias Bongarth:
Der Landesbetrieb Daten und Information kann hier durch seine Arbeit unterstützen, denn er erarbeitet derzeit in Zusammenarbeit mit Landesrechenzentren mehrerer Bundesländer ein Eckpunktepapier "Cloud-Services". Dieses Dokument kann als Leitfaden für Behörden oder auch Unternehmen dienen, die den Schritt in die "Cloud" erwägen. Dabei ist zunächst anhand mehrerer Kriterien zu prüfen, ob eine Migration der Daten in eine Public-Cloud rechtlich überhaupt möglich ist. Hat man sich für ein Public-Cloud-Modell entschieden, enthält das Eckpunktepapier einen Fragenkatalog, der als Vorlage für ein Pflichtenheft verwendet werden kann. Diese Fragen sind in einem realen Ausschreibungsverfahren bereits verwendet und im Anschluss optimiert worden.
Frage 2:
Mit dem Projekt "Polizeicloud" haben Sie eine Cloud geschaffen, die nach den strengsten Richtlinien: IS0 27001 auf Basis des IT-Grundschutzes, zertifiziert ist. Damit ist Rheinland Pfalz das erste Bundesland mit diesem Sicherheitsstandard. Warum war Ihnen dieser Schritt so wichtig?
Matthias Bongarth:
Die hohen Sicherheitsanforderungen der polizeilichen Verfahren machten es notwendig, das IT-Sicherheitsmanagement durch externe Auditoren verifizieren zu lassen. Mit der Erteilung eines ISO 27001-Zertifikats auf der Basis von IT-Grundschutz durch das Bundesamt für Sicherheit in der Informationstechnik (BSI) konnten wir nachweisen, dass wir alle erforderlichen Maßnahmen der Grundschutzkataloge, entsprechend des Schutzbedarfs der beteiligten Verfahren, umgesetzt haben. Die Zertifizierung war auch eine wesentliche Rahmenbedingung, unter der wir das Projekt gemeinsam mit der Polizei überhaupt durchführen konnten.
Frage 3:
GC: Ich habe mal bei einem anderen Gespräch mit Ihnen ein Zitat notiert: "..Mit dem Zertifikat hat sich die Welt geändert..." Wie war das gemeint?
Matthias Bongarth:
Rheinland-Pfalz, als erstes Bundesland mit einer ISO 27001 zertifizierten Cloud-Umgebung, ist beispielgebend für andere Bundesländer. Deutsche Behörden sind generell gehalten, sich an die Vorgaben des IT-Grundschutzes zu halten. Wir haben gezeigt, dass dies auch möglich und umsetzbar ist, wenn Verfahren in einer Private-Cloud betrieben werden. Seit wir das Zertifikat haben ist das Interesse an dieser Lösung riesengroß und wir sind als Berater stark gefragt.
Frage 4:
GC: Nun ist die ISO 27001 zwar eine hochwertige Zertifizierung. Sie sichert jedoch nicht zwingend die Einhaltung deutscher Datenschutz und Datensicherheitsrichtlinien zu. Warum eigentlich nicht?
Matthias Bongarth:
Ich sehe das etwas anders. Um ein ISO 27001-Zertifikat auf der Basis von IT-Grundschutz zu erlangen müssen sämtliche Maßnahmen entsprechend des ermittelten Schutzbedarfs umgesetzt werden. Beim Durchlaufen der Vorbereitung der Zertifizierung werden sämtliche an den Verfahren beteiligten Prozesse durchleuchtet. Dies führt zwangsläufig zu einer Verbesserung des Sicherheitsniveaus. Wichtig dabei ist natürlich, dass die Maßnahmen nicht nur auf dem Papier umgesetzt werden, sondern, wie bei uns, auch tatsächlich gelebt werden.
Auch in puncto Datenschutz wird durch die Umsetzung des BSI-Bausteins "Datenschutz", der u.a. vom Bundesbeauftragten für den Datenschutz und die Informationsfreiheit erarbeitet wurde, ein klares Signal für ein formelles Einhalten der Datenschutzgesetze gegeben.
Frage 5:
GC: Die ISO 27001 ist für mittelständische Cloudanbieter aus Gründen des Aufwands nicht erfüllbar. So waren zum Beispiel beim LDI intern und extern 1,5 Personenjahre nötig, obwohl das Unternehmen schon sehr gut vorbereitet war. Glauben Sie, dass das German Cloud Zertifikat so etwas wie eine ISO-light für kleinere Cloudanbieter sein kann?
Matthias Bongarth:
Bestimmte behördliche Verfahren erfordern einen Betrieb in einem Rechenzentrum in hoheitlicher Hand. Für andere Verfahren mit einem "normalen" Schutzbedarf, kann der Schritt in eine Public-Cloud sinnvoll sein. Dabei spielen natürlich auch finanzielle Faktoren eine Rolle. Soll der Cloud-Anbieter nun den gleichen Standard, also beispielsweise ein ISO 27001-Zertifikat auf Basis von IT-Grundschutz wie ein Landesrechenzentrum bieten, so geht der wirtschaftliche Vorteil verloren. In diesem Fall bietet das von Ihnen genannte Zertifikat eine Möglichkeit für den Auftraggeber einen entsprechenden Level an Datenschutz und IT-Sicherheit vom Cloud-Anbieter zu fordern.
Frage 6:
GC: Auf der Seite der Anbieter von Public Cloudlösungen bestehen nach wie vor Herausforderungen, die noch nicht final gelöst sind. Wie kann zum eispiel ein Kunde das "Recht auf Vergessen", die endgültige Löschung der anvertrauten Daten prüfen?
Matthias Bongarth:
Die Frage ist, wie definiert man endgültige Löschung. Sollen die Daten so gelöscht werden, dass auch eine forensische Analyse der Festplatte keine verwertbaren Daten liefert, so müsste man fordern, das ausschließlich kundenexklusive Hardware zum Einsatz kommt und Festplatten nach Vorgaben des BSI sicher gelöscht oder vernichtet werden. In der Realität wird man sich damit begnügen müssen vom Cloud-Anbieter, z.B. im Rahmen einer Ausschreibung, das Verfahren zur Datenlöschung beschreiben und bestätigen zu lassen.
Frage 7:
GC: Für Unternehmen, die sich für eine Cloudlösung entscheiden, spielt das Bundesdatenschutzgesetz eine erhebliche Rolle. Beispielsweise haftet der Unternehmer bei Datenverlusten. Andererseits können Unternehmen ihr Haftungsrisiko durch Cloudlösungen minimieren. Welche Punkte sollten Unternehmen dabei beachten?
Matthias Bongarth:
Zur Einhaltung des Bundesdatenschutzgesetzes kann man nur empfehlen, ausschließlich Cloud-Service-Anbieter zu beauftragen, die nachweislich ihre Rechenzentren im direkten Geltungsbereich der deutschen Gesetzgebung betreiben, also in Deutschland. Das Unternehmen sollte von dem Anbieter Bestätigungen fordern, dass er über einen offiziell bestellten Datenschutzbeauftragten und ein formales Datenschutzkonzept verfügt und ggf. einem Vor-Ort-Audit des behördlichen bzw. zuständigen Datenschutzbeauftragten zustimmt. Die Mitarbeiter des Cloud-Anbieters sollten bereit sein, sich nach dem örtlich geltenden Datenschutzgesetzen (LDSG oder vergleichbar) und ggf. dem Verpflichtungsgesetz verpflichten zu lassen.
Frage 8:
GC: Mittlerweile ist es nicht nur ein sehr gute Empfehlung, seine Daten in eine Deutsche Cloud zu bringen. Hinzukommt, dass die Verschlüsselung und das Backup ebenso deutscher Herkunft sein sollten. Oder muss man das Ihrer Meinung nach nicht zu ernst nehmen?
Matthias Bongarth:
Natürlich muss man diese Themen sehr ernst nehmen. Wichtig ist allerdings zunächst, dass die Daten im Geltungsbereich des Bundesdatenschutzgesetzes gespeichert, verarbeitet und archiviert werden. Bei der Wahl der Verschlüsselung sollten nur als sicher geltende Algorithmen verwendet werden. Die Erzeugung, Verteilung und Speicherung der Schlüssel muss so erfolgen, dass diese nicht kompromittiert werden und auch Administratoren des Cloud-Service-Anbieters keinen Zugriff auf diese haben.
Die Sicherheitsarchitektur der Cloud ist so aufzubauen, dass das Herkunftsland der Software keine Rolle spielt. Würde man so weit gehen, müsste man u.a. auch die Herkunftsländer der Hardware und der Betriebssysteme in Frage stellen.
Frage 9:
GC: Sie haben bei der Umsetzung des Cloudprojektes einmal erzählt, dass manche Nutzer nach der Umstellung "Verlustängste" bekamen (Wo ist mein Towergehäuse, wo ist mein CD Laufwerk?). Welche Erfahrungen haben Sie bei der Umstellung noch gemacht?
Matthias Bongarth:
Durch die Optimierung der Auslastung der Hardwareressourcen und den damit einhergehenden Einsparungen, z.B. bei den Lizenzkosten, ist die anfängliche Skepsis schnell vergangen. Die kürzeren Provisionierungszeiten und die gute Skalierbarkeit der virtuellen Maschinen über das Self-Service-Portal haben die Kunden überzeugt. Als dann schließlich das hohe Niveau des IT-Sicherheitsmanagements durch die Erteilung des ISO 27001 Zertifikats auf der Basis von IT-Grundschutz erteilt wurde, waren alle anfänglichen Ängste vergessen. Dennoch kann ich rückblickend sagen, dass das Cloudprojekt in besonderem Maße auch ein Kommunikations- und Informationsprojekt war und man diesen Aspekten - neben der Technik - eine große Bedeutung zumessen muss.
Frage 10:
GC: Sie sind bei den Bundesländern Vorreiter in Sachen Cloud-Technologie. Der deutsche Anbieter T-Systems hat ihre Ausschreibung für die Public Cloud gewonnen. Welche Erfahrungen haben Sie beim Ausschreibungsverfahren gesammelt? Und, was haben Sie als Nächstes geplant?
Matthias Bongarth:
Eine wichtige Erfahrung war, dass man bei einer Ausschreibung für eine Public-Cloud die Messlatte nicht zu hoch legen darf. So gab es in der ersten Ausschreibungsrunde keinen Anbieter, der alle Ausschlusskriterien erfüllen konnte. Wir mussten erkennen, dass wir dem Standard, den wir bei der von uns betriebenen und ISO 27001 zertifizierten Private-Cloud, nicht von einem Public-Cloud-Anbieter erwarten können. Dies zeigt, wie wichtig es ist, vor einem Schritt in die Cloud den Schutzbedarf der Daten zu ermitteln und eine Entscheidung über das angestrebte Cloud-Modell, Private- oder Public-Cloud, zu treffen, um dann nach der Migration mit dem gegebenen IT-Sicherheitsniveau leben zu können.
Nachdem wir nun den Grundstein für eine Zusammenarbeit mit T-Systems gelegt haben, und wir unseren Kunden nun verschiedene, abgestufte Cloud-Modelle, von der Nutzung einer Public-Cloud bis hin zu einer kundenexklusiven Private-Cloud anbieten können, gilt es existierende und auch mögliche neue Kunden zu beraten, um das für sie passende Modell zu finden.
Dazu arbeiten wir derzeit an verschiedenen Stellschrauben, um Flexibilität, Transparenz, wirtschaftlichen Nutzen sowie IT-Innovation und -Sicherheit weiter zu optimieren. Damit investieren wir mit unserem hochmotivierten Team in das Vertrauen unserer Kunden.
Lieber Herr Bongarth, wir danken Ihnen für das Gespräch!
Das Interview führte Götz Piwinger, Gründer der Initiative GERMAN CLOUD. Mehr Informationen finden Sie unter www.german-cloud.de
