Leitbilder und Werte der InformationsgesellschaftSeminararbeit

Cloud Computing:Datenschutz und Sicherheit

Institut für InformatikUniversität Potsdam

eingereicht von:

Michael Winkelmann (738901)

Sommersemester 2010

Zusammenfassung

Cloud Computing ist ein Modell, welches Anwendern über das Internet einzelne Diens-te, wie Rechnen, Speichern oder Vernetzen zur Verfügung stellt und bei dem die dafür be-nötigten Ressourcen von einem Anbieter extern bereitgestellt und verwaltet werden. DieseServer sind untereinander vernetzt und agieren als einzige „Wolke“ (engl.: Cloud) von Res-sourcen.

Das Konzept ähnelt dem Anwendungsmodell früherer Großrechner. Bei einem solchendiente ein Terminal dazu, Zugriff auf die Ressourcen des Großrechners zu ermöglichen.Beim Cloud-Computing-Konzept ist der PC nun das Terminal, welches den Zugriff auf diein der Cloud zur Verfügung gestellten Dienste ermöglicht. Mit der flächendeckenden Ver-fügbarkeit von Breitband- und mobilen Internetzugängen und der erhöhten Funktionalitätdes Internets wird so die Rolle des PCs in den Hintergrund gedrängt.

Bei neuen Technologien ist die Gesetzeslage fast immer unklar. Denn meist werden diebenötigten Gesetze erst entworfen und verabschiedet, nachdem solche neuen Technologienentworfen wurden und sich auf dem Markt etabliert haben. Dies ist auch bei Cloud Compu-ting der Fall. Ein entsprechender Dienstleister kann nicht genau sagen, welcher Teil einerDatei sich gerade wo befindet. Allerdings könnten sich die genutzten Ressourcen außerhalbdes eigenen Rechtsraumes befinden, was im Widerspruch zu den Paragraphen 9 und 11 ausdem Bundesdatenschutzgesetz steht.

Das Hauptproblem beim Cloud Computing stellt jedes doch die Abschottung des Da-tentransfers über Internet-Leitungen. Aber nicht nur der Transport, sondern auch die Verar-beitung und Speicherung der persönlichen oder Firmendaten muss verlässlich abgeschottetsein. Zwar existieren Ansätze zur Verteilung von Daten auf unterschiedliche Ressourcenohne Möglichkeit, Rückschlüsse auf die Produktionsdaten zu ziehen, jedoch bestehen auchhier immer noch berechtigte Bedenken.

In meiner Arbeit möchte ich die Probleme des Datenschutzes und der Sicherheit so-wie der Rechtslage zu Cloud Computing genauer analysieren. Außerdem werde ich mirZukunftsszenarien überlegen, sowohl in positiver als auch negativer Hinsicht, wie sich dasVerhältnis von Cloud Computing und Anwender entwickeln könnte.

1

Inhaltsverzeichnis1 Einführung 3

1.1 Verwandte Begriffe . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 51.2 Anbieter und Geschäftsmodelle . . . . . . . . . . . . . . . . . . . . . . . . . . 61.3 Vor- und Nachteile . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 7

2 Cloud Computing und Sicherheit 92.1 Risiken . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 92.2 Angriffsarten . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 102.3 Schutzmaßnahmen . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 11

2.3.1 Abwehr von Schadprogrammen durch Cloud-Sicherheit . . . . . . . . 132.3.2 Vertragliche Regelungen und Sicherheitsstandards . . . . . . . . . . . 142.3.3 Offene Standards . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 14

3 Cloud Computing und Datenschutz 163.1 Rechtsfragen . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 16

3.1.1 Vereinbarkeit mit dem Datenschutzgesetz . . . . . . . . . . . . . . . . 173.1.2 Drittzugriff . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 193.1.3 Vertragliche Regelungen zwischen Nutzer und Anbieter . . . . . . . . 203.1.4 Außereuropäische Clouds . . . . . . . . . . . . . . . . . . . . . . . . 21

3.2 Digitale Identitätenverwaltung . . . . . . . . . . . . . . . . . . . . . . . . . . 223.2.1 Heutige Situation . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 223.2.2 Identitätsdiebstahl und -missbrauch . . . . . . . . . . . . . . . . . . . 233.2.3 Anforderungen an zukünftige Systeme . . . . . . . . . . . . . . . . . . 243.2.4 OpenID . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 253.2.5 Infrastruktur für benutzerorientiertes Identitätsmanagement . . . . . . . 27

4 Diskussion und Ausblick 29

2

Abbildung 1: Funktionsweise von Cloud Computing. Über ihre Clients und mit Hilfe der Cloud-Anbieter werden die Benutzer mit der Cloud verbunden. Die Cloud selbst besteht aus Rechen-zentren mit Servern, die Daten und Anwendungen bereitsstellen.

1 EinführungDas Internetzeitalter ist einer neuen Phase angekommen. Dank zuverlässigerer, erschwingliche-rer und allgegenwärtiger Breitbandanschlüsse ist das Internet nicht nur mehr ein Kommunika-tionsnetzwerk.

Das Internet wird dabei zu einem gigantischen, vernetzten, virtuellen Supercomputer. Vieleähnliche Begriffe wurden und werden verwendet um diese Entwicklung zu beschreiben: „Web2.0“, „Software as a Service“, „Web Services“, „cloud computing“ und „the Grid“. Jeder die-ser Begriffe beschreibt eine grundlegende Änderung in der Art und Weise wie Daten behandeltund verarbeitet werden.

Der Begriff „Cloud Computing“ steht hierbei für „Datenverarbeitung in der Wolke“. Der-zeit gibt es in der IT-Branche kaum ein öfter benutztes Hype-Wort. Das US-AnalystenhausGartner schätzte die Erlöse im Jahr 2009 weltweit auf mehr als 56 Milliarden Dollar, was einemWachstum von etwa 21 Prozent entspricht (Ger10). Der Name stammt daher, dass schemati-sche Netzwerk-Darstellungen wie das Internet werden gewöhnlich mit einem Wolkenumrisssymbolisiert werden. Die Wolkendarstellung verdeutlicht, dass es unmöglich ist, in eine Wolkehineinzusehen oder zu wissen, welche Vorgänge in ihr ablaufen. Diese Server sind unterein-ander vernetzt und agieren als einzige „Wolke“ (engl.: Cloud) von Ressourcen. Im Fall derInternet-Wolke genügt es, zu wissen, dass sie existiert und Rechner mit ihr verbunden werdenkönnen. Zu wissen, was sich darin abspielt, ist für das Funktionieren nicht notwendig.

3

Das Hauptziel des Cloud-Computings ist es, informationstechnische Dienstleistungen fle-xibel und skalierbar nutzen zu können. Im Idealfall soll es dem Nutzer egal sein können, obgerade der eigene oder ein weit entfernter Computer eine Aufgabe löst. Teilweise werden ganzeVerfahren in die Cloud verlagert; teilweise geht es auch nur darum, Bedarfsspitzen abzudecken,mit denen die eigene IT-Infrastruktur überfordert ist.

Die Internetbenutzer sind in der Lage, die Cloud als eine Sammlung von Servern, Spei-chersystemen und Geräte zu benutzen, um Software, Daten und Rechenleistung über mehrereStandorte im Netzwerk hinweg zu verteilen. Cloud Computing ist also ein Rechen- und Archi-tekturparadigma, welches Anwendern über das Internet einzelne Dienste, wie Rechnen, Spei-chern oder Vernetzen zur Verfügung stellt und bei dem die dafür benötigten Ressourcen voneinem Anbieter extern bereitgestellt und verwaltet werden.

Das Konzept ähnelt dem Anwendungsmodell früherer Großrechner und existiert schon lan-ge vor Windows, MacOS und Linux (Sch10). Bei einem solchen Mainframe diente ein sehreinfach aufgebautes Terminal dazu, Zugriff auf die Ressourcen des Großrechners zu ermögli-chen. Erforderlich waren sowohl ein schneller (und daher kostspieliger) Großrechner als auchdie entsprechende Netzwerkinfrastruktur. Die PCs und Heimrechner von IBM jedoch kamenohne diese Komponenten aus, denn sie vereinigten sämtliche Funktionen in einem einzigenGerät und machten somit das Konzept des Mainframes obsolet.

Mit der flächendeckenden Verfügbarkeit von Breitband- und mobilen Internetzugängen undder erhöhten Funktionalität des Internets wird so die Rolle des PCs in den Hintergrund gedrängt.Beim Cloud-Computing-Konzept ist der PC nun wieder das Terminal, welches den Zugriff aufdie in der Cloud zur Verfügung gestellten Dienste ermöglicht.

Aus der Benutzersicht lässt sich die Evolution von Consumer Computing in drei Phaseneinteilen (Cav08):

1. Der Stand-alone PC mit dem Betriebssystem, den Anwendungen und den Daten, die alleauf einer einzigen, leicht absicherbaren Maschine gespeichert sind.

2. Das Web in dem die meiste Software immer noch auf dem PC installiert ist, aber immermehr Daten nur im Netz gefunden werden können.

3. Die Wolke, in dem die Benutzer ausschließlich auf im Internet verfügbare Software undDaten setzen.

Die Übergänge dieser drei Phasen sind dabei fließend. Die meisten Tätigkeiten, die wir amComputer erledigen, sind immer noch in Phase 1 oder 2 angesiedelt, jedoch findet ein langsamerÜbergang in Phase 3 statt und es beginnen immer mehr Menschen, die Vorteile der Cloud zunutzen.

Viele Benutzer haben bereits Erfahrungen mit Cloud Computing gemacht, jedoch ohne eszu merken oder die dahinterliegende Technologie zu verstehen. So sind die meisten Benutzermit einem Textverarbeitungsprogramm wie Microsoft Word vertraut. Das Programm wird aufdem Computer gestartet und erstellte Dokumente werden auf der Festplatte des Computersgespeichert.

Im Gegensatz dazu erlaubt es Cloud Computing, die komplette Aufgabe über das Internetauszuführen, wodurch sie nicht mehr an einen bestimmten Computer gebunden ist. Über dasInternet kann der Benutzer ebenfalls eine entsprechende, auf einem Server installierte Textver-arbeitungssoftware, z.B. Google Documents, starten und erstellte Textdokumente werden dannauf den Servern des Providers gespeichert.

4

Analysiert man das Cloud-Computing-Konzept genauer, lassen sich fünf wesentliche Merk-male ableiten (MG09):

• Nutzung von Ressource nach Bedarf. Ein Kunde erwirbt dabei automatisch die benö-tigten Rechenkapazitäten und Netzwerkspeicher und ohne den Provider zu kontaktieren.Die Abrechnung erfolgt ebenfalls automatisch.

• Verfügbarkeit. Wenn eine Breitbandnetzverbindung besteht, können die angebotenenCloud-Dienste von nahezu allen Endgeräten genutzt werden.

• Abstrahierte Ressourcennutzung. Die verfügbaren Ressourcen eines Anbieters werdengebündelt, um so für viele Benutzer gleichzeitig verfügbar zu sein. Der Benutzer hat meistkeine Kontrolle und kein Wissen darüber, woher die Resourcen stammen.

• Skalierbarkeit und Belastbarkeit. Die Ressourcen können beliebig skaliert und an dieentsprechende aktuelle Auslastung angepasst werden. Für den Benutzer scheint es, alsseien die Ressourcen unbegrenzt.

• Automatische Optimierung. Cloud-Systeme kontrollieren und optimieren den Bedarfan Ressourcen automatisch. Dies geschieht durch die Überwachung verschiedener Para-meter wie aktuell verfügbarer Bandbreite, Anzahl der aktiven Benutzerkonten oder ver-fügbarem Speicher.

Durch die bessere Verteilung von Lasten auf vorhandenen Systeme ermöglicht Cloud-Computingteilweise erhebliche Kostenreduzierung in der Datenverarbeitung. Einzelne Server müssen nichtmehr übertrieben leistungsfähig sein, alle verfügbaren Systeme beteiligen sich an allen anste-henden Aufgaben gemeinsam. Außerdem besteht für den Benutzer keine Gefahr mehr vor ei-nem eventuellen Datenverlust, da alle Dateien mehrfach auf verschiedenen Servern gespeichertwerden und von überall verfügbar sind.

Jedoch ist wie bei vielen neuen Technologien auch beim Cloud Computing die Gesetzes-lage größtenteils unklar (Rob10). Denn meist werden die benötigten Gesetze erst entworfenund verabschiedet, nachdem solche neuen Technologien entworfen wurden und sich auf demMarkt etabliert haben. Dies ist auch bei Cloud Computing der Fall. Ein entsprechender Dienst-leister kann nicht genau sagen, welcher Teil einer Datei sich gerade wo befindet. Allerdingskönnten sich die genutzten Ressourcen außerhalb des eigenen Rechtsraumes befinden, was imWiderspruch zu den Paragraphen 9 und 11 aus dem Bundesdatenschutzgesetz steht.

Das Hauptproblem bei der Nutzung öffentlicher Ressourcen ist nach wie vor die Abschot-tung des Datentransfers über Internet-Leitungen. Aber nicht nur der Transport, sondern auch dieVerarbeitung und Speicherung der persönlichen oder Firmendaten muss verlässlich abgeschot-tet sein. Zwar existieren Ansätze zur Verteilung von Daten auf unterschiedliche Ressourcenohne Möglichkeit, Rückschlüsse auf die Produktionsdaten zu ziehen, jedoch bestehen auch hierimmer noch berechtigte Bedenken.

In meiner Arbeit möchte ich die Probleme der Privatsphäre und der Sicherheit sowie derRechtslage zu Cloud Computing genauer analysieren und diskutieren.

1.1 Verwandte BegriffeCloud Computing wird mindestens so umfangreich beworben wie Grid Computing wenige Jah-re zuvor, was u.a. zahlreiche Diskussionen über die Abgrenzung zwischen Grid und Cloud

5

Computing angeregt hat. Jedoch existiert zwischen beiden Konzepten ein wesentlicher Unter-schied: Bei „Grid Computing“ geht es um die gemeinschaftliche Nutzung der gemeinsamenRessourcen und es gibt keine zentrale Steuerung. Im Gegensatz dazu existiert beim „CloudComputing“ ein Anbieter von Ressourcen und ein Nutzer und die Steuerung der Ressourcenerfolgt ebenfalls zentral.

Das Cloud-Konzept ist ebenfalls nicht zu verwechseln mit Peer-to-Peer-Netzwerken. DieUnterschied zwischen beiden Ansätzen liegt hier bei den unterschiedlichen Zielsetzungen. InPeer-to-Peer-Netzwerken geht es darum, Rechenlast auf möglichst viele Rechner zu verteilenund den Server zu entlasten. Beim „Cloud Computing“ hingehen geht es nicht um Verteilung,sondern um das Auslagern von Rechenlasten. Anstatt eigene Rechner-, Server- oder Softwa-reressourcen zu nutzen oder die Last im Netzwerk zu verteilen, werden die Ressourcen vonCloud-Anbietern genutzt.

Im Zusammenhang mit Cloud Computing fällt immer wieder der Begriff der „Virtualisie-rung“. Virtualisierung ist das Betreiben eines „virtuellen Computers“ auf einer meist fremdenHardware durch eine logische Trennung eines Programms vom Betriebssystem des genutztenRechners.

Ein weiterer im Kontext auftauchender Begriff ist Service-orientierte Architektur (SOA).SOA ist im Wesentlichen eine einheitliche Abbildung von Geschäftsprozessen, mit der or-ganisationsübergreifend Prozesse abgewickelt werden können. SOA wird meist in Form vonWebservices angewendet, mit denen Daten zwischen unabhängigen Organisationen ausgetauschtwerden können (WABB).

1.2 Anbieter und GeschäftsmodelleEiner der ersten großen Anbieter war Amazon mit dem 2008 eingeführten Konzept „AmazonElastic Compute Cloud“. Auch andere großere Unternehmen wie Microsoft oder Google habendiesen Markt ebenfalls für sich entdeckt und werden um ihren Anteil an potentiellen Gewinnenkämpfen. Der Markt für Cloud-Dienstleistungen ist vorhanden und er wird zweifelsohne nochwachsen. Außerdem existiert eine Vielzahl von Hosting-Unternehmen, die ihre „virtuellen Ser-ver“ kleinen Unternehmen oder Privatpersonen preisgünstig anbieten.

Für die Cloud-Anbieter wird die Hardware-Beschaffung bald eine der größten Herausfor-derungen darstellen (WABB): Steigt die Nachfrage nach Cloud-Diensten, werden auch mehrServer benötigt werden. Entsprechende Serverzentren müssen sich in geographischer Nähe zuden Kunden befinden, da die Übermittlungszeit von der Entfernung zwischen Kunde und Ser-ver abhängig ist. Es existieren beispielsweise seit kurzem zwei Anbieter von Online-Gaming,die solche Echtzeit-Verbindungen voraussetzen: Gaikai und OnLive. Bei solchen Anwendungsind bereits Verzögerungen von 50 ms inakzeptabel, weil sonst die Echtzeitfähigkeit der Spieleverloren geht (Sti10).

Haben sich Cloud-Dienste erst einmal bei Privatkunden etabliert, werden die Provider ge-zwungen sein, erheblich mehr Hardware zuzukaufen. Innerhalb der nächsten zehn Jahre werdenwohl in jeder Stadt Serverzentren entstehen, von denen sich einige voraussichtlich in Mehr-zweckgebäuden mit mehr als 100 Bewohnern befinden werden (Ger10).

Für die Cloud-Dienste existieren unterschiedliche Anwendungsmodelle und Nutzungsar-ten. Bei den Anwendungsmodell wird zwischen Software-as-a-Service (SaaS), Storage-as-a-Service, Platform-as-a-Service (Paas), Infrastructure-as-a-Service (IaaS) unterschieden (MG09).Beim SaaS wird die Software nicht auf dem eigenen Rechner installiert, sondern für den Be-

6

darfsfall im Netz bereitgestellt. Storage-as-a-Service dient der Datensicherung und der Archi-vierung, entweder durch regelmäßige oder durch endgültige Speicherung von Datenbeständensowie der automatischen Spiegelung der Daten. PaaS stellt umfassende Anwendungen fremdenNutzenden zur Verfügung, z.B. ein ganzes Customer Relation Management-(CRM-)System.Bei IaaS wird umfassende IT-Infrastruktur zur Verfügung gestellt, wie z.B. komplette Betrieb-systeme oder Firmenintranets.

Bei den Nutzungsarten kann man zwischen Private und Public Clouds unterscheiden. PrivateClouds sind vernetzte Rechner, die von Firmen oder Privatpersonen betrieben werden und derenRessourcen nicht öffentlich zugänglich sind. Als Private Clouds gelten auch Rechnernetze vonrechtlich zueinander in einem engen Verhältnis stehenden Stellen, z.B. Stellen der öffentlichenVerwaltung oder eines Unternehmenskonzerns.

Bei Public Clouds wird die Rechenleistung von Dritten im Sinne des Datenschutzrechtes(§ 3 Abs. 8 S. 2 BDSG; s.u. 2.4) angeboten. Anbieter von Public Clouds sind die ganz großenglobalen IT-Unternehmen, wie beispielsweise Amazon (EC2), Google, Microsoft oder IBM.Diese verarbeiten die Daten auf weltweit verteilten Servern bzw. Serverfarmen, die einem oderauch unterschiedlichen Anbietern gehören. (Wei09)

Hybride Clouds sind eine Mischung von Private- und Public Clouds, also eine Nutzungsowohl von eigenen wie auch fremden Ressourcen. Eine Besonderheit stellen die Communi-ty Clouds dar, bei denen eine Cloud-Infrastruktur gemeinsam genutzt wird, wobei gemein-same Anforderungen, z.B. zur Sicherheit, zum Datenschutz oder zu weiteren Compliance-Anforderungen kollektiv vereinbart und festgelegt werden.

Beim Cloud-Computing kann desweiteren zwischen drei verschiedenen Rollen unterschei-den: Cloud-Nutzer, Cloud-Anbieter und Ressourcen-Anbieter. Der Cloud-Nutzer nimmt die Re-chenleistung von Cloud-Diensten in Anspruch. Der Cloud-Anbieter stellt diese Dienste demCloud-Nutzer zur Verfügung. Die Ressourcen-Anbieten stellen dem Cloud-Anbieter für dieCloud-Datenverarbeitung ihre Hard- oder Software bereit, damit diese zusammengefasst demNutzer angeboten werden können.

Zur Zeit sind Geschäftskunden die Hauptzielgruppe der meisten Anbieter, jedoch nutzenimmer mehr Privatpersonen Cloud-Dienste. Erst mit der flächendeckenden Akzeptanz und Nut-zung von Cloud-Dienste unter Privatpersonen wird das Cloud-Konzept von Erfolg gekrönt sein.

1.3 Vor- und NachteileDurch die bessere Verteilung von Lasten auf vorhandenen Systeme ermöglicht Cloud-Computingteilweise erhebliche Kostenreduzierung in der Datenverarbeitung. Einzelne Server müssen nichtmehr übertrieben leistungsfähig sein, alle verfügbaren Systeme beteiligen sich an allen anste-henden Aufgaben gemeinsam. Außerdem besteht für den Benutzer keine Gefahr mehr vor ei-nem eventuellen Datenverlust, da alle Dateien mehrfach auf verschiedenen Servern gespeichertwerden und von überall verfügbar sind. Die Vorteile liegen auf der Hand:

• Unbegrenzte Flexibilität: Mit dem Zugriff auf Millionen von unterschiedlichen Teilen vonSoftware und Datenbank und der Fähigkeit diese zu angepassten Dienste zu kombinieren,sind die Benutzer besser als je zu vor in der Lage, die Antworten auf ihre Frage zu finden,ihre Gedanken zu teilen und Spaß bei Online-Spielen, Videos und in virtuellen Welten zuhaben.

7

• Bessere Zuverlässigkeit und Sicherheit: Die Benutzer müssen sich keine Sorgen mehrüber Festplattencrashs oder geklaute Laptops machen.

• Verbesserte Beteiligung: Durch die Möglichkeit, Informationen und Anwendungen on-line zur Verfügung zu stellen, bietet die Cloud den Benutzern neue Wege gemeinsam /miteinander in Aktion zu treten zu arbeiten und zu spielen.

• Portierbarkeit: Die Benutzer können von überall auf ihre Daten zugreifen, wenn eineInternetverbindung besteht.

• Digitale Rechteverwaltung: Mit Cloud-Computing würden DRM-Dateien einen zweitenFrühling erleben, da Content-Produzenten den Kunden Filme, Spiele und Musik auf di-rektem Weg anbieten können. Die angebotenen Inhalte werden rein für das Abspieleninnerhalb des Cloud-Computing-Systems konzipiert und die Erstellung von unautorisier-ten Kopien derartiger Film- und Musikdateien wird erheblich mehr Zeit und Geld kosten.Letztlich kann somit die Anzahl illegaler Kopien reduziert und der Gewinn der Produzen-ten gesteigert werden.

• Automatische Updates: Der Benutzer muss seine Software nicht mehr manuell auf demneusten Stand halten. Mit in der Cloud laufenden Anwendung kann dies automatisch ge-schehen, so dass das Arbeiten mit dem Heimcomputer billiger, sicherer und zuverlässigerwird.

Zwar bietet Cloud-Computing klare Vorteile, jedoch sind mit dem Konzept auch viele Ri-siken verbunden. Kaum ein Tag vergeht ohne Meldung über abgefangene oder verloren gegan-gene Daten. Der Verlust persönlicher sensibler Daten ist zwar nicht ausschließlich ein Problemvon Cloud-Computing. Hier allerdings hat der Provider umfassenden Zugang zu sämtlichen Da-ten und nicht nur zu einem ausgewählten Teil. Datenverlust hätte in diesem Fall weitreichendeFolgen.

Die Nutzung von Cloud-Diensten bedeutet, dass der Anwender seinem Provider vollkom-menes Vertrauen schenken muss. Zu welchem Unternehmen aber hat man soviel Vertrauen, dassman vollen Zugriff nicht nur auf seine E-Mail-Nachrichten, sondern auf sämtliche privaten Do-kumente, Bankkonto-informationen, Passwörter, Chat-Logins und Fotos von einem selbst undder Familie gewähren würde? Selbst wenn das Vertrauen in ein bestimmtes Unternehmen vor-handen wäre, fehlt schlicht eine Garantie dafür, dass die Daten nicht in falsche Hände geraten.

Die Sicherheits- und Datenschutzproblematiken von Cloud-Computing versuche ich in denfolgenden Abschnitten näher zu beschreiben.

8

2 Cloud Computing und SicherheitBereits im Februar 2006 schrieb Bruce Schneier über die Sicherheitsproblematik in der Cloud.Er war nicht der Einzige, der sich mit dem Thema beschäftigte und es existieren zahlreicheDiskussionen über die Art und Weise, wie ein sinnvolles Sicherheitskonzept umzusetzen sei.Dennoch sollte schon allein aus dem gesunden Menschenverstand heraus klar sein, dass dieUmsetzung eher eine Notwendigkeit denn eine Option sei. Aus welchem Grund also haben sichbeispielsweise die Hersteller von Antiviren-Software mehrere Jahre Zeit gelassen, bevor sie mitder Implementierung entsprechender Technologien in ihre Produkte begannen?

Die Implementierung neuer Technologien ist nicht nur eine zeit- und kostenintensive An-gelegenheit, sondern bringt auch häufig Nachteile mit sich. Der offensichtlichste Nachteil imZusammenhang mit Cloud-Diensten – sowohl Cloud-Computing als auch Cloud-Sicherheit –besteht darin, dass der Anwender permanent online sein muss, um in den Genuss der Vor-teile zu kommen. Solange die vorhandenen Technologien in der Lage waren, den Schutz vorden neuesten Schadprogrammen auch ohne Internetverbindung zu gewährleisten, bestand keineNotwendigkeit für Veränderungen. (Kal09)

In diesem Abschnitt soll nun das Verhältnis zwischen Cloud Computing und Sicherheit be-schrieben werden. Um das Thema Cloud-Sicherheit zu analysieren, ist es wichtig, noch einmaldas zugrundeliegende Prinzip des Systems zu betrachten: Cloud-Computing bedeutet die Nut-zung von Computerressourcen ohne tatsächlichen Zugriff auf diesen Computer.

Dazu werde ich zunächst die größten Sicherheitsrisiken und die häufigsten Angriffsartenund als Konsequenz darauf mögliche Schutzmaßnahmen beschreiben.

2.1 RisikenInfrastruktur-Dienste aus der Wolke können zum Sammelbecken krimineller Projekte wie bei-spielsweise Botnetze oder Trojaner werden. Im Artikel (Ris) im Paper (AKa09) der Cloud Se-curity Alliance (CSA), ein Zusammenschluss von Firmen, werden die sieben gravierendstenSicherheit beim Cloud Computing herausgestellt:

1. Die Registrierung ist zu einfach. Für die Nutzung und Bezahlung einiger Cloud-Dienstreicht lediglich die Eingabe einer Kreditkartennummer aus. Zum Teil sind die Registrie-rungsvorgänge so einfach gehalten, dass zwar eine völlige Anonymität der Nutzer aberdadurch eben auch Identitätsdiebstahl oder -missbrauch einfach möglich sind. Hier sindAuthentifizierungssystem wie OpenID gefragt.

2. Die Schnittstellen sind unsicher. Damit Kunden Cloud-Dienste nutzen und anbindenkönnen, legen die Cloud-Anbieter ihre Schnittstellen offen. Zwar werden durch die An-bieter das Einhalten von Sicherheitsstandards verspricht, jedoch ist dies keine Verpflich-tung. Dadurch können sich Benutzer also nie hundertprozentig sicher sein, ob ihre Da-ten verschlüsselt und entsprechend eines bestimmten standardisierten Sicherheitsniveausübertragen werden. Solche unsicheren Schnittstellen sind eine Folge der zum Teil zu ein-fachen Registrierung für Cloud-Dienste.

3. Kriminelle Mitarbeiter. Zwar stellen kriminelle Mitarbeiter für jedes Unternehmen eineGefahr dar, aber beim Cloud Computing bekommt dieses Problem eine neue Dimension.Der Kunde vertraut dem Anbieter sein Daten an, während es gleichzeitig nicht geklärt

9

ist, welche Anforderungen und Richtlinien für den Umgang mit den Kundendaten derAnbieter an seine Mitarbeiter stellt.

4. Unsichere Infrastruktur. Viele Cloud-Rechenzentren weisen keine Infrastruktur auf, beidem die Daten und Anwendungen strikt voneinander getrennt sind. Auch sind die Kom-ponenten, auf denen die Dienste basieren, nicht dafür ausgelegt, die Speicherbereiche, dievon mehreren Kunden genutzt werden, klar voneinander abzugrenzen.

5. Diebstahl von Zugangsdaten. Durch den Diebstahl von Zugangsdaten kann ein Angrei-fer auf Daten und Vorgänge eines Unternehmens zugreifen und so Daten manipulieren,heimlich verfolgen oder Kunden auf kriminelle Webseiten locken.

6. Mängel bei der Verschlüsselung. Ungenügende Sicherheitskonrollen und ein inkonse-quenter Einsatz von Kryptographie machen Cloud Computing zu einem Risiko. Dadurchkann es zu Datenmissbrauch und Datenverlusten kommen. In falsche Hände gerateneDaten können nicht nur das Vertrauen von Kunden, Geschäftspartnern und Mitarbeiterngefährden, sondern vor allem auch finanzielle Folgen haben.

7. Intransparente Sicherheitslage. Die Kunden eines Cloud-Dienstleisters können zwareinfach und ausgiebig dessen Angebote und Funktionen erfahren, jedoch wenig über dieinternen Vorkehrungen, insbesondere zum Thema Sicherheit. Wer Zugang zum Anbie-ter besitzt oder welche Informationen bei Sicherheitsvorfällen veröffentlicht werden, seimeist nicht geklärt.

Auch beim alljährlichen Hacker-Treff „Security Nightmares“ herrschte Einigkeit darüber,dass es sicherheitstechnisch in Sachen Cloud Computing noch einige Hindernisse zu überwin-den gibt (Seb10). Scanning, Cracking und Botnet Command and Control seien nach wie vorGefahren in der Cloud. Außerdem gebe es bereits Ansätze zum Umgehen des Hypervisors undzum Slice Hopping, also dem Springen von Maschine zu Maschine. Angreifer können so gleichhunderte von Maschinen unter ihre Kontrolle bringen und so auf Nutzerdaten zugreifen. Außer-dem seien die Standardeinstellungen zur Sicherheit in der Cloud häufig zu niedrig eingestellt.

Welche Macht die Cloud-Anbieter haben, welche Verantwortung sie tragen, zeigt sich be-sonders in den Momenten, in denen die Informationen auf der Cloud plötzlich nicht mehr zu-gänglich sind oder sich gar in einer Art Datenregen aufgelöst haben. Beispielsweise waren Mail-Account von Google im vergangenen September mehrere Stunden nicht zu erreichen. In einemanderen Fall, waren für einige T-Mobile-Kunden in den USA, die das Sidekick-Smartphonenutzten, ihre Kalendereinträge, Telefonnummern und Fotos scheinbar für immer verschwun-den, tauchten aber nach ein paar Tagen plötzlich wieder auf (Ger10).

2.2 AngriffsartenAngriffe auf Webanwendungen sind keine Seltenheit und auch Cloud-Computing-Systeme sindnicht davor geschützt. Neben passiven und aktiven Angriffen auf Cloud-Computing-Systemekann man Gefahren zusätzlich zwischen internen und externen Bedrohungen unterscheiden(Rup10).

Passive Angriffe zeichnen sich dadurch aus, dass der Angreifer ohne Eingriff in das SystemInformationen erlangt. Ein Beispiel hierfür ist das Mithören bzw. Mitschneiden von Informa-tionen über das Netzwerk. Da der Angreifer nicht aktiv in das IT-System eingreift, sondern

10

nur passiv zuhört, ist es sehr schwer einen solchen Angriff zu erkennen. Das Mitschneiden vonWLAN-Daten beim Google-Street-View könnte man so als einen passiven Angriff deuten.

Um diese Arten von Angriffen zu verhindern müssen die übertragenen Daten verschlüsseltwerden oder/und weitere Maßnahmen (z.B. keine Übertragung wichtiger Daten an den Cloud-Anbieter oder Ersetzen wichtiger Daten durch Platzhalter) eingesetzt werden, die das Mithörenerschweren. Passive Angriffe bedrohen die Schutzziele Vertraulichkeit und Authentizität.

In Cloud-Computing-Systemen ist eine verschlüsselte Übertragung der Daten vom Konsu-menten zum Anbieter weit verbreitet und sollte für alle Daten stets verwendet werden. Bestehendie Optionen einer unverschlüsselten und einer verschlüsselten Übertragung von Informationen,so kann beispielsweise durch entsprechende Firewall-Regeln eine SSL Verbindung über HTTPSerzwungen werden. Der verschlüsselte Kanal endet jedoch meist beim Übergang des öffentli-chen in das private Netzwerk des Cloud-Anbieters. Im privaten Netzwerk des Cloud-Anbieterssind die Daten meist unverschlüsselt und werden häufig unverschlüsselt abgespeichert. Inner-halb der privaten Netzwerke des Anbieters sind ggf. passive Angriffe möglich, so dass derAnbieter Vorkehrungen, z.B. durch Isolierung des Datenverkehrs einzelner Benutzer, treffensollte.

Bei aktiven Angriffen tritt der Angreifer selbst in Erscheinung indem er z.B. Daten modi-fiziert oder löscht oder Sicherheitslücken bzw. die Verfügbarkeit von Diensten oder auch be-teiligten Diensten sabotiert. Diese Angriffe können auffallen und Spuren hinterlassen, so dasseine Erkennung des Angriffs und vielleicht sogar des Angreifers möglich ist. Außerdem könnenaktive Angriffe als Vorbereitung für passive Angriffe eingesetzt werden, indem der Datenstromz.B. so umgelenkt wird, dass der Angreifer daraufhin passiv mithören kann. Die SchutzzieleVerfügbarkeit, Integrität und Authentizität sind durch aktive Angriffe bedroht.

Wichtig für die Erkennung aktiver Angriffe ist ein entsprechendes Security Monitoring aufSeiten des Anbieters und auch auf Seiten des Kunden. Technologien zur Erkennung von An-griffen sind beispielsweise Firewalls, Honeypots, IDS oder IPS.

Zu den internen Angreifern gehören neben den (temporären oder externen) Mitarbeitern,Dienstleistern, Kooperationspartner oder Praktikanten des Cloud-Computing-Anbieters auchdie Kunden des Cloud-Computing-Anbieters.

Mitarbeiter können verschiedene Motivationen haben, einen Cloud-Computing-Anbieteroder dessen Kunden zu schädigen, wie beispielsweise wegen Verärgerung, Unzufriedenheitoder Kündigung. Aber auch durch Fremdmotivation, wie zum Beispiel durch Erpressung oderBestechung von außerhalb kann ein Mitarbeiter zum internen Angreifer werden.

Hat sich ein Mitarbeiter das Ziel gesetzt dem Cloud-Computing-Provider zu Schaden, sokann er dies durch diverse Maßnahmen herbeiführen. Beispiele hierfür sind die Modifikationoder das Herunterfahren von virtuellen Maschinen, Herunterfahren von Hosts, Löschung vonDaten, Dekonnektierung wichtiger Netzelemente oder die Manipulation von Konfigurationsda-teien.

2.3 SchutzmaßnahmenZum Schutz vor passiven und aktiven Angriffen sollten regelmäßige Untersuchungen des Sys-tems durchgeführt werden. Neben automatisierten Tests sollten auch manuelle Überprüfungender Sicherheit eines Cloud-Computing-Systems durchgeführt werden, wie es zum Beispiel dasSicherheitslabor des Fraunhofer SIT durchführt.

Angreifer können sowohl nach internen und externen Angreifern unterschieden werden, als

11

auch nach ihrer Intention. Angriffe können z.B. aus Spaß, Interesse, Unzufriedenheit oder auchaus kommerziellen oder terroristischen Gründen erfolgen. Hierbei kann das Cloud-Computing-System sowohl als Werkzeug für die Ausführung eines Angriffs verwendet werden als auch esZiel eines Angriffs sein.

Möchte ein Angreifer mit Hilfe von Botnetzen ein System angreifen, so kann er Cloud-Computing-Systeme sehr gut als Werkzeug benutzen, da sich hierfür eine Vielzahl von Res-sourcen verwenden lassen. Im Folgenden werden kurz interne und externe Angreifer und derenIntention beschrieben.

Zum Schutz vor Angriffen sollte ein Cloud-Computing-Anbieter die Trennung von Funk-tionen und Rollen, sowie Sicherheitsrichtlinien einhalten. Die Umsetzung des Vier-Augen-Prinzips, bei dem vor jedem Zugriff noch weitere Bestätigungen erforderlich sind, die von einerzweiten Person autorisiert werden müssen, kann ebenfalls hilfreich sein (Rup10).

Kunden eines Cloud-Computing-Anbieters können diesem ebenfalls durch verschiedeneMaßnahmen Schaden zufügen. Die Intention von Kunden kann ebenfalls sehr vielseitig sein:Verärgerung, Unzufriedenheit oder auch aus Spaß oder Interesse am Stören der Verfügbarkeitdes Systems. Zu den Gefährdungen durch Angriffe von Kunden zählen bspw. die Übernahmeder Kontrolle anderer virtueller Maschinen, Abhören von Kommunikationen zwischen virtuel-len Maschinen, Zugriff auf das Dateisystem des Hosts oder unberechtigte Zugriffe auf Datenim Speicher.

Zum Schutz vor Angriffen auf die virtuellen Maschinen sollten sichere Hypervisoren einge-setzt werden und die Netze durch den Einsatz von VPNs, VLANs und Firewalls sicher getrenntund geschützt werden. Die Trennung der Daten ist ebenfalls ein sehr wichtiger Aspekt, damitKunden nicht auf Daten ihres Nachbarn zugreifen können.

Unter den externen Angreifern existieren drei verschiedene Typen, die häufig verwechseltoder gar nicht erst unterschieden werden: die Hacker, die Cracker und die Script-Kiddies. DieseAngreifer unterscheiden sich jedoch zum Teil sehr stark voneinander. Im Folgenden werdendiese drei Typen und ihre Unterschiede beschrieben.

Unter der Bezeichnung Hacker werden Technikenthusiasten verstanden, die umfangreichecomputertechnische Grundlagenkenntnisse besitzen und im Falle der Computersicherheit zu-sätzlich sicherheitstechnische Kenntnisse haben. Hacker sehen ihre Herausforderung in derÜberwindung von Sicherheitsmechanismen, um Schwachstellen zu erkennen. Durch die Umge-hung der Sicherheitsmechanismen können somit Zugriffe auf Netzwerke, Virtuelle Maschinen,gesicherte Komponenten oder fremde Dateien erlangt werden.

Im Gegensatz zu Crackern oder Script-Kiddies greifen Hacker ihre Ziele nicht an, sondernbegnügen sich mit der Überwindung der Sicherheitsmechanismen, um deren Schwachstellenaufzuzeigen, trotzdem ist nicht zu vergessen, dass auch Hacker sich im rechtlich illegalen Be-reich bewegen, wenngleich sie der Hacker-Ethik unterworfen sind, in der festgelegt ist wasrechtens ist und was nicht.

Cracker können das gleiche Fähigkeitsniveau wie Hacker erreichen, jedoch geht es ihnenbeim Angriff auf ein IT-System nicht darum Schwachstellen im System aufzuweisen, sondernsich einen Vorteil zu verschaffen oder Chaos zu stiften. Vorteile kann er sich zum Beispielverschaffen, wenn er sich Zugriff auf Cloud-Ressourcen oder Cloud-Services ermöglicht, ohnederen Verbrauch bezahlen zu müssen.

Der Cracker handelt wie der Hacker, jedoch stehen hier die kommerziellen Interessen desCrackers im Vordergrund und dessen krimineller Hintergrund. Durch Angriffe auf Webserver,Veränderung von Daten und DoS-Angriffe versucht der Cracker dem Cloud-Computing-System

12

Schaden zuzufügen. Durch DoS-Angriffe kann die Verfügbarkeit des Cloud-Computing-Systemssoweit verringert werden, dass weitere Kunden des Anbieters keinen Zugriff mehr auf ihreDienste haben.

Der dritte Typ sind die Script-Kiddies, diese sind im Vergleich zu Hackern und Crackernunerfahren und können die wenigsten Kenntnisse von Computern und deren Sicherheitsme-chanismen vorweisen. Meist führen sie ihre Angriffe rein zufällig und unter Verwendung vonSkripten oder gebrauchsfertigen Softwareprogrammen durch, deren Funktionsweise sie nichtkennen und über deren Folgen sie sich nicht im Klaren sind.

Daten in der Cloud entziehen sich der direkten Kontrolle des eigentlichen Besitzers, so dassdie beschriebenen Arten von Angriffen ein ernstzunehmendes Sicherheitsrisiko darstellen, demmit den entsprechenden Technologien begegnet werden muss. Kunden müssen sich ebenfallsbewusst machen, dass Angriffe nicht nur von außerhalb stattfinden, sondern auch intern in ei-nem Cloud-Computing-System stattfinden können.

Ein besonderes Risiko besteht darin, dass über die Cloud völlig neue Angriffsmöglichkei-ten von Cyberkriminellen eröffnet werden. Diese können die schwächste Sicherheitsstelle derCloud nutzen, um in diese einzudringen. Da die Cloud- und Ressourcenanbieter kein eigenesInteresse an der Datenverarbeitung, sondern nur an deren Vergütung haben, ist es Kriminellenu.U. leicht möglich, unerkannt in die Rolle des Nutzenden zu schlüpfen, um die Datenverarbei-tung auszuspionieren und/oder zu sabotieren (Ger10).

2.3.1 Abwehr von Schadprogrammen durch Cloud-Sicherheit

Die klassische Art der Identifizierung von Schadprogrammen erfolgt durch die Verwendung sogenannter Signaturen. Eine Signatur ähnelt einem Fingerabdruck – stimmt dieser mit einem Teileines bekannten Schadprogramms überein, wird das Programm als Malware erkannt. Allerdingsunterscheiden sich menschliche Fingerabdrücke und Signaturen in einem Punkt voneinander:Ein Fingerabdruck passt ausschließlich zu einer einzigen Person, während eine gute Signaturnicht nur eine einzige, einmalige Datei identifiziert, sondern mehrere Modifizierungen dieserDatei. Je höher also die Qualität der Signatur, umso höher die Erkennungsrate und umso ge-ringer die Anzahl der benötigten Signaturen und folglich des Speicherverbrauchs. Aus diesemGrund ist die Anzahl der Signaturen, die von den Herstellern von Antivirenlösungen zur Ver-fügung gestellt werden, gewöhnlich sehr viel geringer, als die Gesamtzahl der als schädlichbekannten Dateien (Kal09).

Doch je mehr schädliche Dateien existieren, desto mehr Signaturen werden benötigt. DieSignaturenanzahl hat sich in den letzten Jahren (als Reaktion auf die Explosion der Anzahl anSchadprogrammen) dramatisch erhöht. Statt die Signaturen auf jedem Rechner zu speichern,kann man sich nun einfach die Vorteile der Cloud zu nutze machen: Man speichert die Signatu-ren einfach in der Cloud. Sämtliche Fingerabdrücke werden auf Servern der Antiviren-Anbietergespeichert.

Der Server wird ausschließlich dann kontaktiert, wenn die Sicherheitslösung ein nicht iden-tifiziertes Programm auf der lokalen Festplatte entdeckt. Solange der Anwender keine neuenProgramme installiert, besteht auch nicht die Notwendigkeit, neue Daten herunterzuladen. Ak-tuell ist es so, dass Signaturen permanent aktualisiert werden müssen – rein für den Fall, dassein neues Programm (bei dem es sich um Malware handeln könnte) installiert wird. Der Ansatzder Cloud-Sicherheit steht in vollständigem Gegensatz dazu.

Der Anwender selbst merkt zwischen diesem und dem früheren Ansatz keine großen Unter-

13

schiede. Die Überprüfung des Fingerabdrucks einer Datei erfordert kaum Prozessor-Ressourcen,so dass diese Methode um einiges schneller ist, als die Durchführung eines komplexen signa-turbasierten Scans.

Eine Überprüfung von Signaturen auf Anforderung und in Echtzeit verkürzt die Reaktions-zeiten signifikant. Sobald eine Datei von einem Analysten als schädlich eingestuft wird, erhältder Kunde diese Information unmittelbar danach. Dadurch wird die Reaktionszeit auf Minutenoder sogar Sekunden reduziert.

Cloud-Systeme können auch dazu beitragen, einen Kunden darüber zu informieren, ob seinRechner infiziert wurde. Dabei sendet das Gerät des Kunden eine Anfrage und der Server lie-fert die entsprechende Antwort. Dieser Prozess kann, je nachdem, wie die Technologie im-plementiert wurde, auch umgekehrt funktionieren. Der Kunde kann also auch dem Antiviren-Unternehmen helfen, neue Bedrohungen zu identifizieren und aufzudecken.

2.3.2 Vertragliche Regelungen und Sicherheitsstandards

Sicheres Cloud Computing ist nur möglich, wenn Anwender über die Sicherheitsvorkehrungendes Dienstleisters Bescheid wissen. Kunden sollten nachfragen, ob Subunternehmer beauftragtwerden oder wer Zugriff auf die Daten hat. Denn wer auf Cloud Computing setzt, bleibt in derRegel selbst verantwortlich für seine Daten. Darauf weist eine Fraunhofer-Studie hin. Sie ergabzudem, dass umfassende Sicherheitsstandards in der Wolke bisher fehlen.

Ein zentraler Aspekt jedes Cloud-Vertrages ist die Sicherheit der Datenverarbeitung. Hierzugehören Pflege- und Fehlerbeseitigungsmaßnahmen sowie Maßnahmen zur Abwehr von An-griffen und Störungen. Schon aus haftungsrechtlichen Gründen ist es von Bedeutung, dass dieVerantwortlichkeit für spezifische Sicherheitsmaßnahmen eindeutig zugewiesen wird. Sicher-heitszusagen können über so genannte Security-Service-Level-Agreements (SSLA), die denüblichen allgemeinen Geschäftsbedingungen nicht unähnlich sind, verabredet werden. Tatsäch-lich bleiben die Cloud-Anbieter bei ihren Garantien für Sicherheitsmaßnahmen im wahrstenSinne des Wortes „wolkig“ (Wei09).

Sicherheitsstandards bei Cloud Computing gibt es bisher kaum. Die Anbieter unterschei-den sich stark in ihren jeweiligen Vorkehrungen. Wer sich über die Sicherheits-Standards derAnbieter von Cloud Computing kundig machen will, auf den wartet eine Menge Arbeit. WasFirmen wie Amazon oder Google über die Sicherheit ihrer Cloud-Angebote von sich aus preis-geben, ist demnach oft dürftig. Die Sicherheit der heute verfügbaren Cloud-Dienste umfassendzu bewerten, ist laut der jetzt vom SIT veröffentlichten Studie "Cloud Computing Sicherheit -Schutzziele. Taxonomie. Marktübersicht"deshalb schwierig.

Wenn es Informationen gibt, sind diese oft zu ungenau. Angaben zu Service Level Agree-ments (SLA) und zum Schutz der Privatsphäre machen die Anbieter zwar meist. Allerdings sindgerade die SLAs zum Teil ungenau definiert.

Einige Sicherheits-Zertifikate sind allerdings schon weit verbreitet. Streitberger und Ruppelnennen den Statement on Auditing Standard 70 Type II Report. Manche Anbieter seien zusätz-lich nach ISO/IEC 27001 zertifiziert, der internationalen Norm für Systeme zum Informationssicherheits-Management.

2.3.3 Offene Standards

Das Internet wurde basierend auf offenen Standards und Zusammenarbeit entworfen. OffeneStandards stellen für die Kunden, Anwendungen und Unternehmen eine zuverlässige Grundlage

14

dar. Deshalb bilden sie eine wichtige Grundlage für den Wachstum des Webs der Zukunft undgeben der Etablierung von Cloud Computing eine Basis.

Offene Standards werden benötigt, um die Fülle an Umgebungs- und Anwendungsszenarioszu unterstützen, in denen das Cloud Computing für die Ermöglichung der Interoperabilität einekritische Rolle spielt.

Mit der Einführung von Standards wird allerdings wohl auch die Aufmerksamkeit vonMalware-Autoren und Hackern geweckt werden (Hin10). Dieses Phänomen hat sich schonim Zuge der Standardisierung von PCs, auf denen mit überwiegender Mehrheit das Windows-Betriebssystem installiert ist, bereits eindrucksvoll bewahrheitet.

Sobald Cloud-Computing eine ausreichende Verbreitung hat, wird es mit großer Wahr-scheinlichkeit auch genau auf diese Systeme spezialisierte Hacker geben. Auch hier wird esderen Ziel sein, Daten zu stehlen oder zu manipulieren – immer unter dem Hintergrund desfinanziellen Vorteils. Zudem wird es weiterhin die Art Betrüger geben, die an der Technik ansich kein besonderes Interesse zeigt.

15

3 Cloud Computing und DatenschutzInformationelle Selbstbestimmung bezieht sich auf die Fähigkeit von Individuen, Kontrolle überdie Verbreitung, die Nutzung und Offenlegung ihrer persönlichen Informationen zu haben. Diesbildet die weltweit Grundlage der modernen Rechtssprechung zum Thema Privatsphäre undDatenschutz (Cav08).

Alle Organisation, die persönliche Informationen sammeln und benutzen, müssen die Inter-essen des Einzelnen beachten. Die Organisationen können dies durch Offenheit ihrer Informa-tionsmanagementpraxis und durch das Anbieten von Datenschutzoptionen gewährleisten. Demsteht das blinde Vertrauen der Benutzer dem Provider gegenüber.

Die Benutzer müssen natürlich die Vertraulichkeit ihrer Information auch selbst in die Handnehmen, aber es gibt auch Technologien, welche die grundlegende Privatsphäre verbessern.Solche Technologien können das Risiko von Datenmissbrauch und versehentliche Offenlegungminimieren. Informationelle Selbstbestimmung ist ein herausfordendes Konzept geworden, umin einer Welt mit unbegrenzter Informationsmenge von Individuen zu den Organisation zu för-dern und gleichzeitig zu schützen. Dieser Aspekt ist auch ein Bestandteil des Web 2.0.

Unser digitaler Fingerabdruck werden zu Megabyte für Megabyte zusammengesammelt inForm von Personas, Profilen und Avataren - virtuelle Repräsentationen von uns, die in vie-len zeitgleichen Orten gespeichert sind. Als Ergebnis der weitreichenden Entwicklung in derInformations- und Kommunikationstechnologie erschaffen, speichern und verbreiten wir Infor-mationen bei nahe zu exponentieller Wachstumsrate. Ein Großteil der Daten lässt Rückschlüsseauf den Urheber zu und gleichzeitig sind diese Informationen unter Kontrolle von Dritten. Siewerden benutzt, um uns neue Dienste zur Verfügung zu stellen und uns so neue Komfort, Be-quemlichkeiten, Möglichkeiten, Vorteile zu ermöglichen, die sich unsere Eltern und Großelternkaum hätten erträumen lassen. Zur gleichen Zeit ergeben sich dadurch aber auch Risiken undGefahren von dieses digitalen Überflusses.

Was wird Privatsphäre bedeuten, und wie wird sie überleben und Erfolg haben als ein einfor-derbares Menschenrecht, als grundlegendes Leitbild in einer Welt, in der das Individuum immerweniger direkt präsent im Zentrum der Datentransaktionen steht? Wie werden die IndividuenKontrolle über ihre persönlichen Daten erlernen, wenn sich die Daten in der Wolke gespeichertund verwaltet werden, sich also eigentlich außerhalb ihrer eigenen Reichweite befinden?

Weil sich Cloud Computing auch im Endkundenbereich immer größerer Beliebtheit erfreut,ist es daher auch nötig, die Rahmenbedingungen des Datenschutzes abzuleiten und zu benennenund so ein Leitbild zu definieren.

3.1 RechtsfragenDas zentrale Problem des Cloud Computing ist die Gewährleistung der Integrität und Vertrau-lichkeit der Datenverarbeitung des Cloud-Nutzers. Dies gilt nicht nur für die Verarbeitung per-sonenbezogener, sondern sämtlicher Daten, bei denen es auf Vertraulichkeit und Integrität an-kommt, z.B. für Betriebs- und Geschäftsgeheimnisse, für Forschungsdaten oder für anderwei-tig immateriell-rechtlich geschützte Daten. Letztendlich geht um das Verhindern unberechtigterund schädigender Zugriffe Dritter.

Die meisten existierenden Gesetze haben ihre Ursprünge in den Richtlinien der OECD (Or-ganisation für ökonomische Zusammenarbeit und Entwicklung). Diese fordern beispielswei-se, dass bereits existierende nur die benötigten personenbezogenen Daten für einen bestimm-

16

ten Zweck gesammelt werden sollten und dass diese Datensammlung geschützt werden muss.(Wei09)

Rechtlich erfolgt die Bereitstellung und Nutzung von Clouds im Rahmen eines Schuldver-trags, aus der sich eine viele juristischen Fragestellungen (z.B. Haftung, Gewährleistungsan-sprüche, Urheberrecht) ergeben können. Diese an dieser Stelle alle näher zu betrachten, würdeallerdings den Rahmen dieser Arbeit sprengen. Cloud-Verträge sind nicht eindeutig zuordenbar,sondern eine Typenmischung mit Anteilen eines Mietvertrags, einer Leihe und eines Dienst-und/oder eines Werkvertrages (Schulung, Pflege, Schnittstellenanpassung). (Sch08)

Die Archivierung von Daten in grenzüberschreitenden Clouds hat bezüglich steuerlich re-levanter Aufzeichnungen Bedeutung, da diese nach § 146 Absatz 2 grundsätzlich im Inland zuführen und aufzubewahren sind. Auf Antrag kann die zuständige Finanzbehörde nach dem zum01.01.2009 eingefügten § 146 Abs. 2a AO bewilligen, dass die Dokumente in einem Mitglied-staat der Europäischen Union (EU) oder des Europäischen Wirtschaftsraums mit Amtshilfe-übereinkommen (EWR) archiviert werden. Die ausländische Finanzbehörde muss zustimmen,und die deutsche Finanzbehörde muss auf die Dokumente zugreifen können. Nach § 148 AOdürfen steuerrechtliche Unterlagen außerhalb des EU/EWR-Raumes nach Bewilligung der Fi-nanzbehörde nur aufbewahrt werden, wenn das Aufbewahren im Inland für den Steuerpflichti-gen Härten mit sich brächte und die Besteuerung nicht beeinträchtigt wird. Nach dem Handels-recht müssen Buchungsbelege und Handelsbriefe im Inland aufbewahrt werden. Es besteht nach§ 257 Abs. 4 HGB eine gesetzliche Aufbewahrungsfrist von 6 bzw. 10 Jahren. Ein explizitesVerbot zur Nutzung eines Cloud Archiving besteht nicht.

Außerdem richten sich einige Cloud-Angebote direkt an die Verbraucherinnen und Ver-braucher (z.B. Google Apps), so dass das nationale und das internationale Verbraucherrechtzu beachten ist. Für die Ermittlung von Straftaten und Ordnungswidrigkeiten stellt die Spei-cherung von Daten in der Cloud dann ein Problem dar, wenn durch die Art und den Ort derDatenverarbeitung ein Zugriff für die Ermittlungs- und Sanktionsbehörden nicht möglich ist.

Wegen der Vielzahl der mit Cloud-Datenverarbeitungen verbundenen rechtlichen Fragen,die bisher keiner gesetzlichen Regelung zugeführt worden sind, kommt dem Gesetzesentwurfeine zentrale Bedeutung zu.

3.1.1 Vereinbarkeit mit dem Datenschutzgesetz

Aus Datenschutzsicht relevant ist Cloud Computing nur, wenn personenbezogene Daten verar-beitet werden (§ 3 Abs. 1 BDSG), das heißt wenn die verarbeiteten Einzeldaten einem Men-schen, dem Betroffenen, zugeordnet werden können. Betroffene können zum einen Mitarbeiterdes verantwortlichen Unternehmens sein, die bei der Cloud-Nutzung beschäftigt werden undderen Daten in diesem Zusammenhang verarbeitet werden. In Betrachtung der Nutzungsdatenist hier das spezifische Arbeitnehmerdatenschutzrecht anwendbar. Regelmäßig verarbeitet wer-den zudem personenbezogene Daten als Gegenstand der Cloud-Anwendung, z.B. die Angabenzu Kundinnen und Kunden, zu Lieferanten und sonstigen Geschäftspartnern oder von Personen,die mit dem Cloud-Nutzer in keinem spezifischen Verhältnis stehen.

Keine Anwendbarkeit des Datenschutzrechtes ist gegeben bei hinreichender Anonymisie-rung personenbezogener Daten. Als anonymisiert angesehene Daten (vgl. § 3 Abs. 6 BDSG)können durch ihre Verarbeitung in der Cloud reidentifizierbar werden, weil andere Cloud-Nutzer oder die Cloud- bzw. Ressourcen-Anbieter über Zusatzwissen verfügen, durch das eineReidentifizierung ermöglicht wird.

17

Soweit kein objektiver, sondern ein relativer Begriff der Personenbeziehbarkeit vertretenwird, kann sich also die Qualität der Datenverarbeitung durch Cloud-Anwendungen ändern.Da es aber heute keines unverhältnismäßig großen Aufwandes an Zeit, Kosten und Arbeitskraftmehr bedarf, um durch komplexe Verknüpfungen in Netzen nicht eindeutig identifizierende Da-ten einer bestimmbaren Person zuzuordnen, ändert allein der Umstand einer Verarbeitung in ei-ner Cloud an der Anwendbarkeit des Datenschutzrechtes nichts. Eine Personenbeziehbarkeit istbei Einzeldatensätzen zu Personen regelmäßig anzunehmen. Gerade die elektronische Auswert-barkeit und die Integration in ein möglicherweise weltweites Netzwerk erhöht die Wahrschein-lichkeit des Vorliegens von Zusatzwissen, das eine Identifizierung der Betroffenen ermöglicht.

Durch Pseudonymisierung, also das Ersetzen der Identifikationsmerkmale einer natürlichenPerson durch ein anderes Merkmal (§ 3 Abs. 6a BDSG), wird die Anwendbarkeit des Daten-schutzrechtes nicht ausgeschlossen. Durch diese Methode kann eine Identifizierung der Betrof-fenen derart erschwert werden, dass ein Schutzniveau erreicht wird, das eine Datenverarbeitungzulässig macht.

Clouds sind tendenziell grenzüberschreitend: Es gibt keine technischen Gründe zur Berück-sichtigung territorialer Grenzen. Jedoch gilt dies nicht für das Datenschutzrecht, denn dieses istimmer an den Ort der Datenverarbeitung gebunden. Nach der Europäischen Datenschutzrichtli-nie (EU-DSRL) soll aber innerhalb des europäischen Binnenmarktes der Umstand einer grenz-überschreitenden Datenverarbeitung kein rechtliches Hindernis mehr darstellen (Art. 1 Abs. 2EU-DSRL). Voraussetzung dafür ist aber die Gewährleistung eines hinreichenden Datenschut-zes. Durch die Überschreitung der nationalen Grenzen soll es nicht zu einer Rechtebeschnei-dung für die Betroffenen kommen und schon gar nicht auf die Festlegung einer minimalenSchnittmenge bei den Schutzstandards. Beim grenzüberschreitenden Cloud-Computing ist al-lerdings trotzdem nicht gewährleistet, dass in den von der konkreten Anwendung betroffenenStaaten überhaupt Regelungen zum Datenschutz und zum Datenschutz bestehen. Das Daten-schutzzentrum Schleswig-Holstein (Wei09) schreibt dazu:

Gemäß Artikel 4 Abs. 1 a), b) EU-DSRL kommt es für die Anwendbarkeiteinzelstaatlichen Rechts darauf an, in welchem Mitgliedstaat die Daten verarbei-tende Niederlassung ihren Sitz hat. Hat die Daten verarbeitende Stelle keine Nie-derlassung im EU/EWR-Raum, so kann nach § 1 Abs. 5 S. 3 BDSG ein im Inlandansässiger Vertreter benannt werden, dem gegenüber das anwendbare nationale Da-tenschutzrecht geltend gemacht werden kann.

In einer Cloud droht die Verantwortung für die konkrete Verarbeitung und für eventuellePersönlichkeitsverletzungen hinter den grenzüberschreitenden Wolken verloren zu gehen. Fürdie datenschutzrechtliche Bewertung von Cloud-Anwendungen ist daher eine präzise Klärungder Verantwortlichkeiten vor zentraler Bedeutung. Nach Art. 2 c) S. 1 EU-DSRL ist verant-wortlich, wer „über die Zwecke und Mittel der Verarbeitung entscheidet“. Dies ist beim CloudComputing der Cloud-Nutzer, der sich zur Nutzung entschließt und die Daten in die Cloudeingibt.

Nach § 3 Absatz 7 BDSG wird die Verantwortung nicht auf den eigenen tatsächlichenMachtbereich beschränkt, sondern auch auf die Auftragsdatenverarbeitung erstreckt. In § 11Absatz 1 S. 1 BDSG wird bekräftigt, dass bei der Auftragsdatenverarbeitung der Auftragge-ber für die Einhaltung der Vorschriften über den Datenschutz verantwortlich ist. Dies bedeutet:Durch die Beauftragung und Einschaltung Dritter kann sich ein Cloud-Dienstleister seiner Ver-antwortung nicht entziehen.

18

Bei einer Begehung von Datenschutzverstößen in der Cloud außerhalb des deutschen Ter-ritoriums werden die gesetzlichen und faktischen Ermittlungsmöglichkeiten nach deutschemRecht regelmäßig fehlen. Rechtlich ist die Datenschutzkontrolle der Aufsichtsbehörden in denBundesländern auf das jeweilige Landesterritorium beschränkt. Innerhalb der EU bzw. demEWR kann eine gegenseitige Amtshilfe der Aufsichtsbehörden erfolgen, die bisher allerdingswegen des damit verbundenen Aufwandes nur im Einzelfall auch tatsächlich durchgeführt wird.Unbegründete Kontrollen, wie sie sowohl im BDSG als auch in den EU-Datenschutzrichtlinienvorgesehen sind, sind als koordinierte oder gemeinsame Kontrollen in Clouds mit Drittauslands-bezug praktisch nicht möglich.

Dies führt dazu, dass Cloud-Anbieter, die sich Datenschutzkontrollen entziehen wollen,gezielt Clouds nutzen können. Dies gilt insbesondere für Verarbeitungen im Drittausland, al-so außerhalb des EU/EWR-Raumes, da hier jede Kontrolle von der vertraglichen Einräumungvon Kontrollrechten durch die Cloud- und Ressourcenanbieter abhängt, die vom Cloud-Nutzerdurchgesetzt werden müsste, der in der Regel selbst kein Interesse an der Datenschutzkontrollehat.

3.1.2 Drittzugriff

Durch die Verlagerung des Ortes der Datenverarbeitung in einen anderen Staat ergibt sich,dass Dritte, die keine Cloud- oder Ressourcen-Anbieter sind, in diesem Staat möglicherwei-se tatsächlich und möglicherweise auch auf rechtlicher Basis Zugriff auf diese Daten nehmen(dürfen). Dies gilt vorrangig für die Behörden der „inneren Sicherheit“, also Polizei, sonstigeStrafverfolgungsbehörden, nationale Geheimdienste, oder Finanzbehörden. So gehört es bei-spielsweise zu den rechtlichen Aufgaben und Befugnissen vieler nationaler Geheimdienste, fürdie heimischen Interessen Wirtschaftsspionage zu betreiben. Dies kann in keinem Fall im In-teresse des Cloud-Nutzers und sollte auch nicht in dem der Cloud- und Ressourcen-Anbieterliegen, lässt sich aber rechtlich nicht und faktisch nur schwer verhindern. Die Motivation fürderartige legale Zugriffe muss nicht in der Gefahrenabwehr oder der Ermittlung von kriminel-len Handlungen liegen.

Es ist nicht auszuschließen, dass das nationale Recht, etwa wegen eines völligen Fehlensvon Datenschutzrestriktionen, sogar den Zugriff durch private Dritte erlaubt. Je niedriger dasDatenschutzniveau in dem Staat ist, in dem die tatsächliche Datenverarbeitung stattfindet, destogrößer ist die Gefährdung der Betroffeneninteressen durch die Cloud-Datenverarbeitung.

Denkbare Bedarfsträger an Cloud-Daten im öffentlichen Bereich sind neben den klassischenSicherheitsbehörden Finanzbehörden, die z.B. über den Zugriff auf Bankdaten Erkenntnissezur Steuerhinterziehung und zum Steuerbetrug zu erlangen versuchen. Eine andere Bedarfslagekann sich für Aufenthalts-, Asyl- und Einwanderungsbehörden ergeben, bei denen Erkenntnisseaus dem Heimatstaat von hoher Relevanz sind, wofür Clouds eine Quelle sein können.

Besonders problematisch wird der tatsächliche und der rechtlich erlaubte Zugriff, wenn eineDatenverarbeitung in einem Staat erfolgt, die nicht nur keinen hinreichenden Datenschutz ge-währleisten kann, sondern in dem zusätzlich bewusst und gezielt Menschenrechte ignoriert undRechtsschutz verweigert werden und der Menschen politisch, wirtschaftlich, ethnisch oder ausanderen Gründen verfolgt. So können staatliche Zugriffe auf Cloud-Rechner durch staatlicheoder halbstaatliche Einrichtungen in Diktaturen wie z.B. dem Iran oder China Informationenoffenbaren, die zur Grundlage von weiterer Überwachung, Verfolgung, Verhaftung, bis hin zurTötung benutzt werden können.

19

Der legale Zugriff auf Cloud-Daten kann unter Umständen durch technische Vorkehrun-gen verhindert werden. Eine Pseudonymisierung kann eine Auswertung verhindern, wenn fürdie Dritten kein Zugang zu den Zuordnungsmerkmalen besteht. Entsprechendes gilt für dieVerschlüsselung von Daten, wenn keine Entschlüsselungsmöglichkeiten bestehen, oder für dieVerarbeitung in virtuellen Räumen, zu denen Dritte faktisch keinen lesenden Zugriff nehmenkönnen.

Außerdem muss berücksichtigt werden, dass in vielen Staaten rechtliche Regelungen exis-tieren, mit denen die Cloud- und Ressourcenanbieter unter Androhung staatlicher Sanktionenverpflichtet werden können, Schutzvorkehrungen gegen unberechtigten Zugriff entweder völligzu unterlassen oder auf behördliche Aufforderung aufzuheben. So gibt es selbst in westlichendemokratischen Staaten gesetzliche Regelungen zur Herausgabepflicht von Schlüsseln zur Ent-schlüsselung behördlicher geforderter Daten. Berücksichtigt werden muss weiterhin, dass esinsbesondere im Sicherheitsbereich in fast allen Staaten behördliche Befugnisse gibt, techni-sche Sicherungsvorkehrungen zu überwinden.

Je nach den vorgesehenen und umgesetzten Sicherheitsvorkehrungen besteht zudem ein An-griffsrisiko durch unberechtigte Dritte auf die von Cloud-Nutzern verarbeiteten Daten. Soll derCloud-Anbieter alle Sicherheitsvorkehrungen und -bestimmungen selbst treffen, so verliert erbeim Cloud Computing regelmäßig völlig die Herrschaft über sie. Und das, obwohl Daten-sicherheit fast immer ein Bestandteil des Serviceangebots ist. Denkbar sind Beeinträchtigun-gen sämtlicher Schutzziele technisch-organisatorischer Datensicherheitsmaßnahmen, also derIntegrität, Verfügbarkeit, Vertraulichkeit, der Transparenz für die Berechtigten oder der Unver-knüpfbarkeit der verarbeiteten Daten.

Unberechtigte Zugriffe können durch technisch-organisatorische Maßnahmen, wie sie inim Bundesdatenschutzgesetz obligatorisch vorgesehen sind, eingeschränkt oder gar vermiedenwerden. Zu beachten ist aber, dass die gesetzliche Verpflichtung zu derartigen Vorkehrungennur bei Cloud-Anbietern im EU/EWR-Raum besteht. Dessen ungeachtet bestehen auch hieroft große Umsetzungsdefizite (Wei09). Während jedoch gegen legale Zugriffsrechte auf Cloud-Daten keine vertraglichen Absprachen zwischen Nutzer und Cloud-Anbieter helfen, können ge-gen ungesetzliche Zugriffe vertraglich umfassende und wirksame Sicherungsmaßnahmen ver-abredet werden.

3.1.3 Vertragliche Regelungen zwischen Nutzer und Anbieter

Cloud Computing ist aus technischer Sicht klassische Auftragsdatenverarbeitung, wie sie in § 11BDSG gesetzlich geregelt ist (Sch08). Der Auftraggeber, also der Cloud-Nutzer, soll vollstän-dig über die Art und Weise der Datenverarbeitung bestimmen. Cloud- und Ressourcen-Anbietererfüllen reine Hilfs- und Unterstützungsfunktionen und sind – idealtypisch – völlig von den Vor-gaben der verantwortlichen Stelle abhängig. Der Auftraggeber bleibt für die Sicherstellung derVertraulichkeit und Integrität der Daten verantwortlich. Dieser Verantwortung kann er auf derBasis der etablierten Cloud-Strukturen im Allgemeinen nicht gerecht werden, bei denen Diens-te angeboten werden, zu denen die Dienstleister gegenüber dem Cloud-Nutzer keine Auskunftzur Art und zum Ort der Verarbeitung und zu den Sicherungsmaßnahmen geben kann. Demgegenüber ist eine datenschutzgerechte Datenverarbeitung in der Cloud vorstellbar, wenn demCloud-Nutzer als verantwortliche Stelle umfassende Transparenz über diese Rahmenbedingun-gen und Wahlmöglichkeiten gewährt werden.

Die Anforderungen an eine Funktionsübertragung sind weitergehend. Die Datenschutzge-

20

setze gehen davon aus, dass der Übermittlungsempfänger von Daten selbst für die weitere Ver-arbeitung verantwortlich ist. Dies können aber beim Cloud Computing die Cloud-Anbieter nichtgewährleisten, da diese von der konkreten Datenverarbeitung im Idealfall nichts bewusst mit-bekommen und mitbekommen sollen. Die rechtlichen Mindestanforderungen für jede Cloud-Anwendung ist die Beachtung der Regelungen zur Auftragsdatenverarbeitung. Dies gilt selbstim Fall einer Funktionsübertragung, da durch den Umstand, dass eine Verarbeitung im Dritt-ausland erfolgt, das Datenschutzniveau für die Betroffenen nicht abgesenkt werden darf.

Im Auftrag müssen die Voraussetzungen und Verfahren bei unerwarteten bzw. unzulässi-gen Verarbeitungen festgelegt werden, das heißt bei welchen Vorfällen eine Information desNutzers unaufgefordert erfolgen muss. Wegen des standardisierten Vorgehens ist bei Cloud-Anwendungen das Erteilen von Weisungen des Nutzers meist nicht umsetzbar. Dies muss kom-pensiert werden durch Optionsangebote, die dem Nutzer die Auswahl bestimmter Ressourcen,Orte und Sicherheitsniveaus erlaubt. Dies ist in jedem Fall nötig, wenn an die konkrete Verar-beitung zusätzliche rechtliche Anforderungen gestellt werden, so wie dies z.B. bei besonderenDatenkategorien nach § 3 Abs. 9 BDSG, bei Daten von Finanzdienstleistern (§ 25a KWG),bei Sozialgeheimnissen (§ 80 SGB X) oder bei besonderen Berufs- und Dienstgeheimnissender Fall ist. Bei der Verarbeitung von sensitiven Daten können diesen Kennungen beigefügtwerden.

Regelungsbedürftig ist die Haftung der Cloud- und Ressourcen-Anbieter gegenüber denNutzern. Durch die Verarbeitung in der Cloud können sowohl direkt Schäden für den Nutzerentstehen wie auch persönlichkeitsrechtliche Schäden der von der Datenverarbeitung Betroffe-nen, die diese nach § 7 BDSG oder nach den §§ 823, 847 BGB gegenüber dem Nutzer geltendmachen können. Die Haftungsregelung des Cloud-Vertrages sollte sicherstellen, dass alle vomNutzer nicht zu vertretende Schäden vom Cloud-Anbieter übernommen werden.

Bei einer längerfristigen Cloud-Verarbeitung muss geklärt werden, was mit den gespeicher-ten Daten passiert, wenn ein Cloud-Anbieter insolvent wird oder von einem anderen Unter-nehmen übernommen wird. Nach Abschluss der Verarbeitung müssen die verarbeiteten Datengelöscht werden. Es bedarf noch einer weitergehenden Untersuchung, welche Protokolldatenfür welche Zeit aufbewahrt werden müssen und dürfen.

Nicht zuletzt muss im Vertrag gewährleistet werden, dass im Fall einer Datenschutzkontrollenach § 38 BDSG diese ungehindert durchgeführt werden kann und im Fall einer Wahrnehmungder Rechte des Nutzers diese uneingeschränkt in Anspruch genommen werden können.

3.1.4 Außereuropäische Clouds

Werden Rechnerstandorte außerhalb der Europäischen Union mit einbezogen, so sind Cloudswegen der damit zwangsläufig erfolgenden Datenübermittlung, für die es keine datenschutzge-setzliche Legitimation gibt, grundsätzlich unzulässig. Da die Datenverarbeitungen im Rahmeneiner Cloud nicht dem Übermittlungserfordernis der Erforderlichkeit nach § 28 BDSG genügenkönnen und in jedem Fall als Auftragsdatenverarbeitung durchgeführt werden müssen, bleibenClouds mit außereuropäischen Anbietern datenschutzrechtlich unzulässig. Dies hat dazu ge-führt, dass einzelne Cloud-Anbieter wie z.B. Amazon Web Services den Nutzern die Möglich-keit einräumen, eine Datenverarbeitung ausschließlich innerhalb des EU/EWR-Raumes durch-führen zu lassen.

Ein weitgehend freier Datenfluss in Staaten außerhalb des EU/EWR-Raumes ist aber evtl.möglich, wenn in den Drittstaaten ein angemessenes Datenschutzniveau besteht, für bestimmte

21

Staaten, z.B. für die Schweiz, Kanada oder Argentinien, durch die EU-Kommission festgestelltwurde. Die Feststellung der Angemessenheit des Datenschutzniveaus in einem außereuropäi-schen Staat hat jedoch nicht zur Folge, dass Stellen dort rechtlich als Auftragnehmer gemäß §11 BDSG behandelt werden können.

Die Selbstzertifizierung von US-Unternehmen zu „Safe Harbor“ genügt nicht, um ein denEU-Standards entsprechendes Datenschutzniveau zu erreichen. Zielsetzung des Safe Harborswar es, eine praktikable Lösung für die zwangsläufig zwischen den USA und Europa notwen-digen Datenübermittlungen zu schaffen. Keinesfalls kann aber Safe Harbor dazu dienen, diestrengeren Datenschutzvorschriften in Europa zu umgehen, so wie dies beim Cloud Computingder Fall wäre. Diese Maßstäbe dienten lediglich der Schaffung einer tragfähigen Brücke zwi-schen den strengen europäischen Datenschutzregeln und dem in vieler Hinsicht nicht existie-renden Datenschutzniveau in den USA. Cloud-Verträge, die sich an „Safe-Harbor“-Maßstäbenorientieren, sind daher nicht ausreichend.

Cloud-Anbieter wie Google oder Salesforce mit Sitz in den USA weisen sich als Nachweisihrer Vertrauenswürdigkeit mit einem SAS-70-Typ-II Zertifikat aus. Dies bedeutet, dass dieDatenzentren durch unabhängige Dritte kontrolliert werden sollen. Diese Maßnahme genügtnur teilweise den Anforderungen der Auftragsdatenverarbeitung. Sie berücksichtigt z.B. nichtdie materiellen und prozeduralen Betroffeneninteressen bei Übermittlungen.

Möglich ist auch, dass sich die an einer Cloud beteiligten Unternehmen verbindlichen Un-ternehmensregeln unterwerfen, wodurch ein angemessenes Schutzniveau vertraglich hergestelltwerden soll. Dieses zunächst für internationale Konzerndatenverarbeitung entwickelte rechtli-che Instrumentarium lässt sich auch auf die Cloud-Anbieter übertragen. Nach den Empfehlun-gen der Art.-29-Datenschutzgruppe in der EU muss im Rahmen dieser Unternehmensregelndie Hauptniederlassung oder ein von der Unternehmensgruppe benanntes Gruppenmitglied fürdie Verstöße aller verbundenen Unternehmen außerhalb der EU einstehen. Solche Regelungenmüssen durch die zuständigen Datenschutzaufsichtsbehörden genehmigt werden.

3.2 Digitale IdentitätenverwaltungDie digitale Identität ist eine fundamentale Herausforderung. In ersten Phase des Verbraucher-Computings war die Privatsphäre und Sicherheit des Benutzers durch die Beschränkung desphysikalischen Zugriffs zu den Stand-alone-Rechnern und Speichermedien gegeben. Die An-forderung für die Benutzeridentität waren sehr minimal, sie bestanden nur aus einer Handvollvon Benutzernamen und Passwörtern für lokale Systeme und Dateizugriff.

In der zweiten Phase müssen die Benutzer sich für jede Internetanwendung, die sie verwen-den, neu identifizieren. Meist geschieht dies durch das Ausfüllen von Online-Formularen unddurch Angabe persönlicher Informationen (z.B. Name, Anschrift, Kreditkartennummer etc.).Dadurch wird eine Spur persönlicher Informationen hinterlassen, die durch nicht ausreichen-den Schutz eventuell ausgenutzt und missbraucht werden könnte.

3.2.1 Heutige Situation

Fast alle Online-Aktivitäten, wie E-Mail versenden, Steuererklärungen erledigen, Bankkonten-verwaltung, Wareneinkauf, Spiele spielen, sich mit einem internen Firmennetzwerk verbinden,Leute in der virtuellen Welt treffen, setzen voraus, dass Informationen über die Benutzeriden-tität ausgetauscht werden. Heutzutage müssen die meisten Benutzer eine Identität einrichten,

22

wenn sie eine neue Webapplikation benutzen wollen. Dies geschieht durch Ausfüllen einesOnline-Formulars, in das meist sensible Daten eingegeben werden müssen (Name, Adresse,Kreditkartennummer, Telefonnummer etc.) (Cav08).

In Deutschland hat ein typischer Internetbenutzer irgendeinen Teil seiner persönlicher Infor-mation bei vielen verschiedenen Webseiten angegeben. Wenn man Cookies und IP-Adressen alspersönliche Informationen dazurechnet, dann hinterlassen die Internetbenutzer persönliche Da-ten und zwar überall wo sie waren. Sie hinterlassen „digitale Brotkrümel“ im Cyberspace undsie haben keine Ahnung, wie diese Daten verwendet werden könnten und ob diese geschütztsind.

Die Grenzen von Unternehmen verschwimmen und es entstehen virtuelle Firmen. Außer-dem werden liegt der Fokus von vielen neuen Applikationen auf der Beteiligung und der Gene-rierung von Inhalten von Benutzern. Auch dadurch hinterlässt ein Benutzer indirekt eine Iden-tität.

Die Gemeinsamkeit solcher Szenarions besteht darin, dass Cloud-Anbieter mit Nutzern um-gehen müssen, die nicht körperlich identifiert sind, jedoch durch ihre Reputation und anderenAttributen, die durch Dritte attestiert werden, repräsentiert sind.

Die sich entwickelnde Infrastruktur für die Identitätenverwaltung muss solche gemeinschaft-lichen Umgebungen unterstützen. Dadurch werden dezentralisierte und verbündete Vertrauens-modelle möglich, die auf einer begrenzten Anzahl an Identitätsinformationen basieren.

3.2.2 Identitätsdiebstahl und -missbrauch

Identitätsdiebstahl und -missbrauch sind die Krankheiten des Informationszeitalters, zusammenmit neuen Formen von Diskriminierung und Sozialtechniken, die durch den Datenüberfluss er-möglicht werden. Persönliche Informationen, seien sie biographisch, biologisch, genealogisch,historisch, transaktional oder ortspezifisch machen unsere moderne Identität aus. Mit ihr mussverantwortungsbewusst umgegangen werden. Wenn dies nicht geschieht, ist die Zuversicht inunsere sich entwickelnde Informationsgesellschaft beschädigt.

Digitales Identitätenmanagement soll solche Probleme wie das Anlegen von solcher Fake-Accounts weitestgehend verhindern. Allerdings kommt es ja auch in der realen Welt durchausvor, dass sich Personen durch gefälschte Ausweise illegalen Zugang verschaffen. Durch Pseud-onymisierung und Anonymität im Internet ist bedeutend schwieriger, herauszufinden, ob einePerson über die entsprechende Zugangsberechtigung verfügt.

Identitätsdiebstahl geht noch einen Schritt weiter als das bloße Anlegen von Fake-Accountsoder gefälschten Ausweisen. Hier werden keine erfundenen Pseudonyme, sondern Namen realexistierender Personen verwendet, die von der Verwendung durch Daten meist keine Kenntnishaben. Insbesondere durch soziale Netzwerke, wie zum Beispiel Facebook oder StudiVZ istdas Anmelden unter dem Namen von Kollegen oder Kommilitonen zu einer problematischenAngelegenheit für die betroffenen Personen geworden. Da meist auch Fotos der Opfer verfügbarsind, können realistische Profile erstellt werden, mit Hilfe derer nun Falschinformationen anDritte weitergetragen werden können oder aber Informationen von Dritten in gutem Glaubenerfragt werden können. Es mag sein, dass sich unsere grundlegenden Ideen über Identität undPrivatsphäre ändern und unsere gemeinschaftlich verfolgten Strategien, und die eingesetztenTechnologien, im Zuge der zunehmenden Vernetzung der Welt anpassen müssen.

Grundlegend wird die Cloud flexiblere, benutzerfreundlichere der Benutzerauthentifizie-rung unterstützen müssen. Ohne besseres Management digitaler Identitäten werden wir nicht

23

nur mit existierenden Problemen wie Identitätsdiebstahl, Spam, Malware, Betrug zu kämpfenhaben, wir werden nicht einmal in der Lage sein, einzelnen Benutzern die Migration von ihremDesktop ins Web sicher zu gewährleisten.

3.2.3 Anforderungen an zukünftige Systeme

Es wird ein flexibles und benutzerorientiertes Identitätsmanagement benötigt. Flexibel deshalb,weil es mehrere Identitätsmechanismen und -protokolle unterstützen muss, die zur Zeit existier-ten und sich weiterentwickeln. Hinzu kommen die verschiedenen benutzten Arten von Plattfor-men, Applikationen und Service-orientierte architekturelle Entwurfsmuster zu Tage. Benutzer-orientiert deshalb, weil die Benutzer das Zentrum des Identitätenmanagement darstellen. DieBenutzer müssen ermächtigt werden, effektive Kontrollmechanismen auf ihre persönlichen In-formation anzuwenden.

Die Hauptanforderung für solche Identitätenmanagementsysteme sind folgende (Cav08):

• Geräteunabhängigkeit

• Eine einmalige Anmeldung für tausende von verschiedenen Onlinediensten

• Unterstützung von Pseudonymen und mehreren gültigen Identitäten zum Schutz der Pri-vatsphäre

• Sind untereinander kompatibel und basieren auf offenen Standards und stehen unter OpenSource-Softwarelizenzen

• Sind transparent und erweiterbar.

In Zukunft werden die Benutzer ihre persönlichen Informationen nicht jedes mal von neuemeintragen müssen, wenn sie eine Website besuchen. Stattdessen benutzen Sie einen Identitäts-dienst/service (oder mehrere verschiedene) und haben so mehr Kontrolle darüber, wer über ihrePersönlichen Daten verfügt und wie diese benutzt werden. Dies minimiert das Risiko von Iden-titätsdiebstahl und -missbrauch.

Die Benutzeridentität wird auf verschiedene Cloud-Dienste übertragbar sein. Wenn sie sicheinen guten Ruf erarbeiten, beispielsweise bei einem Onlineauktionshaus, werden sie in derLage sein, dies auch auf anderen Seiten nutzen zu können. Ein Ergebnis davon wäre die größereAuswahl an Onlinediensten, weil die Nutzer nicht mehr an einen Dienst oder Händler gebundensind. Wie das Problem zu lösen ist, das reale Personen ihre Account untereinander austauschenkönnen ist noch ungeklärt.

Ein vollflexibles Identitätenmanagement wäre nicht nur auf Laptops und Desktopcompu-ter beschränkt, es würde auch auf Handys, PDAs, Spielekonsolen oder eingebetteten Systemenfunktionieren. Dieser Ansatz einer digitalen Identität würde das volle Potential der Cloud frei-setzen. Es würde es den Benutzer erlauben, eine große Bandbreite an Onlinediensten gleichzei-tig zu benutzen und zu kombinieren.

Solche Szenarios benötigen eine Reihe von Technologien:

• Open Source und proprietäre Software zur Identitätenverwaltung, die auf offenen Stan-dards basiert, die leicht in alle verfügbaren Online-Dienste und Geräte einbezogen wer-den können (ähnlich wie die OpenSource-Software, die heute den Kern des Internetsdarstellt).

24

• Verbündete Identität: Wenn ein Benutzer bei einem Dienst oder einer Institution seineIdentität einmal hinterlassen hat, kann diese Bescheinigungen auch problemlos woanderseinsetzen. Dadurch wird auch keine separate Anmeldung für jeden Online-Dienst mehrerforderlich.

• Mehrfache oder unvollständige Identitäten sollten möglich sein, damit Benutzer auf Online-Services zugreifen, virtuelle Welten erkunden und mit anderen zusammenarbeiten könnenohne ihren wahren Namen oder wahre Identität jedem preisgeben zu müssen. Verschiede-ne Pseudonyme sollen unterschiedliche Stufen von Identifikation und Authentifizierungs-stärken unterstützen.

• Datenzentrierte Bestimmungen, die erzeugt werden, sobald ein Benutzer persönliche In-formationen oder sensible Daten zu Verfügung stellt, und mit dieser Informationen ver-bunden ist, solange diese existiert. So wird sichergestellt, dass die Informationen mit dengegebenen Bestimmungen im Einklang stehen.

• Prüfwerkzeuge, die einfach ermitteln können, wie die Daten gespeichert, geschützt undbenutzt werden und bestimmen können, ob die Bestimmungen eingehalten wurden.

Es besteht allerdings das Problem, wenn diese Identitätsdaten in die Hände von Dritten ge-langen, dass diese dadurch unter falschem Namen illegalen Zugriff auf jeden beliebigen Cloud-Dienst haben. Um das Problem zu minimieren ist mein Lösungansatz, die Identifikationsdatenso zu verschlüsseln, in so kleine Teile wie möglich zu splitten und auf so vielen Servern wiemöglich zu verteilen, so dass dadurch die Gefahr einer Identifikation minimiert wird. Um Iden-titätendiebstahl zu begehen, muss man im Besitz aller Teile der Identitätsdaten sein, denn dasGanze ist hier mehr als die Summe seiner Teile.

Bildlich gesprochen wäre dies in etwa so, als wären die Daten in Papierform durch einenReißwolf in kleine Schnipsel zerteilt und an verschiedenen Orten hinterlassen worden. Bei je-dem Zugriff muss jeder Schnipsel gefunden und auch wieder zu einem Blatt Papier zusammen-gesetzt werden, was in der virtuellen naturlich ressourcensparender abläuft als in der Realität.Trotzdem werden für die Verschlüsselung und das Splitten der Dateien natürlich mehr Rechen-kapazitäten benötigt.

3.2.4 OpenID

In den letzten Jahren ist das Internet einen riesiger vernetzter und interaktiver Platz für Millio-nen von Leuten geworden, die dort ihre Zeit verbringen. Diese ungeheure Zahl an möglichenOnlineaktivitäten benötigt ein Identitätenverwaltung. Mit der erhöhten Nutzung des Internetum Geschäfte abzuwickeln und dem Aufkommen von neuen Online-Interaktionen wie sozialeNetzwerke oder User-generated Content, sind für die Aufrechterhaltung es offenen Webs in-novative Technolgien gefragt, die solche digitalen Fingerabdrücken realisieren. Online-Nutzermüssen ihre vielen Nutzerkonten und Passwörter sicher verwalten, zugleich jedoch ohne dieGefahr überwacht oder ausgespäht zu werden. Als Beispiel für ein offenes Identitätsverwal-tungssystem werde ich OpenID näher beschreiben. OpenID ist ein offener Standard und dezen-tral angelegtes System, das die einmalige Authentifizierung von Benutzern für eine Vielzahlvon Web-Diensten ermöglicht. Zur Anmeldung wird eine OpenID benötigt, die meist in Formeiner URL verliegt. Dadurch muss sich der Benutzer nur einmal Anmelden, um den Genusseiner Vielzahl von OpenID-unterstützenden Web-Services zu kommen.

25

Um dies zu ermöglichen, wurde OpenID von einer Open Community entwickelt. Es ist einefreie benutzerorientierte Technologie zur Umsetzung digitaler Identitäten. Dadurch wird dieVerwaltung dutzender oder sogar hunderter Nutzerkonten, Nutzernamen und Passwörtern diemit mehreren Internetseiten geteilt werden müssen, wenn sie sich anmelden und registrieren(Dew09).

OpenID erlaubt es, bereits bestehende digitale Identifikatoren, wie z.B. ihr der URL ih-res persönlichen Blogs, in einen OpenID-Account umzuwandeln, der dann für das Anmeldenauf allen unterstützenden Webseiten genutzt werden kann. Heute unterstützen bereits mehr als10.000 Websites einen solchen OpenID Logins und eine geschätzte Zahl von 350 MillionenOpenID-fähige URLs existieren zur Zeit.

Für Online-Geschäftsverkehr kann solch ein Systeme geringere Kosten für Passwort- undAccount-Management bedeuten. Und es hilft durch das Begrenzen der Menge an persönlichenInformationen (die sie speichern und schützen müssen), die allgegenwärtigen Risiken von Si-cherheitslücken zu reduzieren und gleichzeitig erhöht es den Datenverkehr auf den Webseiten,da keine Registrierung für mehr nötig wird, um die Services einer Website nutzen zu können.

Was an OpenID fehlt, ist die eine vom Benutzer kontrollierte Preisgabe seiner Informatio-nen. Nicht jeder Dienst benötigt alle Informationen des Benutzers, um zu funktionieren. Der Be-nutzer muss für jeden Dienst nur die nötigsten Informationen hinterlassen müssen. Dies ist vorallem beim Online-Dating und bei elektronischen Gesundheitsangelegenheiten von entschei-dender Bedeutung.

Ein Online-Dating-Service vergleicht Leute anhand ihrer persönlichen Daten und Interessendurch Algorithmen und Heuristiken miteinander und sucht so die für eine Person passendstenPartner. Solch ein Algorithmus benötigt möglichst viele Persönliche Daten um zu funktionierenund deswegen setzen die Benutzer große Vertraulichkeit der angegebenen Information an dasDating-Website, so dass ihre Informationen mit Respekt und nur für die vorgegebenen Zweckeverwendet werden. Selbst wenn der Benutzer dem Empfangen von Werbemails von Drittanbie-ten zustimmt, dann möchten sie trotzdem, dass bestimmte Informationen von ihnen nicht andie Drittanbieter weitergegeben werden. Zum Beispiel, jemand der übergewichtig ist, würde essicher nicht wollen, dass er Werbemails für Kleidung in Übergröße bekommt.

Um die Privatsphäre zu schützen, erlauben es die meisten Dating-Services ihren Kunden,Pseudonyme anstatt ihrer bürgerlichen Namen zu benutzen. So eine Dating-Seite hat muss auchnicht die richtigen Namen ihrer Kunden kennen, es sei denn das Angebot ist kostenpflichtig.

Heutzutage können die Kunden von Flirtseiten fast zu jedem Persönlichkeitsmerkmal An-gaben machen und nichts hält „Teufel“ davon ab, sich als „Engel“ auszugeben. Mit solch einerkontrollierten Preisgabe von Informationen wäre der Dating-Service in der Lage von Drittan-bietern bereitsgestellte und überprüfte Merkmale zu akzeptieren, ohne das die Kunden demRisiko unterliegen, unfreiwillig ihre wahren Namen preisgeben zu müssen. Zum Beispiel kannein bescheinigtes Geburtsdatum eine höhere Übereinstimmung im Ranking-Algorithmus gebenals ein ungeprüftes.

Ein Zertifikat, dass ein Kunde nicht in einer bestimmten Blacklist ist, wäre für bestimmteDating-Seiten zwingend. Solch ein Ansatz würde die Gefahr einer falschen Persönlichkeitsdar-stellung reduzieren und das gegenseitige Vertrauen erhöhen, ohne dass sich dies negativ auf diePrivatsphäre auswirkt.

Ein anderes Beispiel für solche sensiblen personenbezogenen Daten sind medizinische Dienst-leistungen und Medikamente. Heute sind die Informationen über verschiedene Standorte wieder Hausarztpraxis, Apotheken, Versicherungsunternehmen und unserem Arbeitgeber verteilt.

26

Einer der größten Hürden, die die breiten Akzeptanz von elektronischen Gesundheitsdatenbehindern, ist die Tatsache, dass solche Daten leicht gestohlen oder missbraucht werden könntenund so Menschenleben in Gefahr geraten könnte. Es gibt bereits zu viele Negativbeispiele,in denen sensible medizinische Daten für unsachgemäße oder unbefugte Zwecke missbrauchtwurden.

Hier muss es absichert sein, dass der bürgerliche Name (und andere identifizierende Infor-mation) geschützte sind und getrennt von den eigentlichen medizinischen Daten, Versicherungs-bescheinigungen und Rezepten gehalten wird. Es würde es einem Patient auch ermöglichen, einOnline-Portal mit einem gebündelten Identitätensystem zu benutzen, dass einen schnellen undsicheren Zugriff böte auf alle Informationen, die beim Arzt, der Apotheke oder bei der Versi-cherung liegen können.

Das vielleicht wichtigste ist, das diese Daten überprüft werden können und bestimmt werdenkann wo persönliche Daten gespeichert, wie sich geschützt sind und wer Zugriff auf sie hat.

3.2.5 Infrastruktur für benutzerorientiertes Identitätsmanagement

Das Ziel einer flexiblen, nutzerorientieren Identitätsmanagementinfrastruktur muss es dem Nut-zer gestatten, zu bestimmen, welche Informationen er welchen Personen und unter welcherBedingung preisgeben will. Dabei muss auch gewährleistet sein, wie vertrauenswürdig diesePersonen sind, wie sie die Information verwendet werden und welche Konsequenzen die Ver-wendung dieser Information besitzt.

Solche Systeme sollen es dem Benutzer also erlauben, eine kontrollierte Informationspreis-gabe zu ermöglichen. In der Standardeinstellung sollten sie wenig Informationen wie möglichpreisgegeben werden, dass heißt nur die für den Zweck notwendigen. Zusätzliche Informatio-nen sollten nur nach Bestätigung sichtbar gemacht werden können.

Die Unternehmen müssen sich klarmachen, dass Identitätenmanagement nicht nur einenGeschäftsprozess darstellt, sondern auch eine Aktivität der Benutzer. Die Benutzer müssen dieentsprechenden Werkzeuge erhalten, ihre persönlichen Informationen auf allen Endgeräten ver-walten zu können. Das bedeutet, dass eine Infrastruktur für das Identitätenmanagement für vieleArten von Endgeräten, das heißt sowohl auf dem Desktop-PC als auch auf dem Handy, funktio-nieren muss. Die Infrastruktur muss es auch auf allen Endgeräten über eine einheitliche Bedie-nung verfügen.

Das bedeutet auch, dass das System auch auf einem klarstrukturierten und offenen Frame-work von klardefinieren Regeln basieren muss. Dies beinhaltet Bestimmungen, die dem Benut-zer darlegen, welche Informationen angefordert wird und aus welchem Grund dies geschieht(ähnliche wie eine maschinenlesbare und verbesserte Version der heutigen Datenschutzbestim-mungen). Es muss auch eine Art angeheftetes Zertifikat beinhalten, die immer mit der Informa-tion verbunden ist und so absichert, dass diese nur in Übereinstimmung mit der Bestimmunggenutzt wird. Der letzte Schritt macht Mechanismen zur Realisierung und Durchsetzung sol-cher „sticky“-Bestimmungen notwendig, in der Hinsicht, was überhaupt überprüft und revidiertwerden kann.

Es existieren bereits eine gewisse Anzahl an Identitätsverwaltungssystemen auf einer sehrverschiedenen Plattformen. Möglichst viele Plattformen müssen schon aus Gründen der Auf-rechterhaltung der Infrastruktur realisiert werden. Die Infrastruktur muss eine plattformüber-greifend Aktionen unterstützen. Dies ist nur möglich, wenn die Infrastruktur selbst als auch dieindividuellen Systeme auf offenen Standards, die für alle Plattformen verfügbar sind, basieren.

27

Für eine erfolgreiche nutzerorientierte Identitätsverwaltungsinfrastruktur ist es eine Kern-frage, dass die Entwicklung durch eine große und offene Community vorangetrieben wird, diesich über den gesamten Erdball erstreckt. Außerdem sollte eine solche Infrastruktur vollständigmit offenem Quelltext implementiert sein und keine patentierten Techniken verwenden.

Durch personenbezogene Daten lassen sich auch immer Rückschlüsse auf die Identität desNutzers ziehen. Solche Informationen werden durch besondere Bestimmungen in vielen Teilender Welt reguliert werden. Weiterhin kann ein unsachgemäßer Gebrauch personenbezogenerDaten zu Identitätsdiebstahl und anderen Sicherheitsverstößen führen. Daher gebührt den per-sönlichen Informationen ein besonderer Schutz. Dies beinhaltet auch die Unterstützung solcherangehefteten Zertifikate, Datenverschlüsselungen und die Minimierung der Menge an von ver-schiedenen Anwendungen genutzten persönlichen Informationen. Systeme für die Identitäten-verwaltung sollten auch eine große Anzahl von Sicherheits- und Datenschutzeigenschaften un-terstützen, die von Systemen mit Passwort-basierter Anmeldung und niedrige Sicherheit bis zuState-of-the-art Systemen mit attributbasierten Sicherheitszertifikaten (z.B. die Identity-Mixer-Technologie von IBM oder Microsofts U-Prove-Technologie) reichen.

Am Ende müssen die entsprechenden Applikationen in der Lage sein, die Infrastruktur auchzu verwenden. Das setzt voraus, dass die Anwendung eine Schnittstelle plattform- und geräte-übergreifend zu dieser Infrastruktur besitzen. Solche Schnittstellen sollten von benutzten Pro-tokollen und Mechanismen unabhängig sein, die für die Übermittlung der persönlichen Infor-mationen dienen. Deshalb wäre aus meiner Sicht eine vereinheitliche Architektur sinnvoll, diesich aus mehreren verschiedenen Teile zusammensetzt und diese vereinheitlicht.

Durch das Unterstützen einer Fülle von Identitätssystemen würde es eine solche Architek-tur eine Migration von Applikation von den veralteten Systemen zu den sich etablierendenund moderneren nutzerzentrierten erlauben. Um eine solche Migration und das Entwickeln vonApplikationen von Grund auf zu ermöglichen, müssen entsprechende Werkzeuge und Beispie-lapplikationen bereitgestellt werden.

28

4 Diskussion und AusblickIn meiner Arbeit habe ich versucht, die wesentlichen Aspekte von Sicherheit und Datenschutzbeim Cloud Computing zu beleuchten. Bei meiner Untersuchung fiel mir dabei vor allem dasFehlen von verbindlichen Sicherheitsrichtlinien sowie das Fehlen eines einheitlichen Daten-schutzniveaus auf, wodurch das Cloud Computing sicherheitstechnisch unberechenbar wird.Daher sollten mittelfristig durch den Gesetzgeber solche verbindlichen Sicherheits-und Daten-schutzrichtlinien gesetzlich verpflichtend sein, damit ein Cloud-Anbieter seine Dienste auchlegal und ohne Nachteil für den Kunden zur Verfügung stellen kann. Ein großes Problem da-bei ist, dass die Cloud-Anbieter länderübergreifend agieren und somit auch länderübergreifendeGesetze wünschenswert sind (Klu10).

Denn Clouds werden auf dem globalen Markt angeboten und werden auch von deutschenUnternehmen sowie auch von Privatnutzenden für die Verarbeitung personenbezogener Datenverwendet. Diese Form der Datenverarbeitung erfolgt weitestgehend im Verborgenen für dieBetroffenen, die Aufsichtsbehörden und die Öffentlichkeit. Dass über konkrete Anwendungennichts bekannt wird, ist kein Hinweis darauf, dass keine Datenschutzverstöße und Persönlich-keitsverletzungen stattfänden. Keiner der direkt Beteiligten – Nutzende, Cloud-Anbieter sowieRessourcenanbieter – dürfte ein Interesse daran haben, dass eventuelle Verstöße publik werden.Angesichts der öffentlich zugänglichen Informationen und der Rechtslage muss davon ausge-gangen werden, dass heute leider bei sehr vielen Cloud-Anwendungen strukturell Datenschutz-rechtsverstöße angelegt sind und auch massenhaft erfolgen.

Beim Cloud-Anbieter und im Cloud-Verbund bedarf es eines dokumentierten Datenschutz-managements, zu dem ein IT-Sicherheitsmanagement und ein Vorfallmanagement gehört. Hier-zu bestehen aber nur sehr lose definierte gesetzliche Regelungen.

Auch ist mir aufgefallen, dass die Infrastruktur in den Cloud-Rechenzentren oftmals nichtvollständig auf Sicherheit ausgelegt sind. So ergeben sich aus einer nicht ausreichenden Tren-nung der in der Cloud gespeicherten Daten eine Vielzahl von Risiken. Der Cloud-Auftrag musszur Absicherung der Abschottung der einzelnen Auftragsverhältnisse voneinander die Metho-den zur Trennung der Daten unterschiedlicher Auftraggeber präzise benennen. Erfolgt diesdurch Verschlüsselung, so muss geprüft werden, ob die genutzten Systeme eine hinreichen-de Sicherheit bieten und nicht durch andere Nutzende oder durch die Anbieter selbst einfachkompromittiert werden können.

Die technischen und organisatorischen Maßnahmen der Datensicherung nach § 9 BDSGmüssen dem Nutzer offengelegt werden und sind gemäß § 11 Abs. 2 S. 2 Nr. 3 BDSG ausdrück-lich im Vertrag zu benennen. Es kann also nicht das Prinzip „Sicherheit durch Verschleierung „gelten, so wie dies heute weitgehend praktiziert wird.

Symptomatisch hierfür ist die Darstellung des Google-Managers Kai Gutzeit, Chef fürCloud-Dienste in Mittel- und Nordeuropa, zur von seinem Unternehmen erbrachten Datensi-cherheit. Diese sei zunächst eine Frage des Vertrauens, das heutzutage ja auch der Kreditkarteund den Banken entgegengebracht würde. Sollte aber jemand tatsächlich in die streng geheimenGoogle-Rechenzentren eindringen, so fände der Einbrecher „gar nichts“ Verwertbares, nämlichnur „bedeutungslose Bits und Bytes“, da Google eigene Dateisysteme verwende.

Vielmehr sollte „Sicherheit durch Transparenz“ gefordert werden. Die Maßnahmen müs-sen dem Stand der Technik entsprechen. Zwingend ist, dass die Zugriffsmöglichkeiten auf dieverarbeiteten Daten, abgesehen von administrativen Rechten, technisch beschränkt werden aufdie vom Nutzer genannten Berechtigten. Hierzu sind ein differenzierter Zugriffsmechanismus,

29

Verschlüsselungsmöglichkeiten und möglicherweise auch Pseudonymisierungswerkzeuge ge-eignet.

Zwar ist den Anbietern die Notwendigkeit von Vertraulichkeit und Integrität bewusst, abernur aus Gründen der Marktpositionierung, nicht aus Gründen des Grundrechtsschutzes oder we-gen der Notwendigkeit der Beachtung des Datenschutzrechtes. Cloud Computing ist ein wei-teres Beispiel dafür, dass im Markt zunächst das praktisch gemacht wird, was technisch undökonomisch möglich ist und lukrativ ist. Erst durch öffentliche Skandalisierung und durch staat-liche und länderübergreifende Kontrollen ist eine zunehmende Orientierung an den rechtlichenVorgaben zu erwarten.

Hier fordern auch viele aktuelle juristische Veröffentlichungen, dass die Rechtsprechung zuGunsten des Datenschutzes an die aktuellen technischen Möglichkeiten angepasst wird.

Auf internationaler Ebene hat sich die US-dominierte Cloud Security Alliance (CSA) her-ausgebildet, deren Ziel es ist, Richtlinien für ein sicheres Cloud Computing zu erarbeiten. Diewichtigsten Sicherheitsrisiken, die die CSA benennt, habe ich aufgelistet und beschrieben. MitEuroCloud Deutschland gibt es seit Kurzem einen Verband der deutschen Cloud Computing-Industrie, der in das europäischen EuroCloud-Netzwerk eingebunden ist. EuroCloud Deutsch-land hat sich zur Aufgabe gemacht, dem Benutzer mehr Transparenz zu verschaffen, Rechtsfra-gen zu klären, ein Gütesiegel einzuführen und den Dialog zwischen Anbietern und Nutzern zufördern.

Denn ohne die Gewährleistung des nötigen Datenschutzniveaus ist ein professioneller Ein-satz dieser Systeme nicht verantwortbar. Fasst man Datenschutz als digitalen Grundrechts-und Menschenrechtsschutz auf, so ist dieser keine Diskriminierung von Cloud-Anbietern, keinMarktverzerrer und kein Technikhindernis, sondern ein Schlüssel für die flächendeckende Ver-breitung von Cloud-Computing.

Es scheint recht unwahrscheinlich, dass die genannten Risiken eine Etablierung von CloudComputing verhindern, da es eine Win-Win-Situation ermöglicht: Sie ist für Anwender bequemund für Anbieter gewinnbringend. Statt diese neue Technologie zu boykottieren, ist das Schaf-fen von gesetzlichen Rahmenbedingungen und das Aufsetzen von strengen Richtlinien für dieAnbieter weitaus sinnvoller.

Durch internationale Regelungen wäre es zweifellos möglich, für das Cloud-Computing dieOrtsabhängigkeit von Datenverarbeitung bei dieser Art der Verarbeitung aufzuheben und aus-schließlich das Regime des Cloud-Nutzers oder des direkten Vertragspartners des Nutzers alsCloud-Anbieter für anwendbar zu erklären. In diese Richtung sind aber Bestrebungen bishernicht ersichtlich. Angesichts der uneinheitlichen und teilweise fehlenden und unzureichendennationalen Rechtsregeln für Datenverarbeitung allgemein und für den Datenschutz speziell sindinternationale Normen derzeit noch nicht realistisch. Daher gibt es keine Alternative zur Durch-setzung eines klaren rechtlichen Schutzregimes, das bei der verantwortlichen Stelle, also demCloud-Nutzer, ansetzt.

Dafür ist zunächst nötig, eine objektive Bestandsaufnahme vorzunehmen. Markttranspa-renz und Transparenz der auf dem Markt befindlichen Cloud-Datenverarbeitungsprozesse kannschon selbst zu einer gewissen Marktbereinigung führen und ist unabdingbare Voraussetzungfür eine öffentliche Diskussion aller Betroffenen.

Forschung, Wirtschaft und Aufsichtsbehörden sind aufgefordert, mit den zuständigen Or-ganisationen Schutzstandards zu erarbeiten sowie Auditierungsverfahren zu entwickeln und zuetablieren. Als Vorstufe für eine internationale Regulierung können noch zu erarbeitende spezi-fische Standardvertragsklauseln bzw. verbindliche Unternehmensregeln (BCR, s.o. 11) dienen.

30

Das derzeit noch bestehende Grundprinzip der „freien CloudW“ genügt nicht den Anforde-rungen eines modernen Datenschutzes und kann nur als Spiel- oder Versuchsapplikation ver-standen werden, aus der sich „vertrauenswürdige Clouds“ entwickeln, bei denen Datenschutz-und Datensicherheitsgarantien integriert sind. Diese vertrauenswürdigen Clouds müssen imMarkt verfügbar gemacht werden – oder der Grundsatz des Cloud Computing kann zumindestfür jede Art von schützenswerten Daten keinen Bestand haben.

Es wird nicht möglich sein, dass volle Potential der nächsten Generation von Internet undCloud Computing auszuschöpfen ohne zuvor die offene Fragen in Bezug auf digitale Identitätenund Datenschutz zu klären. Glücklicherweise entsteht Fortschritt durch das Entwickeln und zurVerfügung stellen der richtigen Technologien.

Auch die Identität des Nutzer sich im Zuge der Etablierung von Cloud-Computing entwi-ckeln wird, bleibt abzuwarten. Beim Schutz der Nutzeridentität sollte immer das höchstmögli-che Sicherheitsniveau gewährleistet sein (KKRS10). Ein möglicher Ansatz, wäre das Aufteilender Benutzeridentität in viele kleine verschlüsselte Teile auf möglichst viele Maschinen. Nurwenn man im Besitz aller Teile ist, kann man die Benutzeridentität herausfinden, was aberso gut wie unmöglich sein sollte. Dies erfordert allerdings einen hohen Rechen- und Verwal-tungsaufwand für die Daten, wodurch das Cloud-Geschäft für die Betreiber natürlich wenigerlukrativ ist. Aber wir dürfen wirtschaftliche Interessen nicht über die der Sicherheit und des Da-tenschutz stellen, denn sonst wird Cloud Computing zum echten Risiko und das 1984-Szenariowäre wieder ein Stück näher gerückt.

Derzeit haben Anbieter von Cloud-Computing-Diensten noch freie Hand – in zehn Jahrenallerdings wird sich die Cloud-Landschaft vollständig gewandelt haben. Dann werden die Pro-vider zur Einhaltung von Standards verpflichtet sein, wenn sie weiterhin ihre Dienste anbietenmöchten. Auch das Schaffen von eindeutigen gesetzlichen Regelungen gehört dazu.

Wir können die Vorzüge von Cloud Computing nur genießen, wenn wir uns um die Datenschutz-und Sicherheitsprobleme kümmern, die durch die Speicherung und Austausch personenbezo-gener Daten entstehen.

31

Literatur[AKa09] ARCHER, Jerry ; KURTZ, Paul ; AL., Nils P.: Security Guidance for Critical Areas

of Focus in Cloud Computing V2.1. (2009)

[Cav08] CAVOUKIAN, Ann: Privacy in the clouds. (2008). – www.ipc.on.ca

[Dew09] DEWANTO, Lofi: Identity Management: Authentifizierungsdienste mit OpenID. In:Heise Developer (2009)

[Ger10] GERNERT, Johannes: Wächter der Wolke. In: Die Zeit (2010), 7

[Hin10] HINCHCLIFFE, Dion: The cloud computing battleground takes shape. Will it bewinner-take-all? (2010). – http://www.enterpriseirregulars.com/4571/the-cloud-computing-battleground-takes-shape-will-it-be-winner-take-all/

[Kal09] KALKUHL, Magnus: Freier Blick für die Zukunft: Cloud-Computing und Cloud-Sicherheit. (2009). – http://www.viruslist.com/de/analysis?pubid=200883647

[KKRS10] KLUMPP, Dieter (Hrsg.) ; KUBICEK, Herbert (Hrsg.) ; ROSSNAGEL, Alexander(Hrsg.) ; SCHULZ, Wolfgang (Hrsg.) ; Alcatel-Lucent Stiftung für Kommunikati-onsforschung (Veranst.): Netzwelt - Wege, Werte, Wandel. Springer, 2010

[Klu10] KLUMPP, Dieter ; ALCATEL-LUCENT STIFTUNG FÜR KOMMUNIKATIONSFOR-SCHUNG (Hrsg.): Leitbildkonvergenz in der Netzwelt? Informationsgesellschaft vorder vierten Diskursdekade. 2010

[MG09] MELL, Peter ; GRANCE, Tim: The NIST Definition of Cloud Computing. (2009)

[Ris] Cloud Computing - Die 7 größten Sicherheitsgefahren.

[Rob10] ROBISON, William J.: Free at What Cost?: Cloud Computing Privacy Under theStored Communications Act. (2010)

[Rup10] RUPPEL, Angelika: Angriffsarten und Angreifertypen in Cloud-Computing-Systemen. (2010)

[Sch08] SCHULZ, Dr. C.: Rechtliche Aspekte des Cloud Computing im Überblick. (2008)

[Sch10] SCHAEFER, Dan: Cloud Computing: A Blast From the Past? (2010). –http://www.ureadit.com/dansblog/91-cloud-computing-a-blast-from-the-past.html

[Seb10] SEBAYANG, Andreas: Security Nightmares X. (2010)

[Sti10] STILES, Leo: Is the future of gaming in the clouds? (2010). –http://www.joe.ie/tech/future-tech/is-the-future-of-gaming-in-the-clouds-004520-1

[WABB] WEINHARDT, Christof ; ANANDASIVAM, Arun ; BLAU, Benjamin ; BORISSOV,Nikolay: Cloud Computing - Eine Abgrenzung, Geschäftsmodelle und Forschungs-gebiete.

[Wei09] WEICHERT, Thilo: Cloud Computing und Datenschutz. (2009)

32