Sicherheit
Datenschutz und Informationssicherheit in PAGENTUS
Implementierung von Datenschutz und Informationssicherheit in der PAGENTUS-Plattform innerhalb der Cloud von AWS in Frankfurt, Deutschland
In PAGENTUS kommen alle Informationen eines Unternehmens / einer Organisation zusammen. Die Plattform bietet viele Funktionen zum Finden, Kommunizieren und Verwalten von Informationen verschiedenster Formate. PAGENTUS ist via Webbrowser von überall nutzbar. Dabei bestehen große Schutzansprüche sowohl persönlicher als auch geschäftlicher Informationen.
Für den Betrieb von PAGENTUS stellen wir hohe Anforderungen an unsere Public Cloud-Partner. Insbesondere müssen die folgenden vier Anforderungen ohne Einschränkung erfüllt werden:
- Datenhaltung in Deutschland
- Einhaltung des Bundesdatenschutzgesetzes
(BDSG) und der europäische Datenschutzgrundverordnung (EU-DSGVO) - Technisch sicherer Betrieb im Sinne der Daten- und Informationssicherheit
- Prüfung und Einhaltung dieser Anforderungen
Kurzfassung
AWS (Amazon Web Services) betreibt diverse Rechenzentren in Frankfurt, die auf drei sogenannten Verfügbarkeitszonen (Availability Zones) aufgeteilt sind. Diese werden als Region eu-central-1 zusammengefasst und stellen eine verteilte, hoch verfügbare, resiliente und für den Kunden homogene Infrastruktur zur Verfügung. Die Rechenzentren obliegen damit deutschem und europäischem Recht. Dies gilt insbesondere auch für die europäische Datenschutzgrundverordnung (EU-DSGVO) und das deutsche Bundesdatenschutzgesetz (BDSG). Die von PAGENTUS gespeicherten Daten werden nur dort gespeichert und verlassen Deutschland nur dann, wenn sie von PAGENTUS-Kunden aktiv ins Ausland übertragen werden. Dies ist durch datenschutzgesetzkonforme Verträge und technische Maßnahmen gewährleistet. Die Einhaltung der technischen Maßnahmen wird unter anderem durch ein Testat gemäß dem Anforderungskatalog Cloud Computing (Cloud Computing Compliance Controls Catalogue, C5) des Bundesamts für Sicherheit in der Informationstechnik (BSI) sichergestellt.
Wie PAGENTUS setzen auch viele weitere deutsche Unternehmen auf die Public Cloud von AWS. Zu diesen Unternehmen zählen zum Beispiel die Deutsche Bahn [1], [2] sowie Audi, die Technische Universität München und auch Zalando [3]
1. PAGENTUS bei AWS
AWS betreibt Rechenzentren auf der ganzen Welt, die zu sogenannten Regionen zusammengefasst werden. Die Region eu-central-1 besteht aus drei Verfügbarkeitszonen mit mehreren Rechenzentren an nicht öffentlich bekannten Standorten in Frankfurt am Main. Die PAGENTUS-Plattform wird ausschließlich in dieser einen Region und damit ausschließlich in Deutschland betrieben.
AWS ist unter den Cloud Providern nicht nur Pionier, sondern aus technischer Sicht Marktführer. Es gibt keinen Cloud Provider, der die technische Vielfalt, Stabilität und Größe wie AWS bietet. Darüber hinaus ist AWS der erste Cloud Provider, der nach dem strengen C5 Anforderungskatalog4 für Cloud Betreiber und Anwendungen des BSI testiert worden ist – siehe dazu auch Abschnitt ZERTIFIZIERUNG.
Die Ablage und Verarbeitung von Daten in der PAGENTUS-Plattform genügt höchsten technischen Ansprüchen, um den Schutz und die Integrität der Benutzerdaten und Benutzerkommunikationen zu gewährleisten. Dazu werden die Daten stets auf allen Kommunikationskanälen transportverschlüsselt und bei der Ablage in Zwischenspeichern oder Langzeitspeichern verschlüsselt gespeichert. Dies gilt sowohl für die Übertragung über das öffentliche Internet zu PAGENTUS als auch für alle internen Übertragungen innerhalb der PAGENTUS -Plattform und somit innerhalb der internen Netzwerkstruktur von AWS.
Alle in der PAGENTUS-Plattform abgelegten Benutzer- oder Kommunikationsdaten werden grundsätzlich nur verschlüsselt auf Langzeitspeichern gespeichert. Die Verschlüsselung findet mit Hilfe von zwei Schlüsselelementen statt, die niemals in derselben Datenbank abgelegt sind und nur kurzfristig in der Anwendungslogik zusammenkommen. Als Langzeitspeicher wird AWS Simple Storage Service (S3) und AWS DynamoDB eingesetzt.
Die Aufteilung der Region eu-central-1 auf drei physisch getrennte und autarke Verfügbarkeitszonen ermöglicht es, einen ausfallsicheren Betrieb der PAGENTUTS-Plattform, so dass der Ausfall eines Rechenzentrums oder sogar einer ganzen Verfügbarkeitszone keine Auswirkungen auf die Verfügbarkeit der Plattform selbst hat.
Um diese Ausfallsicherheit zu ermöglichen, müssen die Daten in allen Verfügbarkeitszonen der Region eu-central-1 verteilt werden. AWS S3 sorgt hierbei selbstständig und vollautomatisch für die Replikation der verschlüsselten Daten in alle drei Verfügbarkeitszonen.
Die Metadaten bzw. deren zugrundeliegenden Datenbanken werden von PAGENTUS über die drei Verfügbarkeitszonen der AWS-Region eu-central-1 verteilt betrieben, um auch diese ausfallsicher zu halten. Die Verteilung bzw. Replikation der Datenbanken wird mit Hilfe von TLS verschlüsselten Verbindungen auf dem Transportweg gesichert.
Eine Replikation sowohl der verschlüsselten Daten als auch der Datenbanken außerhalb der Region eu- central-1 findet nicht statt.
2. Informationssicherheit
Für die rechtliche Betrachtung des Betriebs der PAGENTUS-Plattform in der deutschen AWS Region eu- central-1 sind die zwei Aspekte „Vereinbarkeit mit dem deutschen Bundesdatenschutzgesetz und der europäischen Datenschutzgrundverordnung“5, 6 sowie „Zugriffe Dritter“7 zu betrachten.
Das Bundesdatenschutzgesetz (BDSG) und die europäische Datenschutzgrundverordnung (EU-DSGVO) schreiben für die Auftragsverarbeitung einen gültigen, datenschutzkonformen Auftragsverarbeitungsvertrag (AVV) vor. Im Vertragsverhältnis zwischen AWS und der Eurobase GmbH tritt AWS als Auftragsverarbeiter (englisch Processor) in Erscheinung, während die Eurobase GmbH die verantwortliche Stelle (englisch Controller) ist. AWS erhebt oder verarbeitet in dieser Situation keine Daten über die Kunden in PAGENTUS. Dies gilt insbesondere für personenbezogene Daten.
In der Beziehung zwischen PAGENTUS-Kunde und der Eurobase GmbH ist der Kunde die verantwortliche Stelle und die Eurobase GmbH der Auftragsverarbeiter. In dieser Situation erhebt die Eurobase GmbH nur diejenigen personenbezogenen Daten, die für die Vertragserfüllung notwendig sind. Dies sind zum Beispiel Abrechnungsdaten, E-Mail-Adressen und Namen der einzelnen Benutzer. Als Verantwortliche Stelle legt jedoch der Kunde fest, welche Daten in PAGENTUS abgelegt sowie zu welchem Zweck diese verarbeitet werden.
In diesem Zusammenhang wird noch einmal darauf hingewiesen, dass die Daten der PAGENTUS-Kunden nur in Deutschland verarbeitet und gespeichert werden. Es findet keine Übertragung der Kundendaten durch die Eurobase GmbH oder AWS in andere Länder statt – vergleiche Abschnitt PAGENTUS BEI AMAZON WEB SERVICES[8].
Eurobase hat mit Amazon Web Services EMEA SARL in Luxemburg einen Vertrag zur Auftragsverarbeitung geschlossen, der alle notwendigen Punkte im Sinne des Bundesdatenschutzgesetzes und der EU-DSGVO erfüllt. Die Kunden der PAGENTUS-Kunden schließen einen individuellen Vertrag zur Auftragsverarbeitung mit der Eurobase GmbH. Auf diese Weise ist die gesamte Kette von der Datenübertragung, -verarbeitung und -speicherung konform zur EU-DSGVO sowie dem Bundesdatenschutzgesetz.
Zugriff auf die in PAGENTUS abgelegten Daten haben zunächst nur die jeweiligen Kunden bzw. Benutzer der PAGENTUS-Plattform.
Darüber hinaus können ausgewählte technische Mitarbeiter der Eurobase GmbH im Rahmen der Entwicklung und des Betriebs der Plattform in Kontakt mit personenbezogenen Daten kommen. Ein Zugriff auf Daten findet nur nach expliziter Weisung des Kunden statt9. Dies ist zum Beispiel der Fall, wenn ein Kunde eine unvollständige oder fehlerhafte Verarbeitung von Daten reklamiert und der Zugriff auf die Daten für die nähere Untersuchung explizit durch den Kunden freigegeben wird.
Zugriffe weitere Unterauftragnehmer, wie zum Beispiel AWS sind technisch ausgeschlossen.
Die Eurobase GmbH und ihre Mitarbeiter unterliegen nach deutschem Recht legalen Auskunftsanfragen deutscher Strafverfolgungsbehörden. Diese Strafverfolgungsbehörden können auch die Herausgabe von Daten anordnen, denen wir nach juristischer Prüfung nachgehen müssen. Hierbei ist zu beachten, dass diese Auskunftsanfragen stets nur in engen Grenzen gültig sind. Während zum Beispiel ein Auskunftsanspruch nach den Daten einer Person oder Firma diese Grenzen einhält, ist die pauschale Herausgabe aller in PAGENTUS gespeicherten Daten nicht mehr gesetzeskonform.
Sollte ein entsprechendes Auskunftsersuchen an die Eurobase GmbH gestellt werden, so wird dieses zunächst von unserem Justiziar unter Einbeziehung von Fachanwälten geprüft. Falls das Auskunftsersuchen legal ist, wird die Eurobase GmbH dieses gemäß der deutschen Gesetzgebung befolgen.
Strafverfolgungsbehörden könnten sich grundsätzlich auch an AWS wenden, um die Herausgabe von Daten aus der PAGENTUS-Plattformzu verlangen. AWS ist jedoch weder technisch noch organisatorisch in der Lage, die Daten aus der PAGENTUS-Plattform herauszugeben – siehe dazu Abschnitt TECHNISCHE BETRACHTUNG.
Sollte sich also eine deutsche Ermittlungsbehörde anstatt an die Eurobase GmbH an AWS wenden, um Daten oder Daten aus der PAGENTUS-Plattform einzusehen, so würde AWS diese Anfrage an die Eurobase GmbH weiterleiten, da AWS sie nicht beantworten kann. Diese Weiterleitung von Auskunftsanfragen ist explizit vertraglich in diesem Sinne zwischen AWS und der Eurobase GmbH geregelt.
Im Zusammenhang mit amerikanischen Cloud-Anbietern wird besonders die Sorge vor dem Zugriff amerikanischer Ermittlungsbehörden und Geheimdienste auf Daten deutscher Kunden genannt. Aus rechtlicher Sicht ist diese Sorge jedoch ebenfalls unbegründet.
Zunächst gelten für Auskunftsanfragen amerikanischer Ermittlungsbehörden an AWS in den USA ähnliche Hürden wie für deutsche Behörden in Deutschland. Auskunftsanfragen müssen konkret und legal sein. Amazon Web Service Inc. in den USA prüft entsprechende Anfragen auf juristische Korrektheit.
Unabhängig von der rechtlichen Betrachtung ist Amazon Web Service Inc. in den USA jedoch technisch nicht in der Lage, einen legalen Auskunftsanspruch nach Daten in der PAGENTUS-Plattform zu beantworten und würde diesen an die Eurobase GmbH weiterleiten – siehe Abschnitt AUSKUNFTSANFRAGEN DEUTSCHER STRAFVERFOLGUNGSBEHÖRDEN AN AWS. Da die deutsche Eurobase GmbH jedoch nicht an ausländische Gesetze gebunden ist, würden wir einer solchen Anfrage nicht nachgehen. Der amerikanischen Ermittlungsbehörde bliebe dadurch nur noch ein Amtshilfeersuchen an eine entsprechende deutsche Behörde übrig, der wir wie oben beschrieben nachgehen würden.
Im Folgenden werden, die am häufigsten genannten US-amerikanischen Gesetzgebungen zu Auskunftsersuchen separat betrachtet.
Der CLOUD-Act hat bestehende US-amerikanisches Strafprozessbefugnisse von US-Behörden für Cloud-Service-Provider klargestellt. Diese sind grundsätzliche vergleichbar mit den Befugnissen aus der deutschen Strafprozessordnung. Der CLOUD-Act kommt nur im Einzelfall und stets unter Richtervorbehalt bei der Bekämpfung von schweren Straftaten zum Einsatz[10].
Der CLOUD-Act setzt keine deutschen Gesetze außer Kraft, sondern erkennt dieses explizit an. Er findet nur Anwendung, falls die betroffene, natürliche oder juristische Person die US-amerikanische Staatsangehörigkeit besitzt oder in den USA angesiedelt ist[11].
Der Uniting and Strengthening America by Providing Appropriate Tools Required to Intercept and Obstruct Terrorism Act (USA-PATRIOT-Act) sowie die Nachfolgeregelung Uniting and Strengthening America by Fulfilling Rights and Ensuring Effective Discipline Over Monitoring Act (USA-FREEDOM-Act) sind Anti-Terror- Gesetzgebungen, die sich an Geheimdienste der USA richten. Sie sind vergleichbar mit den Regelungen und Ermächtigungen der deutschen Nachrichtendienste BND, MAD und teilweise auch des BKA. PATRIOT-Act und FREEDOM-Act ermöglichen es den US-amerikanischen Diensten im Rahmen von Ermittlungen auf Informationen ausländischer Geheimdienste zuzugreifen. Für jedes Auskunftsersuchen ist ein richterlicher Beschluss erforderlich, der nachweist, dass das Ersuchen den amerikanischen Gesetzen entspricht.
Der FSIA-Act regelt die Zuständigkeit US-amerikanischer Gerichte im Zusammenhang mit Klagen gegen andere Staaten bzw. deren Behörden, Ämtern etc[12].
Auskunftsanfragen können natürlich auch aus anderen Drittländern gestellt werden. Je nach nationaler Gesetzgebung gelten meist für Auskunftsanfragen ausländischer Ermittlungsbehörden an AWS ähnliche Hürden wie für deutsche und US-amerikanische Behörden. Auskunftsanfragen müssen konkret und legal sein. AWS würde eine solche Auskunftsanfrage nur nach juristischer Prüfung akzeptieren.
Auch bei diesen Anfragen gilt jedoch, dass AWS technisch nicht in der Lage ist, einen legalen Auskunftsanspruch nach Daten in der PAGENTUS-Plattform zu beantworten und würde diesen an die Eurobase GmbH weiterleiten – siehe vorherigen Abschnitt.
Eine weitere Sorge betrifft weiterführende, geheimdienstliche Zugriffe. An dieser Stelle spielt es keine Rolle, aus welchem Land diese Geheimdienste agieren. Man kann jedoch zwischen legalem und illegalem Handeln von Geheimdiensten unterscheiden.
Handelt ein Geheimdienst gemäß der ihn ermächtigenden Gesetze, so gelten die oben genannten Überlegungen. Handelt ein Geheimdienst illegal, wie es spätestens seit den Veröffentlichungen von Edward Snowden zahlreich dokumentiert worden ist, können nur technische Maßnahmen einen Zugriff verhindern oder zumindest erschweren – siehe Abschnitt TECHNISCHE BETRACHTUNG. Diese Art des illegalen Zugriffs ist auch nicht mehr an einen bestimmten Cloud Anbieter wie AWS gebunden, sondern trifft für jeden Cloud Anbieter, Co-Location-Betreiber, Hosting Provider etc. zu.
Unabhängig vom rechtlichen Anspruch auf Herausgabe von Daten sei nochmals darauf hingewiesen,, dass die PAGENTUS-Plattform darüber hinaus modernste, dem Stand der Technik entsprechende Verschlüsselungsmethoden und Sicherheitsmechanismen verwendet um die Daten ihrer Kunden bestmöglich zu schützen.
3. Sicherstellung der Informationssicherheit
Die Informationssicherheit einer Anwendung bzw. des Herstellers einer Anwendung ist für Kunden stets schwierig einzuschätzen. Aus diesem Grund gibt es verschiedene anerkannte Testate und Zertifikate, die nach strengen Regeln die Informationssicherheit prüfen. Das für Cloudprodukte derzeit wichtigste ist ein Testat nach dem Cloud Computing Compliance Controls Catalogue (C5) des Bundesamts für Sicherheit in der Informationstechnik (BSI). Die Testierung nach C5 besteht aus 114 Einzelanforderungen. Dazu gehört unter anderem ein zertifiziertes Informationssicherheits-Managementsystem (ISMS) [13], [14].
Das BSI beschreibt den C5 Katalog wie folgt: „Der Anforderungskatalog des BSI richtet sich an professionelle Cloud-Diensteanbieter, deren Prüfer sowie an Kunden der Cloud-Diensteanbieter. […] Besonderes Augenmerk legt das BSI dabei auf die Transparenz der Cloud-Diensterbringung. Zur Überprüfung der Sicherheit einer Cloud-Lösung wird neben der Umsetzung von Sicherheitsanforderungen auch die Offenlegung von Umfeldparametern wie Datenlokation, Diensterbringung und Gerichtsstandort gefordert“.15
Das BSI hat bei der Entwicklung des C5 Katalogs die folgenden Standards berücksichtigt:
- ISO/IEC 27001:2013 (ISO – International Organization for Standardization)
- CSA Cloud Controls Matrix01 (CSA – Cloud Security Alliance)
- AICPA Trust Service Principles Criteria 2014 (AICPA – American Institute of Certified Public Accountants)
- ANSSI Référentiel Secure Cloud0 (Draft) (ANSSI – Agence nationale de la sécurité des systèmes d’information)
- IDW ERS FAIT 511.201 (Entwurf einer Stellungnahme zur Rechnungslegung: „Grundsätze ordnungsmäßiger Buchführung bei Auslagerung von rechnungslegungsrelevanten Dienstleistungen einschließlich Cloud Computing“ Stand 4. November, 2014)
- BSI IT-Grundschutz Kataloge, 14. EL 2014
- BSI SaaS Sicherheitsprofile 2014
Hierzu erklärt BSI-Präsident Arne Schönbohm: „IT-Sicherheitsstandards wie der C5-Katalog des BSI sind ein wesentliches Mittel zur Gestaltung der Digitalisierung, die ohne Cyber-Sicherheit nicht erfolgreich sein wird. […] Wir freuen uns, dass mit Amazon Web Services ein international anerkannter und marktbedeutender Cloud- Anbieter das erste Testat nach dem C5-Katalog erhalten hat.“
4. Zusammenfassung
BBasierend auf den oben genannten Fakten und Daten wird deutlich, dass für die Eurobase GmbH der Schutz der Kundendaten höchste Priorität hat. Dies gilt insbesondere für die personenbezogenen Daten aller Kunden.
Sicherheitsfunktionen stellen die Gesetzeskonformität entlang der gesamten Datenverarbeitung sicher. Angefangen mit dem Prozess des Datenflusses vom Endkunden zu PAGENTUS, über die Datenübergabe an PAGENTUS, Ruheverschlüsselung von Daten, bis hin zur Datenreplikation und Datensicherung.
Im gesamten Prozess der Datenverarbeitung sind keinerlei unverschlüsselte Kundendaten für Dritte einsehbar.
Ein rechtlich bindender und wie oben ausgeführt technisch auf Datenschutz hin geprüfter Auftragsverarbeitungsvertrag (AVV) zwischen PAGENTUS und Amazon Web Services EMEA SARL liegt vor. Neben diesem hat Eurobase mit seinen Kunden ebenfalls AVV geschlossen, so dass allen notwendigen Vorgaben im Sinne der EU-DSGVO und des Bundesdatenschutzgesetzes entsprochen wird.
Auf der Grundlage dieser Zusammenarbeit erhält der Kunde mit PAGENTUS eine technologisch fortschrittliche, sichere und datenschutzkonforme Plattform.
- [1] https://www.heise.de/ix/meldung/Die-Bahn-geht-in-die-Amazon-Cloud-3692459.html
- [2] https://www.heise.de/ix/heft/Cloud-ist-ein-Konzernziel-3682667.html
- [3] https://www.computerwoche.de/a/amazon-web-services-die-cloud-entwickelt-sich-zur-normalitaet,3211712 und https://aws.amazon.com/de/solutions/case-studies/munich-leukemia-lab/
- [4] https://www.bsi.bund.de/DE/Themen/DigitaleGesellschaft/CloudComputing/Kriterienkatalog/Kriterienkatalog_node.html
- [5] https://dsgvo-gesetz.de/bdsg
- [6] https://www.bmi.bund.de/DE/themen/it-und- digitalpolitik/datenpolitik/bundesdatenschutzgesetz/bundesdatenschutzgesetz-node.html
- [7] Universität München, Seminar IT-Sicherheit – Sicherheit und Vertrauen in Cloud Computing
- [8] Hierbei ist die anlasslose Übertragung durch den PAGENTUS Dienst gemeint. Befindet sich ein Benutzer im Ausland und lädt aktiv ein Dokument über einen PAGENTUS Client herunter, wird dieses Dokument natürlich auf diesen Wunsch hin ins Ausland zum Kunden übertragen.
- [9] Der Auftragsverarbeitungsvertrag bzw. der entsprechende Anhang über die technischen und organisatorischen Maßnahmen enthält eine genaue Beschreibung dieser Umstände.
- [10] https://aws.amazon.com/de/compliance/cloud-act/
- [11] https://d1.awsstatic.com/analyst-reports/Don’t%20Get%20Spooked_CloudAct_JM181119.pdf
- [12]https://web.archive.org/web/20150627110441/http:/usun.state.gov/documents/organization/218088.pdf
- [13] https://www.bsi.bund.de/DE/Themen/DigitaleGesellschaft/CloudComputing/CloudZertifizierung/CloudZertifizierung_node.html
- [14] https://www.computerweekly.com/de/ratgeber/Was-ein-C5-Testat-fuer-Cloud-Storage-Dienste-bedeutet
- [15] https://www.bsi.bund.de/DE/Presse/Pressemitteilungen/Presse2016/Erstes_Testat_nach_Cloud-Anforderungen_12122016.html