Sichere Cloud Umgebungen nach deutschem und europäischem Recht

Quelle: Den Originalartikel finden sie auf ZDnet.de von Kai Schmerer am 12. November 2015

US-Firmen drängen in die deutsche Cloud

Neben Microsoft, das gestern bekannt gab, Cloud-Dienste ab Mitte 2016 in Rechenzentren von T-Systems anzubieten, nutzen auch andere US-Cloud-Anbieter die „Deutsche Cloud“. Der Grund ist einfach: Vertrauen.

Verlorengegangenes Vertrauen ist der Grund für Microsoft und andere US-Firmen, eine deutsche Firma als Betreiber eines in Deutschland lokalisierten Rechenzentrum auszuwählen. Obwohl Microsoft-Chef Satya Nadella wie auch T-Systems-CEO Reinhard Clemens, dessen Firma als sogenannter Datentreuhänder für Microsoft fungiert, die Gründe für das mangelnde Vertrauen der Kundschaft in Public-Cloud-Techniken bei der Vorstellung der Pläne gestern in Berlin nicht weiter präzisiert haben, weiß doch jeder, wer respektive was dafür verantwortlich ist.

Es ist der US-Geheimdienst NSA mit seinen massiven Überwachungsmaßnahmen, die dank der Enthüllungen seines Ex-Mitarbeiters Edward Snowden öffentlich bekannt wurden. Doch das alleine ist noch nicht der Grund, dass US-Firmen die Dienste von der Telekom-Tochter T-Systems in Anspruch nehmen. Hinzu kommt, dass US-Unternehmen wegen des Patriot Act von ihrer Regierung zur Herausgabe von Daten gezwungen werden, auch wenn sich das Rechenzentrum außerhalb der USA befindet. Das ist nach Ansicht vieler Fachleute das Hauptproblem für hiesige Unternehmen bei der Nutzung von Public-Cloud-Angeboten von US-Firmen. Microsoft widersetzt sich zwar in einem bekannt gewordenen Fall weiterhin einem Gerichtsbeschluss, der die Herausgabe von E-Mail-Daten eines europäischen Nutzers an US-Behörden verlangt, doch Rechtssicherheit für Unternehmen sieht anders aus. Auch wenn der Konzern beteuert, den Fall notfalls bis zum Supreme Court durchzufechten.
Endgültig wurde das Vertrauen in Public-Cloud-Techniken mit der faktischen Abschaffung des Safe-Harbor-Abkommens zerstört. Der Gerichtshof der Europäischen Union (EuGH) erklärte Anfang Oktober die Entscheidung der EU-Kommission für ungültig, mit der sie festgestellt hat, dass die „Vereinigten Staaten von Amerika ein angemessenes Schutzniveau übermittelter personenbezogener Daten gewährleisten“. Ausgelöst hatte das Verfahren eine Beschwerde des österreichischen Juristen Max Schrems. Er behauptet, dass seine von Facebook auf USMicrosoft ist nicht die erste US-Firma, die Cloud-Dienste in deutschen Rechenzentren anbietet. Und dabei ist nicht gemeint, dass der US-Hersteller in Deutschland ein Rechenzentrum betreibt. Das würde an dem Tatbestand, dass US-Unternehmen auf Basis des Patriot Act Kundendaten herausgeben müssen, wenn US-Behörden danach anfragen, nichts ändern. Mit dem Datentreuhänder T-Systems kann sich Microsoft aber gegen behördliche Anfragen aus den USA schützen. Für T-Systems gilt deutsches Recht, an Weisungen von US-Behörden ist die Telekom-Tochter nicht gebunden.
Neben Microsoft nutzen weitere US-Firmen wie Salesforce.com und SugarCRM die Dienste von T-Systems – wohl aus den selben Gründen wie Microsoft. Vermutlich werden das nicht die letzten US-Firmen sein, die vor dem Überwachungswahn ihrer Regierung auf hiesiges respektives europäisches Terrain flüchten und die angebotenen Cloud-Dienste unter deutsche/europäische Aufsicht stellen. Diesbezüglich dürfte der Deal mit Microsoft eine gewisse Sogwirkung entfalten.
Ob durch die Vereinbarung von T-Systems mit Microsoft ein Boom in Sachen Public Cloud hierzulande ausgelöst wird, steht allerdings auf einem ganz anderen Blatt. Public-Cloud-Technologien gelten zwar für Start-Ups als Mittel der Wahl, wenn es um Wachstum geht. Doch die meisten Unternehmen sind keine Start-Ups und nutzen die Cloud-Technik entweder als Private Cloud oder in hybrider Form.

Q&A

Q: Was ist das Besondere an dem neuen Cloud-Angebot von Microsoft in Deutschland?
A: Microsoft bietet seine Dienste Azure, Office 365 sowie Dynamics CRM Online zukünftig aus deutschen Rechenzentren an. Der Datenaustausch zwischen den zwei Rechenzentren findet über ein privates, vom Internet getrenntes Netzwerk statt, womit der Verbleib der Daten in Deutschland gesichert ist. Ein unabhängiges deutsches Unternehmen, der Datentreuhänder, kontrolliert den Zugang zu den Kundendaten. Der Datentreuhänder operiert unter deutschem Recht.

Q: Wer kann die neuen Dienste nutzen?
A: Deutsche und europäische (EU/EFTA) Organisationen und Unternehmen aller Größen und Branchen können die Microsoft-Dienste Azure, Office 365 sowie Dynamics CRM Online über die Microsoft Cloud in Deutschland beziehen. Das neue lokale Angebot richtet sich besonders an Organisationen und Unternehmen in datensensiblen Bereichen, wie dem öffentlichen, dem Finanz- oder dem Gesundheitssektor. Bestehende Kunden können ihre Lösungen und Daten aus anderen Rechenzentren in die neue Cloud in Deutschland migrieren.

Q: Wer ist der Datentreuhänder?
A: Der Datentreuhänder ist T-Systems International, eine Tochter der Deutsche Telekom.

Q: Was ist die Rolle des Datentreuhänders?
A: Der Datentreuhänder kontrolliert den Zugang zu Kundendaten. Er stellt sicher, dass Kundendaten nicht an Dritte weitergegeben werden, es sei denn der Kunde erteilt die Erlaubnis oder die Herausgabe wird durch deutsches Recht erforderlich.

Q: Hat Microsoft Zugang zu Kundendaten?
A: Ohne Zustimmung des Datentreuhänders oder des Kunden selbst hat Microsoft keinerlei Zugang zu Kundendaten. Wenn ein Zugriff auf Kundendaten durch Microsoft notwendig und durch den Datentreuhänder genehmigt wird, um beispielsweise Wartungsarbeiten oder Verbesserungen an der Microsoft Cloud in Deutschland durchzuführen, erfolgt ein (zeitlich begrenzter) Zugriff ausschließlich unter sorgfältiger Aufsicht des Datentreuhänders.

Q: Wo werden die Kundendaten gespeichert?
A: Die Kundendaten werden in zwei deutschen Rechenzentren in Magdeburg und Frankfurt am Main gespeichert. Diese beiden Rechenzentren befinden sich aus Gründen der Ausfallsicherheit in unterschiedlichen Teilen Deutschlands und sind über ein privates, vom öffentlichen Internet getrenntes Datennetzwerk miteinander verbunden. Um die Ausfallsicherheit (Business Continuity) und die Wiederherstellung von Daten und Diensten (Disaster Recovery) in Notfällen zu ermöglichen, findet ein kontinuierlicher Datenabgleich zwischen den Rechenzentren statt.

Q: Wer betreibt die Rechenzentren in Deutschland und wem gehören sie?
A: Aus Sicherheitsgründen veröffentlicht Microsoft keine Einzelheiten darüber, welche Einrichtungen Eigentum sind und welche von Dritten gemietet werden. Microsoft betreibt mehr als 100 Rechenzentren weltweit – eigene wie gemietete. Unabhängig von Eigentumsfragen gelten für alle Cloud-Dienste von Microsoft höchste Standards bei Datenschutz und Datensicherheit.

Q: Welche Sicherheitsstandards gelten für die Microsoft Cloud in Deutschland?
A: Die deutschen Rechenzentren nutzen die gleichen Technologien und bieten die gleichen hohen Sicherheitsstandards wie die globalen Cloud-Angebote von Microsoft. Dazu gehören Multi-Faktor-Authentifizierungen, biometrische Scans, Smartcards, Datenverschlüsselungen nach SSL/TLS-Protokollen, physische Sicherheitsmaßnahmen, Sicherungen gegen Naturkatastrophen und Stromausfälle.

Q: Wann werden die neuen Dienste verfügbar sein und was kosten sie?
A: Die Dienste der Microsoft Cloud in Deutschland werden ab der zweiten Jahreshälfte 2016 sukzessive zur Verfügung gestellt. Im Preis für die neuen Dienste wird sich der Mehraufwand für die besondere Architektur dieser Lösung widerspiegeln. Wir orientieren unsere Angebote weltweit an den Bedürfnissen unserer Kunden und bieten Leistungen zu wettbewerbsfähigen Preisen an.

Den Originalartikel finden sie auf ZDnet.de von Kai Schmerer am 12. November 2015

Europäische Data Protection Regulation (EDPR)

Die künftige Datenschutz-Regulierung der EU bringt rigide Auflagen für die firmeninterne Verarbeitung und Speicherung persönlicher Daten und ihre Übermittlung ins Ausland.

Die neue EU-Gesetzgebung zum Datenschutz wird gerade vorbereitet und tritt 2016 in Kraft. Schon heute zeigt das Urteil des EU-Gerichtshofs bezüglich „Safe Harbour“, dass es nicht erlaubt ist, personenbezogene Daten aus der EU in die USA zu übertragen und zu speichern.

Welche wesentlichen Veränderungen bringen die neuen EU-Bestimmungen zur Datensicherheit?

Die neue Europäische Data Protection Regulation (EDPR) ersetzt die gültige EU-Direktive zum Datenschutz. Diese Direktive war mehr eine Empfehlung, während die neue Regelung Gesetzescharakter hat und mit strikten finanziellen Strafen durchgesetzt wird. Unternehmen kommen dann nicht mehr mit einem blauen Auge davon, wenn sie dagegen verstoßen. Die Strafen können bis zu 100 Millionen Euro oder 5 Prozent des Jahresumsatzes eines Unternehmens betragen, je nachdem welche Summe höher ist. Zudem bündelt die neue Regelung die Datenschutzgesetze in allen 28 EU-Ländern und bildet das Rückgrat für Datenschutz und Persönlichkeitsrechte aller EU-Bürger.

Was heißt das konkret?

Kernbestandteil der neuen EU-Gesetzgebung ist das „Recht auf Vergessen“. Bürger sollen die Möglichkeit haben, ihre persönlichen Daten und auch Fotos zu löschen, wenn die Datenverarbeitungsprozesse den EU-Regeln nicht entsprechen, die Daten zum Zweck der Erhebung nicht mehr notwendig sind oder die Person das Einverständnis zur Erhebung ihrer Personendaten entzogen hat. Das heißt beispielsweise, dass Bürger auch von Suchmaschinen verlangen können, bei der Online-Suche Verweise zu Inhalten zu entfernen, die das Recht auf Privatsphäre und Datenschutz verletzen.

Warum stellt die neue Verordnung für Unternehmen eine so große Herausforderung dar?

Um sicherzustellen, dass neue Anwendungen und Online-Services fehlerfrei funktionieren, werden in der Entwicklungs- und Testphase echte Daten genutzt. Dabei kommen auch persönlich identifizierbare Informationen realer Kunden wie Name, Adresse oder Versicherungsnummer zum Einsatz. Diese werden auch Dienstleistern wie externen Entwicklungsteams übermittelt. Diese Praxis ist auch bisher schon ungesetzlich, aber mit der neuen EU-Regulierung wird das viel deutlicher werden.

Denn dann ist es eine Kernforderung, dass Unternehmen einen vollständigen und genauen Report aller Daten liefern, die innerhalb der gesamten Organisation gespeichert werden. Das kann Unternehmen lahmlegen. Es kann ein Alptraum sein, einen vollständigen und genauen Report aller Daten zu liefern, die innerhalb der gesamten Organisation vorhanden sind. Dazu zählen auch Daten in Backups und in allen Testsystemen. In vielen Fällen wird es auch Daten außerhalb der EU geben, die genutzt werden, beispielsweise bei einem Outsourcer, der Mainframe-Applikationen entwickelt. Das würde eine weitere ernsthafte Verletzung der EU-Richtlinien bedeuten.

Wie gehen Unternehmen mit der neuen Verordnung um?

Gespräche mit Organisationen der IT-Branche zeigen drei verschiedene Denkweisen. Es gibt Unternehmen, die die neuen Regulierungsvorschriften als Geschäftschance sehen. Sie wollen ihren Kunden nachweisen, dass ihre Daten den höchsten Sicherheitsanforderungen genügen, und sich so einen Wettbewerbsvorteil verschaffen. Bei der zweiten Kategorie führen Unternehmen grundlegende Schritte durch, um Kosten und Geldstrafen zu vermeiden. Deswegen werden elementare Schritte zur Einhaltung der Regelungen umgesetzt, wenn auch ohne höchste Priorität.

Die dritte Gruppe sieht die neue Gesetzgebung als Chance, um Kosten einzusparen. Durch die Rationalisierung und Kontrolle der Daten – also Datenoptimierung – können Unternehmen erhebliche Kosten einsparen, beispielsweise durch eine verbesserte Qualität Datenmengen, die für Anwendungstests erforderlich sind. Unabhängig davon, in welche Kategorie ein Unternehmen einzuordnen ist, es muss die Kontrolle über die Daten erlangen.

Wie können Unternehmen dies bewerkstelligen?

Zunächst einmal müssen IT-Organisationen ihre Testpraktiken hinterfragen. Wird irgendeine Art von echten Personendaten für Tests genutzt, ist es höchste Zeit, diese durch ein Projekt zur Test Data Privacy zu schützen. Unternehmen müssen die Auswirkungen der neuen Gesetzgebung verstehen und identifizieren, was das für ihre IT bedeutet. Es besteht die Notwendigkeit, genau zu analysieren, wo sensible sowie persönliche Daten abgelegt sind und wo ein Risiko für Datenverluste besteht. Das heißt, sie müssen wissen, wer Zugriff auf welche Daten hat und wo diese gespeichert sind. Steht das fest, sollten sich Organisationen Gedanken darüber machen, wie sie die sensiblen Daten anonymisieren können. Dazu kann es ausreichen, die Anonymisierung in bestehende Workflows und Prozesse einzubauen, es können aber auch neue Workflows notwendig sein, um der Gesetzgebung zu entsprechen.

Wie sieht eine Lösung für Test Data Privacy aus?

Eine Test-Data-Privacy-Lösung, wie wir sie anbieten, nutzt die Stärken von File-AID, einer Datei- und Datenmanagement-Lösung, die als einheitliche, vertraute und sichere Methode gilt, um den Datenzugang über alle Umgebungen hinweg zu analysieren, zu bearbeiten, zu vergleichen sowie zu transportieren und zu transformieren. Damit sind Unternehmen in der Lage, Testdaten anonym zur Verfügung zu stellen. So erfüllen sie die Anforderungen der neuen EU-Gesetzgebung, und Entwicklungsteams können Anwendungen testen.

(Quelle: www.datacenter-insider.de "EU-Regeln machen Testdaten problematisch" 05.11.15 | Autor / Redakteur: Ludger Schmitz / Ulrike Ostler)

IT-Sicherheitskatalog

Umsetzungserfordernisse und Herausforderungen für Unternehmen

Der Schutz der kritischen Infrastrukturen in Deutschland gewinnt mit der zunehmenden gesellschaftlichen
Abhängigkeit vom Internet und den damit verbundenen Sicherheitsrisiken für Unternehmen, Staat und Gesellschaft
beständig an Relevanz. Mit der Verabschiedung des IT-Sicherheitsgesetzes und weiterer flankierender
Maßnahmen geht der Gesetzgeber nun im Rahmen seiner „digitalen Agenda“ notwendige Schritte zur
gesetzlich verbindlichen Etablierung eines „Mindestniveaus an IT-Sicherheit“ an. Aus Sicht der betroffenen
Unternehmen und Organisationen zeichnet sich zeitnah Handlungsbedarf zur Erfüllung der Vorgaben ab, da
auch eine strengere Prüfung und Sanktionierung von Verletzungen des IT-SiG geplant ist.

 

Datenschutz-Grundverordnung

EU-Parlament beschließt Reform in erster Lesung

Das EU-Parlament hat Mitte März in erster Lesung den Verordnungsentwurf zur umfassenden Reform des Datenschutzes beschlossen. Jetzt beginnen die Verhandlungen mit der EU-Kommission und dem Rat der Europäischen Union. Unternehmen müssen sich also darauf einstellen, dass in der EU einheitliche Datenschutz-Regeln Realität werden.

Der aktuell im Parlament verabschiedete Entwurf der Verordnung enthält einige interessante Neuerungen gegenüber dem bisher öffentlich diskutierten Entwurf.

Tatsächlich wurde über den ersten Entwurf der Verordnung lange kontrovers diskutiert. Einzelne Länder, Verbände, Lobbyisten und Datenschutzexperten haben unzählige Änderungsvorschläge eingebracht. Der nun verabschiedete Entwurf enthält viele Kompromisslösungen aber auch Neuerungen zum Verbandsklagerecht, zur Bestellpflicht eines Datenschutzbeauftragten oder zu angedrohten Sanktionen bei einem Datenschutzverstoß. Hinzu kommen Neuerungen beim Thema „Recht auf Vergessen“. Es bleibt zwar abzuwarten, ob alle Aspekte in der jetzigen Form Eingang in die endgültige Verordnung finden, die grundsätzliche Ausrichtung der Verordnung wird aber erhalten bleiben. Unternehmen sollten sich daher bereits heute damit auseinandersetzen.

Bundestag beschließt das IT-SiG

Mit den Stimmen der Koalitionsfraktionen hat der Bundestag am Freitag, 12. Juni 2015, das von der Bundesregierung vorgelegte IT-Sicherheitsgesetz beschlossen.

Das Gesetz regelt unter anderem, dass Betreiber sogenannter „kritischer Infrastrukturen“ ein Mindestniveau an IT-Sicherheit einhalten und dem Bundesamt für Sicherheit in der Informationstechnik (BSI) IT-Sicherheitsvorfälle melden müssen. Tun sie dies nicht, droht ihnen entsprechend der beschlossenen Änderung der Regierungsvorlage ein Bußgeld. Ebenfalls neu eingefügt wurde in das Gesetz eine Evaluierung nach vier Jahren. Gleichzeitig werden Hard- und Software-Hersteller zur Mitwirkung bei der Beseitigung von Sicherheitslücken verpflichtet. Außerdem wird der Aufgabenbereich BSI nochmals erweitert.

Quelle Bundestag

IT Einkauf ein Abenteuer

Das große Abenteuer des IT-Einkaufs

Oder: Wie die Beschaffung von IT-Systemen und Dienstleistungen zum Alptraum wird.

Kennen sie die Kostentreiber der IT in Ihrem Unternehmen? Es ist das Bündel an konkurrierenden Interessen und Aufgaben, welche die IT so komplex und teuer macht.

Dann sind da noch die operativen IT-Themen, die einem das Leben schon schwer genug machen. Die tägliche Nutzung der IT-Systeme, deren Ausfälle die Anwender manchmal zur Weißglut bringen – aber auch den Betreuer an seine Grenzen bringt.

Hieraus entsteht die Notwendigkeit des Handelns.

Es wird ein Projekt aufgesetzt, um eine neue Technik eines anderen Herstellers oder ein anderes Geschäftsmodell der Informationstechnologie, so etwas wie Outsourcing, umzusetzen.
Einhergehend mit der Verbesserung der IT-Leistungen, wird gleich noch eins draufgepackt – es muss besser und billiger werden. Also entgegen der ökonomischen Gesetzmäßigkeit. Zudem steigt mit jedem Jahr die Integrationstiefe der IT in die Geschäftsprozesse und neue gesetzliche oder von einem Auftraggeber bestimmte Vorschriften kommen hinzu.

Wie ist das alles vereinbar? Im Versuch der IT, den Vorgaben der Geschäftsleitung gerecht zu werden, wird eine Evaluierung gemacht. Das Resultat ist ein Konglomerat von Annahmen und eine Kostenrechnung, die so lange gebogen wird, bis das „Billiger & Besser“ scheinbar erreicht ist.

Nachdem nun die Geschäftsleitung, aufgrund der vorgestellten Annahmen und der Kostenrechnung, das Projekt unter der Prämisse eines meist verkürzten Terminplans zur Umsetzung frei gibt, geht es mit der Projektinitiierung weiter.

Der Einkauf wird eingeschalten, um IT-Systeme (Hard- und Software) und Personal zu beschaffen. Hierbei fordert der Einkauf Spezifikationen für die einzukaufenden Systeme und das zu beschaffende Personal bei der IT an.

Der gesunde Menschenverstand erkennt hier schon den Widerspruch, denn das klassische Feld der Personal- und Fachabteilung, wird plötzlich durch den Einkauf übernommen. Auch ist der Einkauf von Hard- und Software und dem Lizenzmanagement so komplex geworden, dass er vom Einkauf eine Fachlichkeit erfordert, den dieser meist nicht leisten kann.
Im Gegensatz zur Vergangenheit geht heutzutage der Einkauf, legitimiert durch die Geschäftsleitung, in die Führungsverantwortung der Beschaffung. Die Vorgabe der Geschäftsleitung ist klar: „ Geld einsparen“. Der Einkäufer ist meist mit einer Variablen an der Erreichung von Einsparungen beteiligt.

Nun beginnt der eigentliche Alptraum.

Wird der durch den Einkauf erwartete Preisabschlag nicht erreicht, wird an den Funktionsmodulen der Lösung gespart. Dass hierdurch schon zu Beginn des Projektes, der mit der Geschäftsleitung vereinbarte Funktions- und Leistungsumfang beschnitten wird, wird oft erst während der Realisierung klar.
Bei der Beschaffung der externen Unterstützung, wird die Anforderung mit dem „Skill-Profil“ der Mitarbeiter eines Anbieters durch den Einkauf verglichen. Der Einkauf ist im Normalfall nicht in der Lage, die Angaben eines Anbieters bezüglich der Fähigkeiten des angebotenen Personals zu prüfen. So kommt es dazu, dass externes Personal meist nur nach Preis eingekauft wird.

Um es mit den Worten eines IT-Programm Managers zu sagen: „… und mit dem Personal das ich für 40-60 EUR/h bekomme, soll ich meine Projekte in „Time & Budget“ abliefern? Und dann heißt es wieder, die IT ist nicht in der Lage Projekte durchzuführen…..“. Summieren wir nun die einzelnen Ausgangsvoraussetzungen: Zeit, Budget, Personal, Annahmen und das eingekaufte System, so würde kein Verantwortlicher mit gesundem Menschenverstand unter solchen Voraussetzungen ein Projekt starten.
Diese Fehler sind bereits so systemisch, dass in der Regel das IT-Projekt trotz aller negativen Parameter gestartet wird. Es fehlt der Überblick und das Verantwortungsbewusstsein der Beteiligten in der Gesamtheit und es herrschen konkurrierende Interessenslagen.

Dass aus diesen Perspektiven heraus, die meisten IT-Projekte immer länger und teurer werden, muss nicht verwundern. Der erwartete Leistungssprung einer Organisation durch ein neues System tritt nicht ein. Mit viel Kreativität werden diese Projekte im Nachhinein als Erfolg definiert.

Die Lösung ist relativ trivial und liegt in der Besinnung auf unternehmerische Tugenden.

Würden sie als Hersteller eines Produktes, so den Einkauf einer produzierenden Maschine oder einer Fertigungsstraße angehen? Die Informationstechnologie ist heutzutage integraler Bestandteil eines Unternehmens und muss als Teil des Kerngeschäftes gesehen werden. Das heißt, IT ist organisatorisch als auch investitionstechnisch wie ein Teil der Produktion zu sehen.

Ihr unternehmerisches Denken und unsere Erfahrung können aus einem Abenteuer der IT-Beschaffung eine kalkulierbare, und lohnende Investition machen. Es ist Zeit zu handeln um sich mit guten IT-Systemen einen Wettbewerbsvorteil zu verschaffen.