Archiv der Kategorie: IT-Security

KRITIS-Verordnung

TeleTrusT begrüßt Entwurf und sieht Nachbesserungsbedarf

Berlin, 23.02.2016 – Das Bundesministerium des Innern hat den Referenten-Entwurf einer „Verordnung zur Bestimmung Kritischer Infrastrukturen nach dem BSI-Gesetz“ veröffentlicht und einschlägige Verbände zur Kommentierung aufgerufen. Im Vorfeld der für Anfang März angesetzten Anhörung äußern die Fachgremien des Bundesverbandes IT-Sicherheit e.V. (TeleTrusT) grundsätzliche Zustimmung, sehen aber Nachbesserungsbedarf.

Mit der „KRITIS“-Verordnung wird §10 des BSI-Gesetzes in einem ersten Schritt umgesetzt. Für die Bestimmung Kritischer Infrastrukturen in den Sektoren Energie, Wasser, Informationstechnik und Telekommunikation sowie Ernährung werden relevante Anlagekategorien definiert und mit Schwellenwerten, korrespondierend mit dem jeweiligen Versorgungsgrad, versehen.

Im Rahmen der aktuellen Anhörung der Verbände und Fachkreise merkt TeleTrusT nach eingehender Erörterung des Entwurfes durch die internen Arbeitsgruppen insbesondere die folgenden Punkte an:

  1. Die Zugrundelegung der „500.000er-Regel“ für die Schwellenwerte wird als kritisch betrachtet. Die Regel basiert auf der Annahme, dass Ausfälle, bei denen weniger Haushalte betroffen sind, technisch und organisatorisch aufgefangen werden können. Sind im konkreten Fall also 500.000 Haushalte betroffen, kann ein weiterer, ernster Vorfall nicht einmal teilweise abgefangen werden. TeleTrusT regt an, die Schwellenwerte um einen geeigneten Sicherheitspuffer zu ergänzen.
  2. Die Benennung absoluter Zahlen für Schwellenwerte lässt eine qualitative Berücksichtigung möglicher „Domino-Effekte“ außer Acht. Wie ein europaweiter Stromausfall von 2006 gezeigt hat, kann durch Abschalten einer einzigen, eher weniger wichtigen Leitung das Gesamtsystem massiv beeinträchtigt sein. Neuere Untersuchungen und Modellberechnungen zeigen, dass Angriffe auf kleine Bereiche einer komplexen Infrastruktur durch Kaskadeneffekte die Gesamtstruktur beeinflussen können. Daher regt TeleTrusT an, in der Rechtsverordnung auch die Kumulation von sicherheitskritischen Ereignissen zu berücksichtigen.
  3. Das für die Anlagenkategorie „Standortkopplung“ zugrunde gelegte Datenvolumen auf Basis des wichtigsten, und – gemessen am Datendurchsatz – weltweit größten Internetknotenpunkts (DE-CIX), erscheint für die Betrachtung für ITK Unternehmen zu hoch. Da über den Internetknotenpunkt nicht nur der inländische, sondern auch der internationale Datenverkehr prozessiert wird, ist das Anwenden des Datenvolumens des DE-CIX auf industrielle und/oder unternehmensinterne Datenverbindungen nicht plausibel. TeleTrusT regt an, die Berechnungsgrundlage zur Festlegung der kritischen Betreiber zu revidieren.
  4. Im Referentenentwurf bleibt unklar, inwieweit moderne Telekommunikationsanwendungen wie IP-Telefonie eingeschlossen sind. Derzeit bringen alle Telekommunikationsdienstleister moderne IP-Telefonie als Basisprodukte auf den Markt. Auch über diese Dienste müssen Notrufe erreichbar sein. Daher sollten sie im Fokus der Betrachtung kritischer Infrastrukturen sein. TeleTrusT regt an, klarzustellen, inwieweit die IP-basierten Sprach- und Telefoniedienste in der Rechtsverordnung berücksichtigt werden.

PM-160223-TeleTrusT-KRITIS.pdf

Advertisements

Kriterien für die Nutzung von Cloud-Diensten

Beschluss des Rates der IT-Beauftragten der Ressorts vom 29. Juli 2015
Kriterien für die Nutzung von Cloud-Diensten der IT-Wirtschaft durch die Bundesverwaltung

1. Der IT-Rat hat mit Beschluss Nr. 2014/3 vom 12. Februar 2014 das BMI gebeten, einen Kriterienkatalog zum Einsatz von Cloud-Technologien in der Bundesverwaltung zu erarbeiten, der Mindestanforderungen statuiert in Bezug auf IT-Sicherheit, Datenschutz und zu Fragen von Interoperabilität und Standards, die Cloud-Dienste der IT-Wirtschaft erfüllen müssen, um durch die Bundesverwaltung in Anspruch genommen werden zu können.

2. Es ist zu beobachten, dass Softwarehersteller ihre Produkte zunehmend als Komplettdienstleistung – sogenannte Cloud-Dienste – anbieten, die auch den IT-Betrieb umfasst. Dort, wo Cloud-Angebote und Kauf-Software gemeinsam angeboten werden oder in Konkurrenz zueinander stehen, werden die Cloud-Angebote und der Fremdbetrieb gegenüber dem Kauf und dem Eigenbetrieb vom Cloud-Anbieter häufig als wirtschaftlich deutlich attraktiver dargestellt.

3. Die Bundesregierung hat es mit der Digitalen Agenda zu den Grundsätzen ihrer Digitalpolitik gemacht, die Autonomie und Handlungsfähigkeit der IT des Staates zu erhalten und insbesondere die technologische Souveränität für die IT des Staates zu stärken.

4. Der Einsatz von Cloud-Diensten der IT-Wirtschaft durch die Bundesverwaltung sollte daher erst nach sorgfältiger Abwägung von Risiken unter anderem für die IT-Sicherheit, der wirtschaftlichen und praktischen Folgen und der entsprechenden Mehrwerte erfolgen.

Vor diesem Hintergrund fasst der IT-Rat im Umlaufverfahren folgenden

Beschluss Nr. 2015/5

1. Cloud-Dienste im Sinne dieses Beschlusses sind Software-as-a-Service-, Platform-as-a-Service- und Infrastructure-as-a-Service-Dienstleistungen, die über Netzwerke und Anbieter der Wirtschaft außerhalb der öffentlichen Verwaltung des Bundes und der Länder erbracht werden.

2. Vor Inanspruchnahme und Beschaffung von Cloud-Diensten der IT-Wirtschaft ist zu prüfen, ob vergleichbare und anforderungsgerechte Leistungen durch die Bundesverwaltung selbst oder im Auftrag der Bundesverwaltung durch Dritte bereitgestellt werden. Dies schließt bundeseigene Inhouse-Gesellschaften mit ein. Sofern dies der Fall ist, ist die Nutzung dieser Leistungen zu bevorzugen.

3. Die Einrichtungen des Bundes werden ihre Planungen, Bedarfsbeschreibungen und Vergaben zur etwaigen Verwendung von Cloud-Diensten der IT-Wirtschaft nach folgenden Grundsätzen ausrichten:

a. Von den Einrichtungen des Bundes gehaltene schützenswerte Informationen (z. B. Betriebs- und Geschäftsgeheimnisse, sensible Daten über IT-Infrastrukturen des Bundes) müssen ausschließlich in Deutschland verarbeitet werden. Cloud-Anbieter müssen eine Vertraulichkeitsvereinbarung abschließen, nach der diese Daten nicht in den Bereich fremdstaatlicher Offenbarungspflichten und Zugriffsmöglichkeiten gelangen dürfen, die sich außerhalb der Bundesrepublik Deutschland gegen Cloud-Anbieter richten können.

b. Werden von einem Cloud-Anbieter Daten in Deutschland verarbeitet, die Privat- oder Dienstgeheimnisse gemäß §§ 203 und 353b StGB enthalten, ist darüber hinaus durch geeignete technische und organisatorische Regelungen sicherzustellen, dass diese Daten nicht unbefugt Dritten offenbart werden. Unbefugt ist eine Offenbarung insbesondere, wenn durch sie gegen gesetzliche Anforderungen des Datenschutzrechts sowie der §§ 203 und 353b StGB verstoßen wird. Die IT-Unterstützung für die Verarbeitung von Verschlusssachen (im Allgemeinen nur bis VS-NfD zulässig) unterliegt zudem den Regelungen der Verschlusssachenanweisung (VSA). Bei der Verarbeitung personenbezogener Daten sind §11 BDSG (Auftragsdatenverarbeitung) sowie die entsprechenden Nachweispflichten des Cloud-Anbieters zur Einhaltung des technischen und organisatorischen Datenschutzes zu beachten.

c. Soweit Cloud-Lösungen in Anspruch genommen werden, ist zur Vermeidung von „Lock-in-Effekten“ und wirtschaftlich ausnutzbaren Abhängigkeiten in möglichst hohem Maße Cloud-Lösungen auf Basis offener Standards der Vorzug zu geben, um die Möglichkeit eines Austauschs von Anbietern in wettbewerblicher Vergabe nicht zu erschweren oder zu verhindern. Insbesondere haben Planungen und die Ausrichtung eines Bedarfs auch zu berücksichtigen, dass besonders für den Fall von

  • Schlechtleistung, Unzuverlässigkeit oder Insolvenz eines Cloud-Anbieters,
  • Austausch von Subunternehmern, zu Gunsten solcher, die nicht die bei Vergabe geforderte Zuverlässigkeit und Vertrauenswürdigkeit haben,
  • Eingliederung des Cloud-Anbieters in ein anderes Unternehmen oder einen anderen Konzern oder sonstige Fälle des Wechsels des wirtschaftlichen Eigentums an ihm, wenn infolge dessen die geforderte Zuverlässigkeit und Vertrauenswürdigkeit nicht mehr besteht oder nicht mehr in der bei Vertragsschluss geforderten Weise belegt ist,
  • Kündigung des Vertragsverhältnisses aus wichtigem Grund oder regulärem Ende einer Vertragslaufzeit
    stets mehrere Anbieter am Markt zur Verfügung stehen, die die Aufgaben des ursprünglich beauftragten Anbieters übernehmen können.

d. Bei den Planungen zur Inanspruchnahme von Cloud-Diensten sind in Wirtschaftlichkeitsbetrachtungen auch angemessene Bewertungen mit Kostenschätzungen und Annahmen zu Risiken hinsichtlich der Wirtschaftlichkeit, Zuverlässigkeit und Sicherheit zu treffen. Hierzu zählen neben den Betriebskosten des Cloud-Dienstes insbesondere:

  • weitere Kosten auf Seiten des Cloud-Anwenders, hier vor allem
    o Schulung der Mitarbeiter und Administratoren,
    o Vorhalten von IT-Know-how zum Cloud-Dienst,
    o Verwalten und Überwachung des Cloud-Dienstes,
  • Migrationskosten zum Cloud-Dienst,
  • Aufwände für Migrationsszenarien, die ein gegebenenfalls notwendiger Anbieterwechsel gemäß Ziffer 3 c. erzeugen könnte oder die Kosten einer gegebenenfalls notwendigen Wiederaufnahme des Eigenbetriebs durch die Wiederbereitstellung von Personal und Sachmitteln („Insourcing“).

e. Vertragsverhältnisse zu Cloud-Diensten ohne angemessene Preissicherung werden nicht eingegangen.
f. Zur Absicherung der Verfügbarkeit als Teil der IT-Sicherheit erfolgt eine Beauftragung von Cloud-Diensten nur unter vertraglicher Vereinbarung von deutschem Recht und Gerichtsstand und ohne obligatorisch vorab zu betreibende Schlichtungsverfahren. Es ist zu gewährleisten, dass bei gegebenenfalls notwendigem Rechtsschutz beziehungsweise Eilrechtschutz keine Zeitverluste eintreten, zum Beispiel durch eine Einarbeitung in fremde Rechtsordnungen oder ein Auftreten vor entfernt gelegenen Gerichten, so dass die jeweilige Behörde handlungsfähig bleibt und ihre Forderungen effektiv durchsetzen kann. In Bezug auf den Betrieb der Cloud-Dienste werden zur Absicherung der Verfügbarkeit außerdem keine kurzfristigen einseitigen Kündigungsrechte oder Zurückbehaltungsrechte an den Leistungen zu Lasten des Auftraggebers akzeptiert.

g. Soweit im Zusammenhang mit der Nutzung von Cloud-Diensten Software zu erwerben ist (zum Beispiel auch zum Fremdbetrieb), ist einem Erwerb dauerhafter Nutzungsrechte (Kauf) grundsätzlich der Vorzug zu geben gegenüber zeitlich befristeten Nutzungsrechten (Miete) oder solchen Nutzungsrechten, zu denen sich der Anbieter kurzfristig einseitig ausübbare Kündigungs- oder Widerrufsmöglichkeiten vorbehält.

h. Vor jeder Beschaffung sind eine Risikoanalyse zur Nutzung des beabsichtigen Cloud-Dienstes anzufertigen, in denen die unter Ziffer 3 c. und 3 d. genannten Gesichtspunkte berücksichtigt werden, daraus angemessene Maßnahmen abzuleiten und diese Maßnahmen als Anforderung in der Bedarfsbeschreibung als Grundlage der dem Vertrag zu Grunde liegenden Leistungsbeschreibung zu formulieren. Die Risikoanalyse muss die aktuellen Sicherheitsempfehlungen des BSI berücksichtigen. Die Risikoanalyse und die darin getroffenen Entscheidungen werden nachvollziehbar dokumentiert. Vor einer Beauftragung sollte jeder Bieter darlegen, welche Sicherheitsmaßnahmen getroffen werden, um die jeweiligen Sicherheitsanforderungen umzusetzen. Eine Beauftragung kann nur erfolgen, wenn die Umsetzung dieser Sicherheitsanforderungen sowie angemessene Kontrollmöglichkeiten vertraglich zugesichert werden.

i. Der Cloud-Anbieter hat eine ausreichende Informationssicherheit nachzuweisen. Dies kann durch ein Zertifikat „ISO 27001 auf der Basis von IT-Grundschutz“ oder durch zukünftige, gleichwertige BSI-Verfahren geschehen. Die Anerkennung anderer Zertifizierungen bzw. Sicherheitsnachweise ist im Einzelfall zu prüfen. In Betracht kommen jedoch nur Nachweise der Informationssicherheit, die von einer vertrauenswürdigen und unabhängigen Stelle ausgestellt werden und deren Prüfanforderungen sowie das Evaluationsschema zur Begutachtung offen liegen.
Die Verpflichtung zur Erfüllung von Sicherheitsvorgaben muss vom Cloud-Anbieter auch an etwaige Subunternehmer weitergegeben und von diesen vertraglich übernommen und erfüllt werden. Der Cloud-Anbieter muss (gegebenenfalls unter einer Vertraulichkeitsvereinbarung) dem Auftraggeber Einblick in die zum Erlangen des Zertifikats erstellten Audit-Reports gewähren.
Für einen hohen Schutzbedarf richten sich die Maßnahmen der Informationssicherheit nach einer eingehenden Risikoanalyse, wie sie gemäß ISO 27001 auf der Basis von IT-Grundschutz gefordert wird sowie nach den gemäß der Einschätzung des Bedarfsträgers zusätzlich erforderlichen Maßnahmen. Insbesondere kann die Beschaffungsstelle auf Grundlage der Risikoanalyse gemäß Ziffer 3h), auch auf Veranlassung des Bedarfsträgers, im Einzelfall den Nachweis strengerer Anforderungen verlangen.

j. Cloud-Anbieter müssen ein Notfall-Management nachweisen, vorzugsweise basierend auf dem BSI-Standard 100-4 oder der Norm ISO 22301.
Abweichungen von diesen Grundsätzen müssen sich auf besonders begründete Ausnahmen beschränken.
4. Die Grundsätze in Ziffer 3 dieses Beschlusses gelten für die IT-Unterstützung und Aufgabenerfüllung im Inland. Aufgrund der besonderen Anforderungen sind für die Informationstechnik des Auswärtigen Amts, des Bundesministeriums für Verteidigung sowie des Bundesnachrichtendienstes und anderer, im Auftrag der Bundesregierung im Ausland tätigen Behörden Abweichungen möglich.

5. Komponenten, die bereits in Maßnahmen des Programms „Gemeinsame IT des Bundes“ entwickelt werden und anforderungsgerecht sind, werden von den Einrichtungen des Bundes nicht unabhängig davon als Cloud-Lösungen entwickelt oder erstbeschafft. Für die Fortführung alternativer Cloud-Lösungen dürfen Mittel nur veranschlagt werden, soweit dies wirtschaftlich ist.
6. Weitergehende gesetzliche Regelungen, zum Beispiel zum Umgang mit personenbezogenen Daten, oder spezielle Regelungen zum Geheimschutz (zum Beispiel VSA) bleiben von diesem Beschluss unberührt.

7. Der Beschluss wird veröffentlicht.

Sicherheitslücke: Warum Android-Berechtigungen Hackern Tür und Tor öffnen

Android-Berechtigungen: Einfallstor für Hacker

Das Android-Berechtigungskonzept ermöglicht bösartigen Apps das Mitlesen des Datenverkehrs. Warum das so ist und wie Sie sich schützen können, verrät Trend Micro.

Täglich werden neue Gefahren bekannt, denen Anwender durch die Aktivitäten von Hacking-Team ausgesetzt waren und es zum Teil immer noch sind.

Auch eine gefälschte Nachrichten-App gehört dazu, die rund 50 Personen aus Google Play heruntergeladen haben.

Zwar ist die App seit dem 7. Juli nicht mehr online, doch lenkt ihre Entdeckung die Aufmerksamkeit auf ein seit langem schwelendes Problem: das der Android-Berechtigungen.

Der Schädling kommt durch die Hintertür

Die betroffene „BeNews“-App enthält einen Hintertürschädling, der die Android-Sicherheitslücke mit der Bezeichnung CVE-2014-3153 ausnutzte. Über diese Lücke lassen sich auf Android-Geräten Benutzerrechte erhöhen.

Im Detail heißt das: Die Hintertür ANDROIDOS_HTBENEWS.A kann Android-Versionen von 2.2 Froyo bis 4.4.4 KitKat betreffen, ist aber nicht darauf beschränkt. Der Schädling nutzt CVE-2014-3153, eine Sicherheitslücke in Android, über die sich lokal Privilegien erhöhen lassen.

Der Fehler wurde bereits vom Root Exploit TowelRoot dazu missbraucht, um die Gerätesicherheit zu umgehen, Schadsoftware herunterzuladen und Angreifern den Fernzugriff zu ermöglichen.

Um die Sicherheitsprüfungen im Google-Play-Store zu umgehen, wird der Hintertürschädling erst nachträglich, also nach dem Herunterladen und Installieren, aus dem Internet geladen und ausgeführt.

Der Nutzer hat im Grunde keine Chance, den Trick zu bemerken. Deshalb dürften die rund 50 Anwender, welche die App heruntergeladen haben, auch in die Falle getappt sein und den Schädling nachgeladen und installiert haben.

Bedienkomfort versus Sicherheit

Um es klipp und klar zu sagen: Das Problem ist das Android-Berechtigungskonzept. Denn Google prüft die Berechtigungen nur im Zusammenhang des im Store hochgeladenen Programmcodes, aber nicht mit der letztendlich auf den Geräten der Anwender installierten App.

Tücken des Android-Berechtigungskonzepts

Leider ist das nicht das einzige Problem im Android-Berechtigungskonzept. So können bösartige Apps anstelle legitimer Anwendungen Rechte zum Mitlesen des Datenverkehrs einfordern.

Darüber hinaus werden neue Rechte bei Updates automatisch genehmigt, wenn sie derselben Gruppe von Berechtigungen angehören, denen die Anwender bereits zugestimmt haben. So gehören die Rechte für das Blitzlicht eines Smartphones derselben Gruppe an wie diejenigen für Audio- und Videomitschnitte.

Leider bleibt Google bei seiner Politik, die Sicherheit dem Bedienkomfort unterzuordnen. Cyberspione haben so leichtes Spiel.

Datenschutz versus Privacy

Es ist wohl ein frommer Wunsch zu hoffen, dass sich in kurzer Zeit etwas an dieser Situation ändern wird. In den USA bedeutet Privacy eben etwas völlig anderes als das, was wir im deutschsprachigen Raum unter dem Schutz der Privatsphäre verstehen, wie er sich im deutschen Datenschutzrecht und bald auch in der EU-Datenschutzverordnung widerspiegelt.

Die Anwender müssen deshalb selbst für Sicherheit auf ihren Android-Geräten sorgen. Das bedeutet einmal, stets höchste Vorsicht der Auswahl von Apps walten zu lassen. Zum anderen aber heißt das, dass die Zeiten schon lange vorbei sind, in denen Smartphone-Besitzer auf Sicherheitslösungen auf ihren Geräten verzichten konnten.

Zudem dürfen dies keine Minimallösungen sein, die sich auf einen Pattern-basierenden Schutz beschränken. Vielmehr sind Lösungen gefragt, wie sie auf dem PC längst zu Hause sind, Lösungen also, die auch das Kommunikationsverhalten von Anwendungen bewerten und notfalls unterbinden können.

Weitere Details zur gefälschten Nachrichten-App aus dem Hacking-Team-Fundus sind im deutschen Blog von Trend Micro abrufbar.

31.07.15 | Redakteur: Margit Kuthner

http://www.security-insider.de/themenbereiche/plattformsicherheit/mobilesecurity/articles/498907/?cmp=nl-14

Kritische Infrastrukturen und die Informationssicherheit

Der Entwurf des neuen IT-Sicherheitsgesetzes sieht vor, dass alle Betreiber von Kritischen Infrastrukturen (KRITIS) ein ISMS im Einsatz haben müssen.

(24.03.15) – Auf die deutschen Energieversorger rollt eine Zertifizierungswelle zu. Der Entwurf des IT-Sicherheitsgesetzes (IT-SiG) sieht vor, dass die meisten Unternehmen der Branche künftig ein testiertes Information Security Management System (ISMS) vorzuweisen haben. Der IT-Dienstleister prego services erläutert mit diesem Artikel, worauf sich die Energieversorger einstellen müssen:

Neue Regelungen und Verpflichtungen schreiben einen besonderen Schutz von so genannten Kritischen Infrastrukturen (KRITIS) vor – also von Kommunikationsnetzwerken, die für das staatliche Gemeinwesen eine besonders große Bedeutung haben. Zu diesen KRITIS zählen auch die Prozessnetzwerke von Energieversorgern, da deren Ausfall oder Manipulation erhebliche Auswirkungen auf die Versorgung der Bevölkerung und die öffentliche Sicherheit haben könnten. Deshalb müssen insbesondere Energieversorger künftig ein zertifiziertes Information Security Management System vorweisen.

Der IT-Dienstleister prego services in Saarbrücken und Ludwigshafen erläutert, worauf Energieversorger jetzt achten sollten. Die Energiebranche zählt zu den Kernmärkten des Unternehmens, das auch seit über zehn Jahren sichere IP-Prozessnetzwerke für Energieversorger konzipiert, implementiert sowie betreibt und Teilnehmer der Allianz für Cyber-Sicherheit im Bereich Kritische Infrastrukturen ist.

1. Was Gesetzgeber und Behörden verlangen: Der Entwurf für ein neues IT-Sicherheitsgesetz sieht vor, dass alle Betreiber von KRITIS ein ISMS im Einsatz haben müssen. Für Energieversorger verschärft sich diese Pflicht durch den IT-Sicherheitskatalog der Bundesnetzagentur (BNetzA), der derzeit ebenfalls noch im Entwurfsstadium ist. Er verlangt von ihnen, nicht nur ein solches ISMS zu betreiben, sondern es von einer unabhängigen, akkreditierten Zertifizierungsstelle zertifizieren zu lassen.

2. Welche Zertifikate notwendig sind: Das künftige Information Security Management System der Energieversorger muss zum einen der Norm DIN ISO 27001 entsprechen, welche die allgemeinen Anforderungen an ein solches System definiert. Darüber hinaus muss es verschiedene Aspekte der Norm DIN ISO/IEC TR 27019 berücksichtigen, die eine Leitlinie speziell für die Energieversorgungsbranche bereitstellt.

3. Was das ISMS leisten muss: Aufgabe eines Information Security Management System ist es vor allem, die Verfügbarkeit, Vertraulichkeit und Integrität kritischer Daten sicherzustellen. Die ISO 27001 führt dazu konkrete Maßnahmen auf, die dies gewährleisten sollen. Außerdem verpflichtet es das Management des Unternehmens, Sicherheitsrichtlinien und Regelungen zu erlassen, die nötigen Ressourcen bereitzustellen sowie das ISMS laufend zu überwachen, aber auch kontinuierlich zu verbessern.

4. Was das für die Energieversorger bedeutet: Der Aufbau und Betrieb eines solchen ISMS bringt auch die Pflicht mit sich, einen IT-Sicherheitsbeauftragten als zentralen Ansprechpartner zu bestellen. Er betreut, überwacht und pflegt als Hauptverantwortlicher das ISMS und steht der Bundesnetzagentur zu Fragen rund um den Umsetzungsgrad von Maßnahmen oder Sicherheitsvorfällen zur Verfügung. Darüber hinaus ist laut IT-Sicherheitsgesetz eine Warn- und Alarmierungsstruktur einzurichten, die rund um die Uhr verfügbar sein muss.

5. Für wen es ernst wird: Auch wenn sowohl das neue IT-Sicherheitsgesetz als auch der IT-Sicherheitskatalog derzeit noch im Entwurfsstadium sind – ihre Verabschiedung und die Pflicht für Energieversorger zu einem zertifizierten ISMS gelten als sicher. Betroffen von dieser Pflicht sind nach aktuellem Stand mehr als 1.500 Unternehmen der Energiebranche. Lediglich Kleinstunternehmen, die weniger als zehn Mitarbeiter haben und deren Jahresbilanzsumme zwei Millionen Euro nicht überschreitet, sollen von den Regelungen ausgenommen sein.

„Um sich rechtzeitig auf die Erfüllung der Gesetzesanforderungen vorbereiten zu können, sollten sich Energieversorger am besten sofort mit dem Thema ISMS auseinandersetzen“, sagt Mario Kaiser, Informationssicherheits-Beauftragter bei prego services in Saarbrücken. „Ein zertifizierungsreifes Information Security Management System führt man nicht von heute auf morgen ein. Selbst kleinere Unternehmen müssen mit Projekten rechnen, die mehr als ein halbes Jahr in Anspruch nehmen.“ (prego services: ra)

Digitaler Selbstschutz gegen Ausspähen und Datenmissbrauch

http://www.compliancemagazin.de/gesetzestandards/datenschutzcompliance/uld060813.html :

Prism“, „Tempora“ und die Folgen

Digitaler Selbstdatenschutz ist wichtiger denn je: Grundprinzipien sind hierbei Datenvermeidung und Datensparsamkeit, also so wenige Daten im Netz zu hinterlassen wie irgend möglich
Datenschutzbewusstes Verbraucherverhalten im Internet wird von den Betreibern sofort registriert und eröffnet die Chance, dass sich über den Wettbewerb datenschutzkonforme Produkte durchsetzen

(06.08.13) – Das Unabhängige Landeszentrum für Datenschutz Schleswig-Holstein (ULD) erhält seit Aufdeckung der umfassenden Erfassungs- und Auswertungsverfahren von Telekommunikations- und Internetdaten US-amerikanischer und britischer Sicherheitsbehörden laufend Anfragen, wie sich Betroffene selbst schützen können und wie die Ausspähung der Menschen mittel- und langfristig eingeschränkt werden kann. Die umfassende verdachtslose geheimdienstliche Bespitzelung, u. a. bekannt geworden durch die Programme „Prism“ und „Tempora“ der National Security Agency (NSA – USA) und des Government Communications Headquarters (GCHQ – UK), betrifft auch die Bevölkerung und die Wirtschaft des Landes Schleswig-Holstein. Das ULD sieht in den Enthüllungen des Whistleblowers Edward Snowden wichtige Informationen, die Anlass für eine Neuorientierung sowohl hinsichtlich des individuellen Datenschutzverhaltens als auch der Datenschutzpolitik sind.

Selbstdatenschutz ist wichtiger denn je.

Grundprinzipien sind hierbei Datenvermeidung und Datensparsamkeit, also so wenige Daten im Netz zu hinterlassen wie irgend möglich:
>> Nutzen Sie datensparsame Internetangebote, bei denen keine Datenspuren hinterlassen werden, bei Suchmaschinen z. B. das vom ULD zertifizierte Ixquick/Startpage.
>> Bei Bedarf nach Anonymität beim Surfen verwenden Sie Anonymisierungsdienste. Verwenden Sie – wie vom Telemediengesetz rechtlich vorgesehen – statt Klarnamen Pseudonyme.
>> Durch Verwendung mehrerer Browser, mehrerer E-Mail-Accounts oder mehrerer sonstiger Identitäten wird eine Profilbildung erschwert. Verwenden Sie bei verschlüsselten Webseiten https.
>> Nutzen Sie bei der Datenspeicherung – jedenfalls in der Cloud – und bei sensiblen E-Mails Verschlüsselung.
>> Setzen Sie Tracking-Blocker ein und löschen Sie regelmäßig die Cookies in Ihrem Browser.
>> Verändern Sie die Browser-Einstellungen gemäß Ihren Datenschutzwünschen.

Bei der Auswahl von Internetdiensten sind europäische und deutsche Angebote den Angeboten aus Drittländern, insbesondere aus den USA, vorzuziehen, weil dann sicher europäisches Datenschutzrecht anwendbar ist. Auch bzgl. britischer Anbieter ist größere Vorsicht und Zurückhaltung geboten. Lesen Sie vor regelmäßiger Nutzung eines Internetangebots die Nutzungs- und die Datenschutzbestimmungen und verzichten Sie auf den Einsatz, wenn Sie Zweifel an der Beachtung des Datenschutzes haben.

Datenschutzbewusstes Verbraucherverhalten im Internet wird von den Betreibern sofort registriert und eröffnet die Chance, dass sich über den Wettbewerb datenschutzkonforme Produkte durchsetzen.

Hinsichtlich der Geheimdienstaktivitäten im Internet sollte niemand der Illusion folgen, Argumente allein könnten zu mehr Transparenz und mehr Datenschutz beitragen – dies geht nur über politischen, wirtschaftlichen, diplomatischen und rechtlichen öffentlichen Druck.

Dieser Druck kann durch folgende Maßnahmen verstärkt werden:

>> Herstellung von Transparenz bzgl. sämtlicher Geheimdienstaktivitäten im Internet, und zwar – soweit dies aus Sicherheitsgründen vertretbar ist – gegenüber der Öffentlichkeit und nicht hinter verschlossenen Türen,

>> offizielle Kündigung der Safe-Harbor-Grundsätze durch die Europäische Kommission,

>> Infragestellung und im Zweifel Kündigung der Abkommen zum Datenaustausch für Sicherheitszwecke, insbesondere der Abkommen zu den Flugpassagierdaten (Passenger Name Records – PNR) und zum Bankdatenaustausch (Terrorist Finance Tracking Program – TFTP, SWIFT),

>> Aussetzen der Verhandlungen zum Freihandelsabkommen zwischen EU und USA, bis die USA zu hinreichenden und überprüfbaren Datenschutzzusagen bereit ist, in jedem Fall aber – bis dahin – Ausschluss des Bereichs der Informations- und Kommunikationstechniken aus derartigen Verhandlungen,

>> Zeitnahe Beschlussfassung über die Europäische Datenschutz-Grundverordnung gemäß den von EU-Kommission und Parlamentsberichterstatter vorgegebenen Standards ohne weitere Berücksichtigung der US-Lobby-Vorschläge,

>> Prüfung und Einleitung rechtlicher Schritte beim Europäischen Gerichtshof und Europäischen Gerichtshof für Menschenrechte gegen Großbritannien wegen der Verletzung der Europäischen Grundrechtecharta und der Europäischen Menschenrechtskonvention durch Tempora,

>> Einleitung und Durchführung von strafrechtlichen Ermittlungen gegen die Verantwortlichen für Prism und Tempora,

>> Einreiseerlaubnis für Edward Snowden mit dem Angebot des Schutzes vor politischer Verfolgung.

Mittelfristiges Ziel der Politik muss es sein, ein „Grundrecht auf Datenschutz“ im Sinne eines Rechts auf informationelle Selbstbestimmung zumindest in der westlichen Welt, perspektivisch aber weltweit, zu etablieren. Dies muss durch verbindliche überprüfbare völkerrechtliche Sicherungen flankiert werden.

Thilo Weichert, Leiter des ULD, sagte: „Nicht nur vielen US-Amerikanern und Briten, sondern auch vielen Menschen in Deutschland und sonst in Europa ist offensichtlich noch nicht klar, was die anlasslose potenzielle Vollüberwachung des Internet bedeutet. Das Internet ist das Rückgrat unserer globalen Informationsgesellschaft. Die Überwachung kombiniert mit den bestehenden Speicherungs- und Analysemöglichkeiten von Big Data sind eine neue Bedrohung für unsere bürgerlichen Freiheitsrechte, für unsere Demokratien und für unsere Rechtsstaatlichkeit. Die Enthüllungen zu Prism und Tempora können und müssen insofern der Startpunkt für einen transatlantischen Lernprozess und für die Realisierung von Transparenz und digitalen Grundrechten sein.“

Eine begründende Stellungnahme zu „Prism, Tempora, Snowden: Analysen und Perspektiven“ von Thilo Weichert finden Sie unter
http://www.vocer.org/de/artikel/do/detail/id/496/prism-tempora-snowden-analysen-und-perspektiven.html

Eine Analyse der Big-Data-Anwendung Prism aus Datenschutzsicht finden Sie unter
https://www.datenschutzzentrum.de/bigdata/20130709-bigdata-und-prism.html
(ULD: ra)

Compliance und der steigende Bedarf an Sicherheit

Die wachsenden Anforderungen an die Einhaltung gesetzlicher Vorschriften erschwert es Unternehmen zunehmend die erforderlichen Sicherheitsabläufe ihre täglichen Prozesse zu integrieren. Dies kann zu negativen Prüfungsergebnissen und Datenmissbrauchsfällen führen, die ihrerseits kostspielige Maßnahmen zur Schadenseindämmung bis hin zur Zahlung von Strafgeldern zur Folge haben können.

Compliance kostet

Bereits für das Jahr 2010 wurden die durchschnittlichen Unternehmenskosten für einen Datenmissbrauchsfall auf etwa 7,2 Millionen USD ermittelt.

Die gesetzlich verankerte Notwendigkeit zur Einhaltung von Compliance-Anforderungen hat zusammen mit spezifischen Strafzahlungen für die Nichteinhaltung dieser Vorschriften dazu geführt, dass ein Großteil der gesamten Sicherheitsausgaben allein für die Einhaltung der Compliances aufgewendet wird. Wobei es außer Frage steht, dass Compliance-Ausgaben der Gewährleistung des wirtschaftlichen Erfolgs eines Unternehmens und der Vermeidung möglicher Schäden am Markenimage dienen.

Wenig zielführend ist es jedoch, wenn der Fokus eines Unternehmens jedoch nicht auf die Vermeidung bzw. Reduzierung von Sicherheitsrisiken, sondern auf die Minimierung von Kostenaufwendungen gerichtet ist. Jedes Unternehmen muss sicherstellen, dass seine Sicherheitsausgaben mit einer angemessenen Risikotoleranz und den Geschäftszielen des Unternehmens gegen einander abgestimmt ist.

Das vorrangige Ziel eines Unternehmens darf es nicht sein, eine mögliche Prüfung oder Auditierung positiv hinter sich bringen zu wollen. Es wäre nicht nur ein Spiel mit dem Feuer. Selbst die Erfüllung der präskriptiven PCI-DSS-Anforderungen, stellt beispielsweise nur einen grundlegenden Sicherheitsstandard dar und sichert das Unternehmen nicht vor Datenmissbrauch. Ein weltweit agierender Identitätsdiebstahlring hatte zum Beispiel US-amerikanische Unternehmen trotz Einhaltung der PCI-Anforderungen angreifen und millionenfach Kreditkartendaten abgreifen können.

Regulierungsbehörden haben auf die steigenden Anforderungen reagiert und die Benachrichtigung über Missbrauchsfälle angeordnet und umfassende Kontrollen mit strengeren Geldstrafen für die Nichteinhaltung der Vorschriften eingeführt haben.

Die Einführung eines nachhaltigen Compliance-Programms stellt die Unternehmen jedoch vor grundsätzliche Herausforderungen. Der Spagat zwischen der Umsetzung von IT-Security-Anforderungen und Absicherung finanzrechtlicher Risiken und der Entscheidung für eine nachhaltige Absicherung durch ein Informationssicherheitsmanagementsystem (ISMS) – zum Beispiel in Anlehnung an ISO 27001 ff – fällt häufig nicht leicht.

Wandel der Sicherheitsbedrohungen

Bedrohungen gehen längst nicht mehr hauptsächlich von einzelnen Freizeit-Hackern aus. International organisierte, gewinnorientierte Profigruppen, beauftragt von internationalen Organisationen, von Gruppen aus dem Bereich des organisierten Verbrechens und sogar von Regierungen erwirtschaften Milliarden mit Identitätsdiebstahl und Datenklau. Angesichts dieser Unterstützung überrascht es wenig, dass Datenmissbrauch durch immer ausgefeiltere Technologien ermöglicht und oftmals auch durch Unternehmensangehörige unterstützt wird: Stichwort „Social Engineering“.

Dauerhafte Minimierung von Risiken

Basis eines jeden nachhaltigen Sicherheits- und Compliance-Programms ist ein, auf das Geschäftsmodell abgestimmtes Framework, mit dem alle branchenspezifischen und gesetzlichen Auflagen abgedeckt und gleichzeitig die zugrunde liegenden Sicherheitsrisiken minimiert werden können.

Die Abstimmung mit den Geschäftsprozessen ist dabei von entscheidender Bedeutung, um sicherzustellen, dass der Fokus auf unternehmensrelevante Risiken begrenzt wird.

Der Sicherheitsbeauftragte

Durch die zunehmende Beachtung der Bedeutung von IT-Sicherheit und Compliance sowie der damit einhergehenden beträchtlichen Kosten ist die Rolle des Sicherheitsbeauftragten im Wandel begriffen. CISOs (Corporate Information Security Officer) unterstehen zunehmend dem CEO oder CFO, statt innerhalb des IT-Bereichs zu operieren. Aus einem vor kurzem veröffentlichten Forrester-Bericht geht hervor, dass 54 Prozent der Unternehmen einen Chief Information Security Officer haben, der direkt einem leitenden Manager unterstellt ist und 42 Prozent einen CISO haben, der einer Person außerhalb der IT-Abteilung unterstellt ist. Der CISO wird zunehmend Zugriff und Einfluss auf die Art und Weise der geschäftlichen Entscheidungsfindung haben. In einem aktuellen CSO Online-Artikel bestätigt Eric Cowperthwaite, CSO von Providence Health & Services mit Sitz in Seattle, USA, diesen Trend:

„Der CSO/CISO ist zu einem dauerhaften Bestandteil der Gruppe von Personen geworden, die am runden Tisch sitzen und darüber entscheiden, wie das Unternehmen seinen Geschäften nachgeht. Der CSO steht an der Spitze der Sicherheit des Unternehmens. Seine Funktion wird mittlerweile als absolut notwendig erachtet und ist schon lange kein reines Lippenbekenntnis mehr, um sich Auditoren vom Hals zu halten. Meiner Ansicht nach ist dies eine bedeutende Veränderung.“

Durch eine Abstimmung mit den Geschäftsanforderungen kann der Sicherheitsfokus früher in neue Initiativen einbezogen werden. Dadurch können Sicherheitsteams die Risikominimierung früher in die Planungsphase einbringen anstatt nachträglich kostenintensive Behebungsmaßnahmen hinzuzufügen, durch die neue Geschäftsinitiativen verlangsamt oder gehemmt werden.

Ein nachhaltiges Compliance-Programm muss die Vielzahl der gesetzlichen und branchenspezifischen Bestimmungen, mit denen ein Unternehmen konfrontiert ist, effektiv bewältigen und problemlos an neue und sich wandelnde Bestimmungen anpassbar sein. Viele Unternehmen haben ihren Ansatz weiterentwickelt und verfügen nun über ein zentrales Team, um die Sicherheits- und Compliance-Kontrollen zu koordinieren.

Die Straffung der Compliance-Aktivitäten zu einem allgemeinen Framework ist kein einfaches Unterfangen. Sicherheits- und Compliance-Teams können aus mehreren Gruppen innerhalb eines Unternehmens/Konzerns bestehen, wodurch organisatorische und geografische Grenzen überschritten werden.

Ein effektiver Ansatz besteht darin, das Sicherheitsrisiko eines Unternehmens zu minimieren und Compliance sozusagen als Nebenprodukt zu ermöglichen. Bei Heartland kann man diesen Ansatz nun nachvollziehen, wie aus dem aktuellen Kommentar von Kris Herrin, CTO von Heartland hervorgeht: „Einer der wichtigsten Punkte für uns besteht darin, sicherzustellen, dass Sicherheitskontrollen nachhaltig sind und so ausgeführt werden, dass die Kontrolle für uns auch zukunftsfähig ist […]

Es geht einfach nicht, dass wir einfach in einem Quartal etwas einführen, nur weil es sinnvoll scheint, und dann ein Jahr später erkennen, dass dadurch die Risiken nicht wie gehofft minimiert werden. “

Um ihre Sicherheit sowohl kurz- als auch langfristig zu verbessern, müssen Unternehmen sicherstellen, dass die passenden Kontrollen und Tools für das jeweilige Sicherheitsrisiko definiert werden und in ein umfassendes Risikominimierungsprogramm passen, das die Implementierung, Stellenbesetzung und Sicherheitsprozessplanung festlegt und mit der Risikotoleranz und den Geschäftszielen des Unternehmens abgestimmt wird.

Dementsprechend lässt sich nachhaltige Compliance am besten dadurch erzielen, dass der Schwerpunkt auf eine Verbesserung der Gesamtsicherheitssituation des Unternehmens gelegt wird.

Permanente Änderung der Bedrohungen

Ein nachhaltiges Sicherheits- und Compliance-System muss so strukturiert sein, dass es an geänderte Geschäftsprozesse, neue Compliance-Bestimmungen, weiter entwickelte IT-Systeme und sich permanent ändernde Bedrohungen angepasst werden kann. Hierzu zählen Veränderungen bei der Art der Angriffe und neue Risiken, die mit sich ändernden Technologien und sich weiter entwickelnden Geschäftsmodellen verbunden sind.

Der Rüstungswettbewerb

Das Wesen der Angriffe hat sich im „Rüstungswettbewerb“ zwischen IT-Verantwortlichen und Hackern stetig weiter entwickelt. Die Kenntnisse der IT-Mitarbeiter haben sich in Richtung Sicherheit orientiert und der Einsatz dedizierter Sicherheitswerkzeuge nimmt zu. Aber auch Hacker arbeiten zunehmend professioneller und organisierter. Sie werben Talente an, investieren in Forschung und Entwicklung und erstellen neue, ausgereiftere Tools. 85 Prozent der Angriffe sind mittlerweile auf finanziell gut ausgestattete Organisationen, einschließlich des organisierten Verbrechens und Regierungen, zurückzuführen.

Die Betriebskosteneinsparungen durch Nutzung von Virtualisierungs- und Cloud-Services haben jedoch dazu geführt, dass in einigen Unternehmen die Einführung dieser Services das Verständnis der damit verbundenen Risiken bereits überholt hat und die Sicherheitsteams nunmehr versuchen, wieder aufzuholen.

Viele Sicherheitsverstöße werden jedoch nicht externen Angreifern verübt, sondern von finanziell oder politisch motivierten Insidern. Laut Data Breach Investigations Report 2010 wurden 27 Prozent der Sicherheitsverstöße ausschließlich durch interne Komplizen verübt.

In dynamischen Unternehmensumgebungen wächst das Risiko von Benutzeraktivitäten, die zu einem Sicherheitsverstoß beitragen. Aus demselben Verizon-Bericht geht hervor, dass 90 Prozent der internen Aktivitäten, die einem Sicherheitsverstoß zugeordnet werden konnten, durch vorsätzliches Handeln, 6 Prozent durch zweckwidriges Handeln und 4 Prozent durch unbeabsichtigtes Handeln erfolgt sind.

Ein größeres Einzelhandelsunternehmen in den USA hat vor kurzem einen Ausfall hinnehmen müssen, als ein neuer Administrator Veränderungen an den Gruppenrichtlinien für Active Directory außerhalb des Änderungskontrollprozesses vorgenommen hat. Als er bemerkte, dass er einen Ausfall verursacht hatte, versuchte der Administrator, seine Spuren zu verwischen. Seine Handlungen führten direkt dazu, dass der Produktversand mehrere Tage zum Erliegen kam, während man versuchte, den Betrieb wiederherzustellen. Diese Aktivität war zwar nicht mutwillig, aber dennoch unangemessen, und hatte beträchtliche negative Auswirkungen.

Risiken lassen sich durch relativ einfache Kontrollen erheblich mindern. Ein Beispiel für solche Kontrolle wäre eine Richtlinie, die sicherzustellt, dass die Konten von Mitarbeitern, die das Unternehmen verlassen, schnell deaktiviert werden, dass gemeinsam genutzte administrative Konten vermieden werden und dass die Aktivität privilegierter Benutzer, seien es Administratoren oder Endbenutzer, überwacht wird.

Der erste Schritt besteht darin, den erforderlichen Mindestzugriff zu gewährleisten. Der zweite Schritt besteht in Überwachung der Nutzung der Berechtigungen.

Insider und Verantwortung

Jeder, der direkt oder indirekt vertrauliche Informationen oder die Systeme und Anwendungen verwaltet, auf denen diese gehostet werden, ist zu den Insidern zu zählen. Demnach können Insider auch Mitarbeiter von Partnern und Anbietern von Managed Services, Hosting- oder Cloud-Lösungen sein.

Unternehmen müssen erkennen, dass das Outsourcen nicht auch die Verantwortlichkeit auslagert. Der Schwerpunkt von Verhandlungen wird zunehmend darauf gelegt, spezifische Kontrollen zu verhandeln und unabhängige Sicherheitsaudits zu verlangen. Dienstleister sind angehalten nachhaltige Sicherheitsprozesse und routinemäßige Audits in ihre Serviceangebote einzubauen, um wettbewerbsfähig zu bleiben.

Vor der Unterzeichnung eines Vertrags ist es von entscheidender Bedeutung, entsprechende risikobeschränkende Service-Level-Agreements, erforderliche Kontrollen und Auditberechtigungen festzulegen und diese in das Vertragsdokument aufzunehmen.

Fazit

Ein Compliance-System, das Ihre Compliance-, Sicherheits- und Geschäftsziele umfassend umsetzt, ist heute so wichtig wie nie zuvor. Die Aufgabe, sich überschneidende und ständig weiterentwickelnde gesetzliche und branchenspezifische Auflagen zu erfüllen, ist komplex.

Der Fokus muss auf der Risikoverwaltung in Abstimmung mit der Risikotoleranz und den Geschäftszielen des Unternehmens liegen.

Daneben sind IT-Abteilungen mit einer zunehmenden Vielfalt von Bedrohungen konfrontiert. Durch neue Technologien wie Outsourcing und Cloud-Computing werden die Netzwerkgrenzen immer fließender. Finanziell oder politisch motivierte Angriffe durch technisch versierte organisierte Gruppen oder böswillige Insider veranlassen Unternehmen so schnell wie möglich ein ausgereiftes Sicherheitssystem zu entwickeln. Das in der Lage ist, angemessene Sicherheitskontrollen für ihre kritischen Daten und Infrastrukturen zu entwickeln, zu implementieren und zu überwachen.

Nur ein integrierter, nachhaltiger Compliance-Ansatz basierend auf vernünftigen Sicherheitsprinzipien ist effektiv, nachhaltig und skalierbar und ermöglicht es Ihnen, Ihre Compliance-Ziele zu erreichen sowie die Gesamtsicherheit Ihres Unternehmens zu verbessern.

Verträge für Cloud Lösungen

Anpassung von Cloud-Lösungen an Unternehmensbedürfnisse
Zwar sieht Cloud Computing “out of the box” grundsätzlich keine Anpassung von Services an individuelle Unternehmensbedürfnisse vor, andererseits ergibt die Nutzung eines vollständig standardisierten Services in der Praxis auch keinen Sinn. Die Folge: Häufig werden Cloud-Dienstleistungen an die Anforderungen der Auftraggeber angepasst. Beispielsweise können Services mit großem Funktionsumfang durch Setzen von Parametern auf das gewünschte Maß reduziert werden oder nicht benötigte Module werden separiert. Dies zeigt sich zum Beispiel bei cloud-basierten Webservices, die es in einer kostenfreien “Light-Version” und einer kostenpflichtigen Variante mit größerem Funktionsumfang gibt. Der Umfang eine Anpassung ist in der Praxis allerdings meist nur sehr gering. Daher muss vorab geprüft werden, ob eine Anpassung im erforderlichen Maß möglich ist und welche zusätzlichen Kosten hierdurch entstehen. Denn von den eigentlichen Kostenvorteilen des Cloud-Computings profitiert nur, wer keine gravierenden Änderungen vornimmt.
Neben der Kostenregelung für die Anpassung von Services ist bei der Vertragsgestaltung vor allem auf eine sorgfältige Leistungsbeschreibung zu achten. Hier gilt wie bei allen IT-Services: Nur anhand der Leistungsbeschreibung kann festgestellt werden, ob der Vertrag erfüllt wurde beziehungsweise ob eine Nicht- oder Schlechtleistung vorliegt und welches Gewährleistungsrecht greift. Schließlich muss der Vertrag genaue Regelungen zur Beschaffenheit der Hard- und Software des Unternehmens sowie zu den Schnittstellen zwischen Cloud-Anbieter und Cloud-Nutzer und der Übergabe der Leistungen enthalten, damit sichergestellt ist, dass die Services in das System des Unternehmens integrierbar sind.

Gewährleistung der Sicherheit von Unternehmensdaten
Unternehmen, die ihre Daten “aus der Hand geben” und in der Cloud speichern, wollen “Herr ihrer Daten” bleiben und permanent auf sie zugreifen können. Um sich gegen Datenverlust effektiv vertraglich abzusichern, sollte der Cloud-Nutzer im Vertrag festlegen, welche Daten der Anbieter wie und in welchen Abständen sichern soll und ob beziehungsweise wann Sicherungen gelöscht werden können. Erfolgt die Sicherung durch Online-Backups in der Cloud, muss eine permanente Verfügbarkeit des Services “Datenspeicherung” gewährleistet sein. Nutzt ein Unternehmen mehrere Clouds, bietet sich die mehrfache Speicherung der Daten in verschiedenen Wolken an, sogenannte Multi-Cloud-Lösung. Beachtenswert dabei: Die alternativen Cloud-Dienste sollten von unterschiedlichen Anbietern zu Verfügung gestellt werden. Bei Ausfall einer Cloud muss sofort auf einen alternativen Cloud-Service zurückgegriffen werden können. Die Steuerung und Überwachung mehrerer Clouds lässt sich über sogenanntes End-to-End Monitoring oder Cloud Service Management umsetzen. Besonders sensible Daten sollten zusätzlich durch das Unternehmen selbst regelmäßig gesichert werden, ein hybrider Lösungsansatz. Durch die zusätzliche lokale Sicherung im unternehmenseigenem System, bleibt der Datenzugriff auch bei unterbrochener Internetverbindung erhalten. Ferner macht sich das Unternehmen unabhängiger vom Anbieter.
Für den Fall, dass dennoch Daten verloren gehen, muss der Vertrag ein Konzept für die Datenwiederherstellung enthalten, das regelt, wie bei Datenverlusten zu verfahren ist. Dabei sollte die Dauer des maximalen Systemausfalls, der Zeitraum vom Schadenseintritt bis zur Einspielung der Backups in ein lauffähiges System, das heißt der vollständigen Datenwiederherstellung, bestimmt werden. Zudem muss sich das Unternehmen überlegen, ob und in welchem Umfang er Datenverluste hinnehmen kann. Hierzu wird der Zeitraum zwischen den einzelnen Datensicherungen genau bestimmt. Die Daten und Transaktionen zwischen den Sicherungsintervallen stellen die maximale Datenverlustmenge dar. Schließlich sind die Kosten der Datenwiederherstellung und die Haftung für die mittelbar durch den (vorrübergehenden) Datenverlust entstandenen Schäden zu regeln. Bietet der Anbieter Services zur Datenwiederherstellung, hier spricht man von Desaster Recovery-as-a-Service, in der Cloud an, sollte das Unternehmen genau prüfen, ob der angebotene Service für sein Unternehmen den ausreichenden Schutz bietet und gegebenenfalls zusätzliche Vereinbarungen treffen.

Regelung desr Personenbezugs der Daten
In der Cloud werden häufig auch personenbezogene Daten verarbeitet und gespeichert. Dabei handelt es sich um eine sog. Auftragsdatenverarbeitung, bei der der Cloud-Anbieter die Daten des Cloud-Nutzers in dessen rechtlicher Risiko- und Verantwortungssphäre verarbeitet und speichert. Bei der Vertragsgestaltung ist auf die Einhaltung der datenschutzrechtlichen Vorgaben zu achten.
Nach dem BDSG müssen die Parteien den Vertrag über die Auftragsdatenverarbeitung in schriftlicher Form schließen. Neben Regelungen zur Berichtigung, Löschung und Sperrung von Daten sowie dem Einräumen von Kontrollrechten zugunsten des Unternehmens, muss geklärt werden, ob der Anbieter zur Erfüllung seiner vertraglichen Pflichten Dritte unterbeauftragen darf. Da das Unternehmen auch in diesem Verhältnis verantwortlich bleibt, sollte eine Unterbeauftragung vertraglich ausgeschlossen oder von der Zustimmung des Unternehmens abhängig gemacht werden. Ferner muss das Unternehmen weisungsberechtigt sein, so dass der Anbieter nur weisungsgebunden verfahren darf.

Non Disclosure Agreements
Gerade sensible Daten, die in der Cloud verarbeitet und gespeichert werden, müssen vor Kenntnisnahme durch Unbefugte geschützt werden. Geheimhaltungsabreden sind daher sinnvoll.
Bereits bei der Projektplanung im Vorfeld zum Vertragsschluss können Daten an Unbefugte gelangen. Da der gesetzliche Schutz oft unzureichend ist, sollten die Parteien bereits für diese Phase eine Geheimhaltungsvereinbarung schließen. Wird im Anschluss ein Vertrag für Cloud-Services geschlossen, sind die Abreden entsprechend anzupassen und zu erweitern. Wer sich im Vertrag auf frühere Vereinbarungen innerhalb der Projektplanungsphase bezieht, muss aufpassen, da sie sich häufig nur auf die Vertragsanbahnungsphase, nicht auf die Vertragslaufzeit beziehen. Bei Vertragsschluss muss zudem für den Fall der Beendigung der Vertragsbeziehungen festgelegt werden, dass die Absprachen über das Vertragsende hinaus gelten sollen.
Diese Absprachen noch zusätzlich mit Vertragsstrafen abzusichern, macht ebenfalls Sinn, da der Geschädigte bei Preisgabe von Informationen den verursachten Schaden kaum nachweisen kann. Bedient sich der Anbieter Dritter zur Erfüllung seiner Pflichten, ist der Anbieter zu verpflichten, auch den Subunternehmern die Geheimhaltungspflichten aufzuerlegen.

Beendigung des Vertrags
Bei Vertragsende befinden sich die Unternehmensdaten auf dem System des Anbieters. Im Exit Management ist daher festzulegen, wie mit den in der Cloud gespeicherten Daten bei Vertragsende umzugehen ist. Es muss geregelt werden, ob die Daten zurückgegeben oder gar vernichtet werden sollen, der Übermittlungsweg sowie auch das Dateiformat.
Für den Fall, dass das Unternehmen seine Daten nicht abholt, muss dem Anbieter ein einseitiges Löschungsrecht zustehen. Andernfalls ist es rechtlich nicht klar, ob der Anbieter die Daten ohne weitere Vergütung weiter sichern muss. Darüber hinaus muss er sämtliche Unternehmensdaten, die noch auf seinen Systemen sind, löschen. Das geht nicht einfach per Knopfdruck, da durch Betätigung der Löschtaste die Daten nicht endgültig entfernt werden. Gut beraten ist, wer sich im Vertrag ein qualifiziertes Löschungsverfahren mit technischer Beschreibung der Vorgehensweise zulegt. Damit wird der Anbieter verpflichtet, Unternehmensdaten zu überschreiben und mit zufällig erzeugten Daten aus seinem System endgültig zu entfernen.