Microsoft StorSimple im Kontext Datenschutz und Datensicherheit

Standard

Warum die EU vor ein paar Monaten eine der wichigsten Entscheidungen überhaupt getroffen hat? Wissen Sie was GDPR für Ihr Unternehmen bedeutet? SafeHarbor, GDPR, Datenschutz, Auftragsdatenverarbeitung, Datensicherheit u. v. m. sind alle wichtige Themen in Bezug auf den Zweck der StorSimple. „Das Speichern und Verarbeiten von Daten in einer hybriden Cloud Umgebung“. Ich möchte in diesem Beitrag auf die Anforderungen an den Datenschutz und die Datensicherheit eingehen und aufzeigen, wie Microsoft diese Anforderungen für die StorSimple erfüllt hat.

Begriffdefinitionen

Zuerst möchte ich für das Attribut hybrid im Kontext der Cloud eine Definition vorschlagen. Ich erhebe nicht den Anspruch einer erschöpfende Beschreibung. Obgleich ist sie für das Verständnis dieses Beitrages wichtig.

Grundsätzlich lassen sich Cloud-Services in zwei Kategorien einteilen. Eine Private-Cloud besteht hauptsächlich aus Komponenten, die exklusiv für einen Zweck an einem bestimmten Ort genutzt werden können. Diese Exklusivität ist u. a. eine Voraussetzung für Anwendungen mit hoher Kritikalität. Hohe Anforderungen an die Verfügbarkeit, Datenschutz oder technischer Historie erfordern oftmals individuelle Lösungen. Sollten Anwendungen mit einer hohen Kritikalität ausfallen, so ist mit einem hohen Schaden (Kosten, Image, etc.) zu rechnen.

Eine Public-Cloud hingegen besteht aus gemeinsam genutzten Komponenten. Das Zusammenwirken dahinter ist auf Effizienz getrimmt. Die Komponenten, die hinter einer Public-Cloud stehen, sind hoch standardisiert und automatisiert. Sie bieten oftmals nicht die Möglichkeiten auf die technische Historie einer Anwendung angepasst zu werden. Was meine ich mit der technischen Historie? Eine Anwendung ist oftmals vor vielen Jahren entwickelt worden und wird über die Jahre hinweg weiterentwickelt. Die verwendeten Technologien sind dabei dann oft in die Jahre gekommen, sind nach wie vor aber sehr wichtig. Werden nun Überlegungen angestellt, dieses System weiterzuentwickeln so ist die technische Historie oftmals das größte Hindernis (hohe Kosten, hohes Risiko, keine Schnittstellen, etc.) neue Technologien einzuführen.

Was ist unter hybrid zu verstehen?

Es ist schlicht die Nutzung von Komponenten aus beiden (private und public) Welten. Hybrid war im übrigen bereits eine große Anzahl von Anwendung seit Beginn der IT. Jedes Email-System nutzt bspw. zunächst eigene (private) Server zur Erzeugung einer Mail. Die Übertragung erfolgt aber in jedem Fall über gemeinsam (public) genutzte Komponenten (Internet). Das System ist also per Definition hybrid. Bei Einführung einer neuen Technologie sollte dieser Aspekt demnach Beachtung finden.

Was ist Auftragsdatenverarbeitung und was sind personenbezogene Daten?

Personenbezogene Daten sind Daten, die es ermöglichen einen Bezug zu einer natürlichen Person herzustellen. Dies ist z. B. der Name oder eine Email-Adresse. Die natürliche Person muss die Speicherung dieser Daten von einem Unternehmen ausdrücklich zustimmen. Auch die Weitergabe dieser Daten muss diese natürliche Person zustimmen.

In vielen Fälle ist die Zustimmung aller natürlichen Personen ab nicht möglich. Dies ist oft dann der Fall bspw., wenn es Dienstleistungssektor viele Unterauftragsnehmerbeziehung existieren. Für diesen Fall gibt es vom Gesetzgeber die Möglichkeit sog. Auftragsdatenverabeitungsvereinbarungen zwischen den Dienstleistern abzuschließen, die dann eine Weitergabe von personenbezogenen Daten auch ohne die Zustimmung der natürlichen Personen ermöglichen.

Hinweis: Dies ist keine rechtliche Beratung.

Was sind die Anforderungen an eine hybride Cloud-Lösung und wie ist die Herangehensweise?

Die Compliance-Anforderungen, die ein Unternehmen im eigenen Rechenzentrum erfüllt, müssen bei der Nutzung einer hybriden Cloud ebenfalls erfüllt werden. Die hybride Cloud ist wie oben erwähnt eine verlängerte Werkbank. Das Unternehmen welche die Werkbankverlängerung anbietet muss also auch alle diese Anforderungen erfüllen.

Es muss also zunächst herausgefunden werden welche Anforderungen bestehen. Dies muss analysiert werden und sollte strukturiert erfolgen. Es ist sicher nicht zielführend und u. U. nicht leistbar die gesamte IT-Landschaft auf einmal zu betrachten. Also muss im Vorwege einer Strukturierung eine Bewertung erfolgen. Dabei sollten Anwendungen und Daten einer Betrachtung nach vorher festgelegten Kriterien unterzogen werden.

Die Anforderungen eines jeden Unternehmens in Bezug auf Compliancy, Datenschutz und IT-Sicherheit füllen also demnach den Kriterien-Katalog nachdem die IT-Landschaft bewertet werden sollte. Folgende Anforderungen könnten beispielhaft Eingang in den Kriterienkatalog finden:

  • Verarbeitung von Personenbezogenen Daten?
  • Verarbeitung von buchführungsrelevanten Daten?
    • Ist sichergestellt, dass die Daten nicht ausschließlich in der Cloud liegen? Wenn ja, liegt eine Genehmigung vom Finanzamt vor?
  • Verarbeitet die Anwendung Daten, die revisionssicher abgelegt werden?
  • Verarbeitung von Geschäftsgeheimnissen? Datenklassifizierung?
  • Sonstige branchenspezifische Erfordernisse
  • Nachweispflicht gegenüber Auftraggebern vorhanden?

Hinweis: Dies ist ein kleiner Auszug aus möglichen datenschutzrelevanten Kriterien. Der Kriterienkatalog erweitert sich möglicherweise, wenn bspw. datensichereits- oder andere anwendungsrelevante (Kritikalität, Skalierbarkeit, …) Kriterien einbezogen werden sollen.

Mit Sicherheit gelten aber u. a. die folgenden gesetzlichen Vorgaben und sind somit automatisch Teil dieses Kriterienkataloges.

  • Compliancy
    •  Datenschutz
      • Auftragsdatenverarbeitung
      • Personenbezogene Daten
    • Datensicherheit/IT-Sicherheit
      • ISO 27000 Reihe
    • Revisionssicherheit

Welchen Ansatz verfolgt Microsoft mit Azure StorSimple?

Da sich Azure StorSimple nur hybrid betreiben lässt sind alle Anforderungen an die Datenverarbeitung (wie oben beschrieben) zu erfüllen. Der Zweck der StorSimple ist es das Datenmanagement effizienter zu machen indem es alte und nicht mehr im Zugriff befindliche Daten automatisch nach Azure auslagert. Diese Daten werden auf dem System selbst mit AES verschlüsselt und mit dem Https-Protokoll nach Azure transportiert. Der Schlüssel zur Verschlüsselung der Transportdaten wird lokal am Gerät über die serielle Schnittstelle vergeben. Damit ist gewährleistet, dass zu keiner Zeit weder der Transport noch die Ablage der Daten kommpromitiert werden können.

Dies hat aber dann die Folge, dass die Management-Oberfläche der Azure StorSimple entsprechend abgesichert werden muss. Ein nachlässiger Umgang mit den Zugriffsberechtigungen auf Azure kann Folgen haben. Die Zugangsdaten werden einfach per Mail weitergegeben. Oder an einen externen Dienstleister übermittelt. Dies ist Angrifffläche, die sich nicht aus der Technologie ergibt sonder aus dem Wirken von Menschen. Dafür bietet Azure im Bereich Benutzermanagement die Multifaktor-Authentifizierung an, um den Zugriff auf das Azure-Portal (http://portal.azure.com) möglichst sicher zu gestalten.

Zudem werden die abgelegten Daten mit einem Schlüssel per AES verschlüsselt. Selbst Microsoft ist bei Verlust des Schlüssels nicht mehr in der Lage (und Willens) die Daten zu entschlüsseln. Das heißt die Daten sind zunächst verloren, sofern kein Backup gemacht wurde. Auch hier gilt, der Mensch ist hier verantwortlich.

Mit Backups ist es aber so eine Sache. Die Backups können erstellt werden und ggf. für andere Zwecke wiederverwendet werden. So ist es in IT-Abteilungen Gang und Gäbe, dass Backup-Bänder mal über Nacht auf dem Schreibtisch liegen gelassen werden. Die Anwendugn und die Infrastruktur sind hervorragend abgesichert und es wurden die besten Produkte zur Datensicherheit implementiert. Ein nachlässiger Umgang mit den Backup macht diesen Aufwand aber schnell wieder zunichte. Dies nennen wir allgemein Faktor-Mensch.

Fazit

Die Technologie Azure StorSimple ist so gut wie wasserdicht. Dies ist Technologie im Allgemeinen immer. Aber der Umgang damit muss wasserdicht gemacht werden. Meist sind es andere Faktoren, die dazu führen, dass Daten verloren oder abhanden kommen.

Quellen

# Link
1 http://download.microsoft.com/download/6/9/A/69A81B3A-E111-4797-AD31-02671D501D87/StorSimple_Security_Brief.pdf
2 https://en.wikipedia.org/wiki/General_Data_Protection_Regulation
3 https://de.wikipedia.org/wiki/ISO/IEC_27000-Reihe
4 http://www.springer.com/de/book/9783662458310
5 http://www.tcilaw.de/downloads/EuGH_Safe_Harbor_20151007_v1.pdf
6 download.microsoft.com/download/F/5/2/F52703A0…/Cloud_Compendium.pdf
7 http://www.heise.de/newsticker/meldung/Urteil-Microsoft-muss-Daten-aus-EU-Rechenzentrum-nicht-der-US-Regierung-uebergeben-3268104.html