Ob Edward Snowden ein Held oder ein Verräter ist, ist Ansichtssage. Fest steht, dass seine Enthüllungen die Datensicherheit im Internet wieder zum brisanten Thema macht. Dass die USA mit ihrem Programm PRISM eine umfassende Überwachung der digitalen Kommunikation von Personen innerhalb und ausserhalb der USA betreiben sorgte weltweit für helle Aufregung. Die US-Nachrichtendienste können so live auf die Kommunikationen und gespeicherte Informationen bei beteiligten Internetkonzernen zuzugreifen. In England werden mittels der britischen Geheimdienstoperation Tempora der gesamte Datenverkehr, der über das transatlantische Glasfasernetz nach Grossbritannien hineinfliesst oder das Land verlässt, ausgespäht.

Überwacht werden E-Mails, Einträge in sozialen Netzwerken, persönliche Informationen von Internetnutzern sowie Telefongespräche. Auch hierzulande lässt das heutige Bundesgesetz die Überwachungen des Fernmelde- und Internetverkehrs (BÜPF) zu, wenn der Verdacht auf bestimmte Straftaten vorliegt. Derzeit ist dieses Gesetz in Revision und wird zusammen mit dem neuen Nachrichtendienstgesetz (NDG) im Parlament diskutiert. Insbesondere mit dem NDG werden ähnliche Vorhaben wie bei PRISM – welche eine systematische Analyse des Internetverkehrs ermöglichen – gesetzlich legitimiert. Gemäss dem Entwurf des BÜPF soll der persönliche Anwendungsbereich gegenüber heute weiter ausgedehnt werden.

So sind nicht mehr nur Telefonie- und Internetüberwachungen bei den Internet und Fernmeldedienstanbietern möglich, sondern bei folgenden vier Kategorien von Anbietern:

  1. Anbieter von Fernmeldediensten inkl. Internetzugangsanbieter. Damit sind die Anbieter des physikalischen Anschlusses gemeint.
  2. Neu: Anbieter von Diensten, die sich auf Fernmeldedienste stützen und Anbieter abgeleiteter Kommunikationsdienste. Gemäss Botschaft sind damit E-Mails, Foren, Chaträume, Onlinespeicher und auch Hosting- und Cloud-Provider gemeint. Es wird davon ausgegangen, dass anstatt 50 neu bis 200 Firmen/Organisationen davon betroffen sein werden, vornehmlich KMU.
  3. Neu: Betreiber von internen Fernmeldenetzen. Dieser Begriff ersetzt die «Hauszentrale» aus dem geltenden BÜPF. Es sind also nicht mehr nur die Telefonie gemeint, sondern explizit auch private Computernetzwerke.
  4. Neu: Personen, die ihren Zugang zu einem öffentlichen Fernmeldenetz Dritten zur Verfügung stellen. Dies betrifft Bibliotheken, Hotels und Spitäler, aber auch Privatpersonen, die ihren WLAN-Zugang Dritten zur Verfügung stellen.

Der Entwurf des NDG sieht vor, dass der Nachrichtendienst des Bundes (NDB) zur Erfüllung seiner Aufgaben Informationen aus öffentlich und nicht öffentlich zugänglichen Informationsquellen beschafft. Er bedient sich dazu genehmigungsfreier und genehmigungspflichtiger Beschaffungsmassnahmen. Er kann gemäss definiertem Katalog Personendaten beschaffen, ohne dass dies für die betroffenen Personen erkennbar ist. Der NDB kann Informationen über eine Organisation oder Personen beschaffen, wenn Anhaltspunkte vorliegen, dass diese nachrichtendienstlich oder gewalttätig-extremistische Tätigkeiten vorbereiten oder durchführen. Bei einer konkreten Bedrohung oder wenn die bisherigen Abklärungen erfolglos waren, kann der NDB zusätzlich eine genehmigungspflichtige Beschaffungsmassnahme anordnen, die durch das Bundesverwaltungsgericht und dem Chef VBS bewilligt werden muss.

Auswirkungen von BÜPF, NDG und PRISM

a. Auf Anbieter und Betreiber

Die Fernmeldedienstanbieter in der Schweiz und die Internetzugangsanbieter müssen für die aktive Überwachungspflicht entsprechende Technik vorhalten, Personal ausbilden und rund um die Uhr Überwachungsanordnungen ausführen können. Zusätzlich müssen sie die Vorratsdatenspeicherung für 6 Monate bzw. gemäss Entwurf für 12 Monate aufbewahren. Dasselbe gilt für die Anbieter abgeleiteter Kommunikationsdienste, die Dienstleistungen von grosser wirtschaftlicher Bedeutung oder für eine grosse Anzahl Nutzer anbieten. Alle anderen müssen eine Überwachung dulden. Zu diesem Zweck müssen sie unverzüglich Zugang zu ihren Anlagen gewähren, die für die Überwachung notwendigen Auskünfte erteilen und die ihnen zur Verfügung stehenden Randdaten des Fernmeldeverkehrs der überwachten Person liefern.

b. Auf Unternehmen

Unternehmen wie auch Privatpersonen können künftig davon ausgehen, dass die Kommunikation über Telefonie und Internet, bei Vorliegen eines strafrechtlichen Verdachtes, ganz oder teilweise permanent überwacht wird. Dies gilt auch, wenn Unternehmen mit Kunden und Mitarbeitern über das Internet inkl. WLAN Daten austauschen. Mit nachrichtendienstlichen Aktivitäten und Wirtschaftsspionage ist auch in der Schweiz zu rechnen. Mit sogenannten Bundes-Trojanern bzw. GovWare können auch auf Firmen-interne Informatiknetzwerke zugegriffen werden. Dies hat zur Folge, dass sich Unternehmen stärker mit den Gesetzen, der Datensicherheit und Compliance auseinander setzen müssen. Möchte ein Unternehmen das Internet z.B. für einen Remote-Zugriff eines Lieferanten nutzen, BYOD (Bring your one Device) für seine Mitarbeiter oder Web-Services für ihre Geschäftstätigkeiten einführen, so hat dies u.a. folgende Konsequenzen:

  • Für die Kommunikation müssen Daten verschlüsselt werden.
  • Bei der Verschlüsselungstechnologie muss eine schweizerische Lösung verwendet werden.
  • Die Datenablage sollte möglichst verschlüsselt erfolgen.
  • Bei der Integration des Internets im Datacenter wird eine DMZ (Demilitarized Zone) benötigt mit doppelten Firewalls,
  • Intrusion Detection, Spam-Filter, Viren- und Malware-Scanning etc.
  • Ein Sicherheitsdispositiv und Management (IT Governance) muss etabliert werden

Grundsätzlich sind in einem Sicherheitsdispositiv und Sicherheitsmanagement immer die drei Ebenen physische, logische und organisatorische Sicherheit zu betrachten, egal ob bei den Endgeräten oder im (virtuellen) Rechenzentrum. Bietet ein Unternehmen seinen Kunden einen WLAN- oder Hotspot-Zugriff an muss es nach dem sich in Revision befindende BÜPF künftig Verkehrsranddaten für 12 Monate speichern und bei einem kriminellen Verdacht den entsprechenden Behörden zur Verfügung stellen. Die Internetwirtschaft und die damit begleitenden Entwicklungen führen in Unternehmen dazu, dass der Einsatz der Informatik immer mehr zu einer Unternehmensfrage in Bezug auf Innovation, Compliance, Risiko- und Sicherheitsmanagement wird. Bei der Umsetzung solcher IT-Vorhaben steigen somit die Investitionen und Betriebskosten erheblich, was zu einem erhöhten Druck auf die Frage Make or Buy führt.

Cloud-Risiken im Zusammenhang mit NSA/PRISM bzw. BÜPF/NDG

Viele derzeit im Zusammenhang mit Cloud-Computing genannten Risiken, sind sogenannte «Ohne-hin-Risiken», welche auch auftreten, wenn eine Inhouse-Lösung eingesetzt wird. Im Zusammenhang mit NSA, BÜPF und NDG kommt allerdings ein neues Risiko hinzu, nämlich der abhörbare Transport über das Internet und die rechtliche Möglichkeit des Zugriffes beim Cloud-Service-Anbieter. Letzteres wäre auch beim Unternehmen durch die hiesigen Gesetzesvertreter direkt möglich, weshalb es diesbezüglich zu den Ohne-hin-Risiken zählen dürfte. Das einzige zusätzliche Risiko in der Cloud ist das Abgreifen von Daten durch fremde Staaten oder bei der Wirtschaftsspionage. Die Sicherheit der Daten im Rechenzentrum eines Cloud-Anbieters ist – im Vergleich zur Datenaufbewahrung Inhouse bei einem KMU – höher. Darum schützt ein Dienst bei einem Cloud Anbieter i.d.R. – bei sorgfältiger Auswahl desselben – mehr als bei einer Inhouse-Lösung. Wird ein Cloud-Anbieter im Inland oder im EU-Raum gewählt, kann verhindert werden, dass Staaten ausserhalb der entsprechenden Jurisdiktion auf Daten zugreifen können (unter Vorbehalt der Spionage), sofern es sich nicht um ein amerikanisch beherrschtes Unternehmen handelt. Verbleiben tut also das Risiko des Transportes über das Internet. Wird der Verkehr über das Internet verschlüsselt, so ist auch dieses Risiko beseitigt oder zumindest minimiert.

Cloud Computing entwickelt sich weiter

Mit der Entstehung von Cloud-Services veränderten sich sowohl das Anwenderverhalten als auch die Geschäftstätigkeit der IT-Anbieter massiv. Bei den Unternehmen als Anwender bekommt die Sourcing-Frage eine viel grössere Bedeutung, denn sie möchten die Cloud-Services wie ein Konsumgut über das Internet nutzen. Unternehmen wollen alle ihre Anforderungen in Bezug auf rechtliche und regulatorischen Aspekte, Risiko- und Sicherheitsfragen, Compliance, Flexibilität etc. abdecken können, gleichzeitig ihre Kosten senken und effizienter werden. Auf der andern Seite sind die IT-Anbieter gefordert, sich zum Cloud-Service-Provider zu «transformieren» und neue Cloud-Services-Angebote für entsprechende Zielmärkte/Marktsegnete zu entwickeln, was zu hohen Investitionen führt. Entlang der rechtlichen Ausgangslage besteht für Cloud-Service-Provider eine hohe Herausforderung darin, den neuen gesetzlichen Anforderungen zu genügen und dies auch ihren Kunden transparent zu kommunizieren.

Weltweite und europäische Cloud-Entwicklungen sind im Gange. Die von der Europäischen Kommission geplante europäische Cloud-Strategie im Rahmen der European Cloud Partnership nimmt aufgrund des eng gesteckten Zeitrahmens zusehends Gestalt an. Durch intensive Mitarbeit bringt EuroCloud die Anliegen seiner Mitglieder ein. Um einen vertrauenswürdigen Anbieter zu finden, bietet der Verband der Cloud-Computing-Wirtschaft mit dem EuroCloud Star Audit (www.saasaudit.de) eine wichtige Entscheidungshilfe. Unabhängige Auditoren prüfen dabei Cloud-Services Anbieter unter anderem in den Bereichen Vertrag und Compliance, Sicherheit, Betrieb und Infrastruktur. Die Zertifizierung verschafft Überblick über alle an der Erbringung beteiligten Unternehmen und darüber, wo die Daten wie verarbeitet und gespeichert werden. EuroCloud Swiss, der schweizerische Verband für Cloud Computing ist Teil der europäischen Organisation. Die Aufgaben des Verbandes bestehen darin, entstandene Standards und Lösungs Zertifizierungen auf die landesspezifischen Anforderungen zu überprüfen und anzupassen. Damit werden die Ziele verfolgt, die Servicequalität und die Transparenz zu fördern und eine Brücke zu schlagen zwischen den Cloud-Anwendern und Cloud-Service-Providern.

Vorteile und Verantwortung für Unternehmen

Obwohl jedes Unternehmen seine individuelle Ausgangslage hat, kann der Einsatz von Cloud-Services in Unternehmen, bei einem seriösen Vorgehen und der richtigen Auswahl des Cloud-Service-Providers viele Vorteile und Nutzen bringen. Umfangreiche Geschäftsanwendungen (z.B. CRM-, ERP-Systeme etc.), Entwicklungsumgebungen oder Infrastruktur-Services können ganz einfach, ohne Investitionen über das Internet genutzt werden und sind immer auf dem aktuellen Stand. Der Zugang zu IT-Dienstleistungen wird für Unternehmungen vereinfacht. Auch die Menge der benötigten IT-Dienstleistung kann innert kürzester Zeit dem Bedarf angepasst werden. Weitere Vorteile und Nutzen kommen hinzu, indem neue Ansprüche an IT-Leistungen auf Grund der Einführung von neuen Produkten oder Anpassungen an die Marktverhältnisse schneller berücksichtigt werden können. Weitere Vorteile und Nutzen haben Unternehmen somit auch:

  • Bei der Prozess-Effizienz und der schnelleren Produktentwicklung
  • Bei der Kosten-Effizienz durch On Demand Kosten (keine Investitionen, nur Nutzungskosten nach Bedarf)
  • Dadurch dass Services immer auf dem aktuellen Stand sind, ohne aufwendige Folgeprojekte
  • Durch Bessere Kunden- und Lieferanteneinbindung
  • Durch mobile Lösungen für Mitarbeiter, Kunden und Lieferanten
  • Durch den Einsatz von Social Media-Tools, innovativen Marketing-Tools
  • Durch den Einsatz von neuen mobilen Geräten (BYOD, Bring your one Device)
  • Durch Ressourcen optimieren und Wirtschaftlichkeit
  • Durch Bedarfsreduktion von teuren technischen Skills
  • Durch Business-Mobilität in Bezug auf Standort und Arbeitsplatz
  • Durch Business-Flexibilität etc.

Der Einsatz von Cloud-Services in einem Unternehmen verhält sich wie eine Weiterentwicklung des bekannten, bewährten und etablierten Outsourcings. Nach wie vor trägt das Unternehmen die gesetzliche und regulatorische Verantwortung, welche es gegebenenfalls auf den Cloud-Anbieter abwälzen kann. Dabei muss sich jedes Unternehmen Klarheit schaffen über seine:

  • Gesetzlichen und regulatorischen Anforderungen
  • Risiken und das Risikomanagement
  • Sicherheitsanforderungen und das Sicherheitsmanagement
  • Service, funktionalen, allenfalls auch technischen Anforderungen an die Cloud-Services (diese sind unterschiedlich je nach IaaS, PaaS oder SaaS Services)

Unternehmen sollten sich bei der Entwicklung ihrer Cloud-Strategie und der Evaluation von Cloud-Services beraten lassen und sachlich genau prüfen, welcher Anbieter ihre Anforderungen erfüllt. Allein die Wahl eines nationalen Anbieters garantiert noch lange nicht, dass die Daten innerhalb der Schweiz verarbeitet werden, denn die Transparenz ist eines der wichtigsten Kriterien.

Neue Anforderungen für Cloud Computing

Unternehmen als Anwender, die innovativ sein und wettbewerbsfähig bleiben wollen, kommen an Cloud-Services nicht mehr vorbei. Cloud Computing ist nicht mehr eine Frage der IT, sondern eine strategische Frage, angesiedelt bei der Unternehmensleitung. Mit einem professionellen Vorgehen sowie der richtige Auswahl des Cloud-Service-Providers, kann ein Unternehmen nur profitieren. IT-Anbieter sind gefordert sich im Cloud-Business neu zu positionieren. Wird ein IT-Anbieter zum Cloud-Service-Provider, erfordert dies eine Transformation seines Geschäftsmodells mit neuen Service-Angeboten was mit Investitionen verbunden ist. Treten die neuen Anforderungen gemäss jetzigem Stand der Gesetzesrevisionen BÜPF und NDG in Kraft, so entstehen zusätzliche Anforderungen an Cloud-Service-Anbieter.

Kurz erklärt: Verkehrsranddaten

Diese Daten werden bei der Nutzung elektronischer Geräte in Form von Logfiles aufgezeichnet und dokumentieren beispielsweise welcher Telefonanschluss benutzt wurde, welcher E-Mail-Absender oder welche IP-Adresse wann, wie lange und mit wem kommuniziert oder wie und wann elektronische Geräte genutzt wurden. In Randdaten lassen sich auch Abläufe in Anwendungen, in Datenbanken und Servern herauslesen.

Der gesamte Fachartikel sowie weitere Publikationen von EuroCloud Swiss sind zu finden unter:

http://www.eurocloudswiss.ch/index.php/publikationen/oeffentliche-publikationen

EuroCloudSwiss

Die Autoren:

>>  Heinz Dill, CBusiness Services GmbH
>>  Nicole Beranek Zanon, lic. iur. EMBA HSG, de la cruze beranek Rechtsanwälte AG
>>  Prof. Dr. Stella Gatziu Grivas, Competence Center Cloud Computing FHNW