Datenhoheit - was heisst das?

Daten sind das Gold des 21. Jahrhunderts und verdienen entsprechenden Schutz – besonders in der Cloud eine grosse Herausforderung. Wie Schweizer Unternehmen dieses Gold schützen können und welche Pflichten es einzuhalten gilt.

Artikel erschienen in Swiss IT Magazine 2022/06

     

Datenhoheit – der Duden kennt dieses Wort nicht. «Daten» und «Hoheit» hingegen schon: Daten = elektronisch gespeicherte Zeichen, Angaben, Informationen; Hoheit = oberste Staatsgewalt, Souveränität (eines Staates).

Soweit so klar. Datenhoheit heisst demnach, dass man die höchste Gewalt über seine eigenen Daten hat. Kann das überhaupt mit der Cloud vereinbar sein? Welche Eigenschaften müssen Daten haben, damit man die höchste Gewalt darüber behält?


- Daten müssen (zeitnah) verfügbar sein.
- Daten müssen vor fremden Zugriffen geschützt sein.
- Daten müssen vor ungewollten Manipulationen (integer) geschützt sein.

Verfügbarkeit von Daten und deren Messbarkeit

Höchste Gewalt über die eigenen Daten hat man nur dann, wenn man auch über sie verfügen kann. Per strenger Definition bezeichnet der Begriff Verfügbarkeit die Wahrscheinlichkeit oder das Mass, in der ein technisches System bestimmte Anforderungen zu einem bestimmten Zeitpunkt oder in einem vereinbarten Zeitrahmen erfüllt. Doch wie misst man Verfügbarkeit? Die Formel ist denkbar einfach:

Verfügbarkeit = (Gesamtzeit - Gesamtausfallzeit)/Gesamtzeit


Beispiel: Ein Jahr hat 8760 Stunden. Wenn ein Server innerhalb eines Jahres einmalig 4 Stunden ausfällt, dann beträgt die Ausfallzeit 0,045 Prozent ((8760-4)/8760). Die Verfügbarkeit demnach 99,95 Prozent.

Alle Cloud-Anbieter messen die eigenen Verfügbarkeiten und weisen diese normalerweise auch aus. Als Kunde sollte man beim jeweiligen Anbieter nachfragen, was er konkret unter verfügbar versteht. Wann gilt ein System als verfügbar? Oft wird dies anhand von Antwortzeiten definiert.


Daten vor fremden Zugriffen schützen / End-to-end Encryption

Die höchste Stufe des Schutzes von Daten vor fremden Zugriffen erreicht man über Ende-zu-Ende Verschlüsselung (E2E-Encryption). Dabei werden Daten auf Clientseite ver- und entschlüsselt, bevor sie zum Server gesendet werden. Das hat den Vorteil, dass der Anbieter die Daten technisch überhaupt nicht entschlüsseln kann. Der Nachteil von E2E-­Encryption ist jedoch auch, dass der Anbieter nicht helfen kann, wenn man seinen privaten Schlüssel verloren hat. Man zahlt den Preis der Datenhoheit somit mit mehr Eigenverantwortung.

Manipulationsschutz der Daten

Daten sollten jeweils nur den Personen zugänglich sein, die auch darauf Zugriff benötigen. Dies wird in Microsoft-basierten Umgebungen meist über NTFS-Berechtigungen definiert. Bei Berechtigungen unterscheidet man zwischen Vollzugriff, Schreibrechten (inkl. ändern & löschen) und Leserechten. Eine saubere Berechtigungsstruktur sollte immer zusammen mit dem Anbieter definiert werden, da dies einen essenziellen Bestandteil jedes IT-Sicherheitskonzeptes darstellt.

End-to-End-Verschlüsselung im Detail
Unter Ende-zu-Ende-Verschlüsselung versteht man die Verschlüsselung übertragener Daten über alle Übertragungsstationen hinweg. Nur die Kommunikationspartner (die jeweiligen Endpunkte der Kommunikation) können die Nachricht entschlüsseln.

Bei Verwendung einer symmetrischen Verschlüsselung darf der Schlüssel zur Sicherstellung der Ende-zu-Ende-Verschlüsselung nur den End-Kommunikationspartnern bekannt sein. Bei Verwendung einer asymmetrischen Verschlüsselung muss sichergestellt sein, dass der geheime Schlüssel (Private Key) ausschliesslich im Besitz des Empfängers ist.

Die zu übertragenden Daten werden auf Senderseite verschlüsselt und erst beim Empfänger wieder entschlüsselt. Dadurch können Seitenkanalinformationen, wie sie zum Beispiel teils zur Steuerung des Übertragungsprozesses anfallen, nicht mit verschlüsselt werden, andererseits werden mitwissende Zwischenstationen, an denen die übertragenen Inhalte im Klartext vorliegen, eliminiert. Ende-zu-Ende-Verschlüsselung garantiert daher einen Komplettschutz der übertragenden Datenpakete und erfüllt drei wichtige Ziele der Verschlüsselung im Internet: Vertraulichkeit, Authentizität und Integrität. Die Ende-zu-Ende-Verschlüsselung verhindert das Abhören der Nachricht durch alle anderen, inklusive der Telekommunikationsanbieter, Internetprovider und sogar den Anbieter der genutzten Kommunikationsdienste.

Schweizer Rechtssicherheit sorgt für Stabilität und Vertrauen

Ein zentraler Vorteil von Schweizer Cloud Anbietern ist die Rechtssicherheit in der Schweiz. Gesetze werden in der Schweiz durch einen demokratischen Prozess erstellt. Diese Art der Gesetzgebung bietet der lokalen Wirtschaft eine grosse Sicherheit und Stabilität.

Doch wie wirkt sich dieser Vorteil in der Realität aus? Dies zeigt sich etwa an einem Beispiel aus den USA vom 5. August 2019. Donald Trump war damals der Präsident der USA. Per Dekret (Executive Order 13884) hat Trump Transaktionen zwischen amerikanischen Unternehmen und Individuen in Venezuela verboten. Infolgedessen hat Adobe seine Dienste mit Kunden in Venezuela eingestellt und Zugriffe auf die Cloud-Angebote eingestellt.


Dieser Fall zeigt erbarmungslos auf, wie abhängig amerikanische Unternehmen und damit auch US-Cloud-Anbieter und deren Kunden von einzelnen politischen Entscheidungsträgern sind. Die erlassenen Executive Orders sind per sofort rechtskräftig und solange gültig, bis diese von einem Gericht für ungültig erklärt werden.

Schweizer Rechenzentrum = Schweizer Rechtssicherheit?

Ist der Kunde auf der sicheren Seite, wenn seine Daten in einem Schweizer Rechenzentrum gespeichert sind? Der Standort des Rechenzentrums ist nur die halbe Miete. Wichtig ist auch der Firmensitz des Anbieters. Dazu ein Zitat aus dem Bericht zum US Cloud Act des Eidgenössischen Justiz- und Polizeidepartements EJPD vom 17. September 2021:

«Der Cloud Act verpflichtet die CSP (Cloud Service Provider) mit Sitz in den USA, welche ausserhalb der USA Datenspeicherzentren führen, die Daten, die sich auf ihren Servern befinden, aufzubewahren und den zuständigen US-Strafverfolgungsbehörden auf Ersuchen herauszugeben. Dies unabhängig davon, ob die Daten in den USA oder im Ausland gespeichert sind.» Bei kritischen Daten sollte also stets darauf geachtet werden, dass sich sowohl der Standort des Rechenzentrums wie auch der Hauptsitz des Cloud Anbieters in der Schweiz befindet.


Auch die Autoren des Berichts vom EJPD schlagen bei ihrer Schlussfolgerung in die gleiche Kerbe: «Auch mit Blick auf die Vereinbarkeit mit den Prinzipien des Rechtshilferechts wirft der Cloud Act also grosse Fragen auf und scheint schwer mit dem übergeordneten schweizerischen Recht vereinbar zu sein.»

Schweizer Cloud Anbieter, die amerikanische Software in ihrer Lieferkette haben, können damit in ein Abhängigkeitsproblem geraten. Ähnliches geschah dem chinesischen Smartphone-­Anbieter Huawei, nachdem Donald Trump am 15. Mai 2019 eine Executive Order (13873) erlassen hatte. Die Order besagt, dass die US-Regierung im Sinne der Nationalen Sicherheit Geschäfte zwischen US-Unternehmen und gegnerischen Staaten unterbinden darf. Kurz darauf durfte Google nicht mehr mit Huawei zusammenarbeiten und Huawei verlor dadurch den Zugriff auf das Betriebssystem Android mit all seinen Funktionen, das bis dahin als Basis für die hergestellten Mobiltelefone diente. Huawei seinerseits musste sich kurzfristig umorientieren und veröffentlichte noch im August 2019 die erste Version seines eigenen Betriebssystems HarmonyOS.

Diese zwei Beispiele zeigen auf, wie wichtig die Schweizer Rechtssicherheit für lokale Unternehmen und Kunden sein kann und wie gefährlich die auf den ersten Blick teilweise nur schwer sichtbaren Abhängigkeiten sein können. Um in den vollen Genuss der Schweizer Rechtssicherheit zu kommen, sollten also sowohl Rechenzentrum wie auch der Hauptsitz des Cloud-Anbieters in der Schweiz sein und der Anbieter sollte sein Angebot auch selbst entwickeln und betreiben. Ein reiner Wiederverkäufer eines ausländischen Cloud-Angebots kann diesen Vorteil nicht bieten.
Was ist eine Executive Order?
Eine Executive Order (zu Deutsch Durchführungsverordnung) ist ein Dekret durch den Präsidenten der Vereinigten Staaten oder einen Gouverneur eines US-Bundesstaates. Die Executive Orders bleiben so lange in Kraft, solange sie nicht durch einen amtierenden Präsidenten (bzw. Gouverneur) abgeändert oder zurückgenommen oder von Gerichten für ungültig erklärt werden; auch gegen die Rücknahme sind Rechtsmittel möglich und waren in Einzelfällen erfolgreich.

Schutz vor Überwachung

Seit den Leaks von Edward Snowden im Jahr 2013 weiss die ganze Welt, dass die USA und England in grossem Umfang die Telekommunikation und insbesondere das Internet global und verdachtsunabhängig überwachen. Bei dem im Leak bekannt gewordenen Überwachungsprogramm PRISM der US-Regierung sind gemäss den veröffentlichten Unterlagen grosse amerikanische Provider, darunter Microsoft, Google, Facebook, Yahoo und Apple involviert. Verschiedene US-Politiker und IT-Sicherheitsexperten haben die verdachtsunabhängigen Überwachungsmassnahmen als illegal und verfassungswidrig
bezeichnet.

Das PRISM Überwachungsprogramm
Das Überwachungsprogramm PRISM wurde 2005 von der NSA eingeführt und war als Top Secret sprich streng geheim eingestuft. Zweck des Programms ist die umfassende digitale Überwachung von Personen innerhalb und ausserhalb der USA. Das Überwachungsprogramm wurde im Sommer 2013 durch den Whistleblower Edward Snowden aufgedeckt, der die Daten dem britischen Guardian und der Washington Post zugespielt hat.

China als Retter in der Not?

Die chinesische Regierung hat per 1. November 2021 ein neues Gesetz erlassen, welches regelt, wie sensible personenbezogene Daten wie biometrische, medizinische und gesundheitliche Daten, Finanzkonten und Aufenthaltsorte verarbeitet werden. Zudem müssen personenbezogene Daten sparsam gesammelt werden und die Verarbeitung muss einen angemessenen Zweck erfüllen.

Das sieht soweit gut aus, jedoch zielt die chinesische Gesetzgebung einzig auf private Unternehmen ab. Der Zugriff von staatlichen Stellen auf Kundendaten bleibt davon unberührt. Der chinesische Staat darf aufgrund des nationalen Sicherheitsgesetzes jederzeit personenbezogene Daten abrufen und diese von Unternehmen einfordern.

Datenschutz-Grundverordnung DSGVO

Die Datenschutz-Grundverordnung (DSGVO) gilt seit Mai 2018 für Unternehmen innerhalb und ausserhalb der EU, sofern diese Unternehmen Angebote an Bürger in der EU richten oder Daten von EU-Bürgern verarbeiten. Ein Auszug der wichtigsten Punkte zur DSGVO im kurzen Überblick:

- Datenverarbeitung muss rechtmässig sein
Die Daten müssen auf rechtmässige Weise, nach Treu und Glauben und in einer für die betroffene Person nachvollziehbaren Weise verarbeitet werden.


- Betroffene Personen dürfen Auskunft verlangen
Die von der Datenverarbeitung betroffenen Personen haben ein Auskunftsrecht. Sie haben das Recht auf diese Daten zuzugreifen und ein Recht auf Berichtigung und Einschränkung der Datenverarbeitung. Auch ein Recht auf Löschung der Daten ist gegeben (Recht auf Vergessen).

- Datenschutzfreundliche Technologien müssen eingesetzt werden
Die erhobenen Daten müssen nach aktuellem Stand der Technik gesichert sein und es muss sichergestellt werden, dass nur die Daten erhoben werden, welche für den Verarbeitungszweck erforderlich sind.

- Datenschutzpannen müssen gemeldet werden
Bei Cyberangriffen oder sonstigem Datendiebstahl muss die Aufsichtsbehörde innert 72 Stunden informiert werden. Auch die Betroffenen sind unverzüglich zu informieren.

Das neue Schweizer Datenschutzgesetz (revDSG)

Voraussichtlich zum 1. September 2023 tritt das neue Schweizer Datenschutzgesetz (revDSG) in Kraft. Dieses Gesetz soll den betroffenen Personen mehr Selbstbestimmung und mehr Transparenz über die Bearbeitung von personenbezogen Daten geben.

Inhaltlich orientiert sich das neue Datenschutzgesetz an den Vorgaben der DSGVO, hat teils aber weniger spezifische Regelungen als die DSGVO. Firmen, die sich bereits DSGVO-kompatibel aufgestellt haben, sind auch für das revDSG gut
vorbereitet.


Das neue revDSG sieht im Schadenfall Bussgelder bis 250’000 Franken vor. Im Unterschied zur DSGVO richten sich die Sanktionen jedoch nicht gegen die fehlbaren Unternehmen, sondern gegen die natürliche Person, die den Datenschutz in ihrer Verantwortung hat (meist der Geschäftsführer oder Verwaltungsrat).

Wichtige Pflichten für Unternehmen im neuen DSG
- Datenschutzfreundliche Voreinstellungen standardmässig (per default)
- Führen eines Verzeichnisses der Datenbearbeitungstätigkeiten
- Informationspflicht bei Datenerhebung
- Meldepflicht bei Datensicherheitsverletzungen an den EDÖB
- Nennung der Staaten bei Transfer von Kundendaten ins Ausland
- Informationspflicht bei automatisierten Einzelentscheidungen, also beispielsweise bei Entscheidungen über eine Person durch KI ohne menschliche Kontrolle.

Fazit

Die Datenhoheit zu gewährleisten ist die Aufgabe des Anbieters. Die Datenhoheit sicherzustellen ist jedoch die Aufgabe des Kunden. Etwas Hilfe bekommt man dabei von Datenschutzgesetzen. Doch was muss man als Kunde konkret beachten, damit die Datenhoheit für ein Schweizer KMU bestmöglich gewährleistet wird? Nachfolgend die wichtigsten Hinweise:

- Fragen Sie den Anbieter nach deren garantierten Verfügbarkeiten. Er muss auch definieren, was «verfügbar» konkret heisst und welche Massnahmen in Kraft treten, wenn die Verfügbarkeiten nicht erreicht werden.


- Sind die Daten beim Anbieter Ende-zu-Ende verschlüsselt? Falls nein, gibt es eine Geheimhaltungsvereinbarung? Welche Massnahmen trifft der Anbieter für den Schutz Ihrer Daten?

- Stellen Sie sicher, dass nur die Personen Zugriff auf die Daten haben, die explizit Zugriff darauf benötigen. Prüfen Sie, ob das Berechtigungskonzept korrekt dokumentiert ist.

- Wo befinden sich die Rechenzentren des Anbieters?

- In welchem Land befindet sich der Hauptsitz des Anbieters? Welchem Datenschutzgesetz untersteht der Anbieter?

- Fragen Sie auch nach bestehenden Abhängigkeiten (Software, Lieferanten) seitens des Anbieters. Ist das Know-how intern vorhanden oder sind auch da Abhängigkeiten (zum Ausland) vorhanden?

Der Autor

Daniel Goldinger ist als CTO beim Cloud-Spezialisten Siranga verantwortlich für die technische Umsetzung der Cloud-Infrastruktur. Seit über 20 Jahren ist er als System Engineering und IT-Sicherheitsexperte im Cloud-Umfeld tätig.


Artikel kommentieren
Kommentare werden vor der Freischaltung durch die Redaktion geprüft.

Anti-Spam-Frage: Vor wem mussten die sieben Geisslein aufpassen?
GOLD SPONSOREN
SPONSOREN & PARTNER