DSGVO: Forderungen an die Sicherheit der Verarbeitung (2)[Gesponsert]

Belastbarkeit am Beispiel der Open Telekom Cloud

| Autor: Oliver Schonschek

Belastbarkeit als Teil des Datenschutzes.
Belastbarkeit als Teil des Datenschutzes. (Bild: © vladimircaribb - stock.adobe.com)

Die Datenschutz-Grundverordnung (DSGVO / GDPR) fordert unter anderem die Fähigkeit, die Belastbarkeit der Systeme und Dienste im Zusammenhang mit der Verarbeitung auf Dauer sicherzustellen. Auch Cloud-Dienste müssen ausreichend belastbar sein, selbst dann, wenn es zu einer DDoS-Attacke kommt.

Die Datenschutz-Grundverordnung (DSGVO / GDPR) hat einige Neuerungen im Gepäck, Anforderungen, die es so in expliziter Form nicht oder sogar überhaupt nicht im Bundesdatenschutzgesetz (BDSG) gab. Den Begriff „Belastbarkeit“ sucht man im BDSG vergeblich. Daraus kann man zwar nicht ableiten, dass Belastbarkeit bisher im Datenschutz keine Rolle gespielt hat, aber Belastbarkeit wurde nicht speziell hervorgehoben.

Mit der DSGVO wird dies anders, dort findet man die Belastbarkeit der Systeme und Dienste als Teil der Sicherheit der Verarbeitung personenbezogener Daten (Artikel 32 DSGVO). Offensichtlich will die DSGVO die Bedeutung der Belastbarkeit unterstreichen, aus gutem Grund: Eine unzureichende Belastbarkeit führt dazu, dass weitere Schutzziele des Datenschutzes in Gefahr geraten, darunter zu allererst die Verfügbarkeit der Daten, aber auch die Integrität der Daten kann unter mangelnder Belastbarkeit der Systeme und Dienste leiden.

Belastbarkeit von Clouds

Da Unternehmen in Deutschland zunehmend auf Cloud Computing setzen, bedeutet die Forderung nach der Belastbarkeit der Systeme und Dienste zur Verarbeitung personenbezogener Daten entsprechend, dass die von den Unternehmen genutzten Cloud-Services belastbar sein müssen. Zum Grad der Belastbarkeit macht die DSGVO zwar keine Angabe, aber es muss sich ein angemessenes Schutzniveau ergeben.

Die Angemessenheit wiederum hängt nach DSGVO von diesen Faktoren ab: Stand der Technik, die Implementierungskosten und die Art, der Umfang, die Umstände und die Zwecke der Verarbeitung sowie die unterschiedliche Eintrittswahrscheinlichkeit und Schwere des Risikos für die Rechte und Freiheiten natürlicher Personen.

Zu berücksichtigen sind laut DSGVO insbesondere die Risiken, die mit der Verarbeitung verbunden sind, durch - ob unbeabsichtigt oder unrechtmäßig - Vernichtung, Verlust, Veränderung oder unbefugte Offenlegung von personenbezogenen Daten beziehungsweise unbefugten Zugang zu personenbezogenen Daten, die übermittelt, gespeichert oder auf andere Weise verarbeitet wurden.

Harte Probe für die Belastbarkeit: DDoS-Attacken auf Clouds

Besondere Risiken für die Belastbarkeit stellen Angriffe dar, die das IT-System oder im speziellen die Cloud-Services überlasten wollen. Solche Überlastungsversuche sind die DDoS-Attacken (Distributed-Denial-of-Service Attacken). Gelingt zum Beispiel die Überlastung durch das massenhafte Aufrufen eines Cloud-Dienstes, den ein Unternehmen für seine Kunden betreibt, kann es dadurch dazu kommen, dass die personenbezogenen Daten des Kunden-Portals nicht mehr zugänglich oder verfügbar sind.

Deshalb sind Unternehmen als Cloud-Nutzer gefordert zu prüfen, wie die Sicherheit des Cloud-Dienstes und damit auch die Belastbarkeit des Cloud-Service gewährleistet wird. Entsprechende Vorgaben für den Cloud-Nutzer enthält Artikel 28 DSGVO (Auftragsverarbeitung). Gleichzeitig ist der Cloud-Betreiber gefragt, ein geeignetes Sicherheitskonzept zu implementieren. Wenn Unternehmen also einen Cloud-Dienst suchen, sollten sie alleine schon aus Compliance-Gründen (Datenschutz-Grundverordnung) auf Maßnahmen achten, die die angemessene Belastbarkeit der jeweiligen Cloud sicherstellen.

Das leistet der DDoS-Schutz in der Open Telekom Cloud

Im Fall der Open Telekom Cloud stellt sich der Schutz gegen Überlastung so dar:

  • Zusätzlich zu den Hardware-Schutzfunktionen in den Telekom-Rechenzentren bietet die Open Telekom Cloud noch eine kostenlose, zusätzliche, software-basierte Sicherheitsfunktion, die DDoS-Angriffe automatisch erkennt und die Services der Nutzer auf der Open Telekom Cloud (beispielsweise Webshops) automatisch schützt. Anti-DDoS überprüft die eingehenden Zugriffe auf die Services und erkennt Überlastungsangriffe automatisch.
  • Mit dem integrierten Anti-DDoS-Service können die Nutzer Abwehrparameter für Bandbreiten unterhalb von 2 Gigabits/Sekunde definieren und so ungenutzte Ports für die Umleitung der Attacken verwenden.
  • Für Angriffe oberhalb von 2 Gigabits/Sekunde stehen Drittanbieter-Lösungen bereit, die die Nutzer als sogenanntes „Black Hole“ nutzen können. In diesem wird der ungewünschte Datenverkehr und damit die Überlastungsattacke ohne weitergehende Information für den Angreifer entsorgt.

Bis zu einer gewissen Belastungsgrenze (2 Gigabits/Sekunde) ist der Anti-DDoS-Schutz in der Open Telekom Cloud somit bereits integriert, für höhere Belastungen können Lösungen von Drittanbietern eingesetzt werden, um die Belastbarkeit der Cloud zu gewährleisten.

copyright

Dieser Beitrag ist urheberrechtlich geschützt. Sie wollen ihn für Ihre Zwecke verwenden? Infos finden Sie unter www.mycontentfactory.de (ID: 45105323 / DSGVO - Datenschutz Grundverordnung)