DSGVO: Forderungen an die Sicherheit der Verarbeitung (5)[Gesponsert]

Cloud-Auditierung am Beispiel Open Telekom Cloud

| Autor: Oliver Schonschek

Cloud Trace in der Open Telekom Cloud ist ein Monitoring-Werkzeug zur Aufzeichnung von Nutzerzugriffen auf bestimmte Ressourcen.
Cloud Trace in der Open Telekom Cloud ist ein Monitoring-Werkzeug zur Aufzeichnung von Nutzerzugriffen auf bestimmte Ressourcen. (Bild: gemeinfrei (geralt / pixabay) / CC0)

Zur Einhaltung der Datenschutz-Grundverordnung (DSGVO / GDPR) ist nicht nur Transparenz über die Datenhaltung und Datenverarbeitung notwendig, sondern auch über die Datenzugriffe. Die Funktion Cloud-Trace hilft bei dieser Auditierung der Zugriffe in der Open Telekom Cloud.

Wer die Datenschutz-Grundverordnung (DSGVO / GDPR) zuverlässig und umfassend erfüllen will, kommt um die genaue Kenntnis des neuen Datenschutzrechts, das ab 25. Mai 2018 anzuwenden ist, nicht herum. Doch vieles lässt sich aus den Grundsätzen der Verarbeitung personenbezogener Daten (Artikel 5 DSGVO) ableiten. Zu diesen Grundsätzen gehören:

  • Rechtmäßigkeit, Verarbeitung nach Treu und Glauben, Transparenz
  • Zweckbindung
  • Datenminimierung
  • Richtigkeit
  • Speicherbegrenzung
  • Integrität und Vertraulichkeit

Nicht zuletzt gehört aber auch die Rechenschaftspflicht dazu: Der Verantwortliche ist für die Einhaltung der oben genannten Grundsätze verantwortlich und muss die Einhaltung nachweisen können. Für diese Nachweisbarkeit ist eine Auditierung der Verarbeitung personenbezogener Daten erforderlich. Die verantwortliche Stelle im Unternehmen muss also insbesondere wissen, wer wie zu welchem Zweck wo wann welche Daten verarbeitet, gespeichert bzw. genutzt hat. Das gilt auch bei der zunehmend beliebten Nutzung von Cloud Computing.

Durch die Auditierung der Verarbeitung und der Zugriffe kann zum Beispiel nachgewiesen werden, ob die Zweckbindung eingehalten wurde (Protokollierung der Art der Verarbeitung), ob die Daten nur mit entsprechender Berechtigung verarbeitet wurden (Protokollierung der zugreifenden Nutzer) und wer auf die Daten zugegriffen hat, um sie zu verändern (Protokollierung der Änderungen, Kontrolle der Integrität).

► Mehr zur Open Telekom Cloud

Sicherheit der Verarbeitung muss nachvollziehbar sein

Im Bereich der Sicherheit der Verarbeitung gilt ebenso, dass die ergriffenen Maßnahmen zum Schutz der personenbezogenen Daten auditiert werden müssen. Dies fordert explizit der Artikel 32 DSGVO. Dort findet man die Vorgabe, dass es ein Verfahren geben soll zur regelmäßigen Überprüfung, Bewertung und Evaluierung der Wirksamkeit der technischen und organisatorischen Maßnahmen zur Gewährleistung der Sicherheit der Verarbeitung.

Zu der Sicherheit der Verarbeitung gehört es, dass unberechtigte Zugriffe auf die personenbezogenen Daten verhindert werden, um unbefugte oder unrechtmäßige Verarbeitung, Verlust, Zerstörung oder Schädigung auszuschließen. Ein entsprechendes Berechtigungsmanagement muss nicht nur aufsetzt und betrieben werden, es muss auch auf Korrektheit und Wirksamkeit hin überprüft werden. Deshalb gehört zu der Auditierung der Verarbeitung personenbezogener Daten auch die regelmäßige Kontrolle der Zugriffe.

Findet die Datenverarbeitung in der Cloud statt, müssen also die Zugriffe auf die Cloud-Dienste und die Daten in der Cloud überprüft und überwacht werden. Nicht nur die Datenhaltung in der gesamten IT und damit auch in den genutzten Cloud-Diensten muss transparent für das Unternehmen sein, auch die Zugriffe auf IT-Ressourcen und Daten im Unternehmen und in der Cloud müssen es sein.

Cloud-Auditierung in der Open Telekom Cloud

Wie ein solches Audit der Zugriffe auf Ressourcen und Daten aussehen kann, zeigt die Open Telekom Cloud mit der Funktion Cloud-Trace.

Cloud Trace ist ein Monitoring-Werkzeug und zeichnet die Zugriffe auf vom Nutzer bestimmte Ressourcen auf. Dies erleichtert die Überwachung hinsichtlich Sicherheit, hilft aber auch Fehler in den erteilten Berechtigungen aufzufinden und zu beseitigen. Die Überwachungsprotokolle lassen sich im Object Storage speichern. Mit Cloud Trace können Audit-Anfragen interner und externer Parteien, etwa von Aufsichtsbehörden, beantwortet werden.

Cloud Trace besteht aus drei Modulen:

  • Über das Tracker Lifecycle Management lassen sich so genannte Tracker verwalten, die den Zugriff auf bestimmte Ressourcen innerhalb einer Cloud überwachen. Die Tracker können nicht nur eingerichtet, gestoppt und gelöscht, sondern auch modifiziert werden.
  • Eine Such-/Anzeigefunktion stellt die Ergebnisse der verschiedenen Tracker dar.
  • Tracker-Ergebnisse werden in einem Object Storage gespeichert. Über Cloud Trace lassen sich so komplette Protokolle erstellen, die darstellen, welche Zugriffe auf die Ressourcen erfolgten. Dabei können auch Zugriffe über Schnittstellen (APIs) und damit zum Beispiel Zugriffe, die über andere Anwendungen erfolgen, protokolliert und transparent gemacht werden.

Cloud Trace hilft also dabei, dass Unternehmen als Nutzer der Open Telekom Cloud die Grundsätze der Datenverarbeitung wie Transparenz und Rechenschaftspflicht umsetzen, Anforderungen, die wesentlich für die DSGVO-Compliance sind.

► Mehr zur Open Telekom Cloud

copyright

Dieser Beitrag ist urheberrechtlich geschützt. Sie wollen ihn für Ihre Zwecke verwenden? Infos finden Sie unter www.mycontentfactory.de (ID: 45163633 / DSGVO - Datenschutz Grundverordnung)