Forschungsprojekt AUDITOR

Datenschutz-Zertifizierung von Cloud-Diensten

| Autor / Redakteur: Jörn Stuphorn / Peter Schmitz

Das Bundes­wirtschafts­ministerium (BMWi) und Partner aus Forschung und Wirtschaft entwickeln ge­mein­sam eine praxis­taug­liche Umsetzung einer EU-weiten Datenschutz-Zertifizierung von Cloud-Diensten.
Das Bundes­wirtschafts­ministerium (BMWi) und Partner aus Forschung und Wirtschaft entwickeln ge­mein­sam eine praxis­taug­liche Umsetzung einer EU-weiten Datenschutz-Zertifizierung von Cloud-Diensten. (Bild: gemeinfrei / CC0)

Damit Cloud-Dienste trotz Datenschutz-Grund­verordnung (DSGVO) weiterhin einfach und rechtskonform nutzbar sind, hat das Bundes­wirtschafts­ministerium (BMWi) zusammen mit Partnern aus Forschung und Wirtschaft das Forschungs­projekt AUDITOR gestartet. Damit soll eine europaweit anerkannte Zertifizierung von Cloud-Diensten nach Maßgabe der DSGVO entwickelt werden.

Das Forschungsprojekt AUDITOR (European Cloud Service Data Protection Certification) hat die Konzeptionierung, exemplarische Umsetzung und Erprobung einer nachhaltig anwendbaren EU-weiten Datenschutz-Zertifizierung von Cloud-Providern zum Ziel. Zertifizierte Lösungen und Produkte werden alle Vorteile einer Cloud bieten und dabei das Grundrecht auf Datenschutz sicherstellen. Das wird über die Grenzen Europas hinaus ein zusätzlicher Wettbewerbsvorteil für Unternehmen sein, gerade auch im Hinblick auf die unvollständige Umsetzung des EU-US-Datenaustauschabkommens Privacy Shield und der mit lauter Stimme vorgebrachten Kritik durch das EU-Parlament.

Geleitet wird das Projekt AUDITOR durch Prof. Dr. Alexander Roßnagel von der Universität Kassel und Prof. Dr. Ali Sunyaev vom Karlsruher Institut für Technologie (KIT). Assoziierte Partner des Konsortiums sind u. a. das Bundesamt für Sicherheit in der Informationstechnik (BSI), das Kompetenznetzwerk Trusted Cloud e.V., dem Verband der Internetwirtschaft eco e.V., das Unabhängige Landeszentrum für Datenschutz Schleswig-Holstein (ULD), sowie führende Cloud-Provider. Dem Expertenbeirat gehören auch der Bitkom an sowie der Datenschutzexperte Dr. Thilo Weichert, der bis 2015 der Datenschutzbeauftragte des Landes Schleswig-Holstein war.

Kriterienkatalog für die Zertifizierung von Cloud-Diensten

ProfitBricks als Projektpartner konzipiert derzeit eine nachhaltige Datenschutz-Zertifizierung, entwickelt einen Kriterienkatalog für die Zertifizierung von Cloud-Diensten nach DSGVO und treibt eine entsprechende Standardisierung voran. Außerdem erarbeitet das Unternehmen geeignete Organisationsstrukturen und Verfahren zur Durchführung einer europaweit anerkannten, praxisnahen Datenschutz-Zertifizierung. Hierzu zählt insbesondere auch die Spezifikation von modularen Zertifizierungs- und Auditierungs-Prozessen.

Um eine nachhaltige Verwendung und weitreichende Verbreitung von AUDITOR sicherzustellen, werden Geschäftsmodelle für ein langfristig erfolgreiches AUDITOR-Verfahren untersucht. Sind mit AUDITOR die Zertifizierungsverfahren erst einmal erarbeitet und Kriterien für eine Standardisierung ermittelt, gilt es, sie einer intensiven Erprobung in der Praxis zu unterziehen.

AUDITOR als TCDP Nachfolgeprojekt

Mit AUDITOR werden wir die Erkenntnisse aus dem Vorgängerprojekt „Trusted Cloud“ unter Einbeziehung der einschlägigen internationalen Normen und Anforderungen der DSGVO weiterentwickeln. Für den in der Praxis sehr bedeutsamen Bereich der Auftragsverarbeitung im Rahmen von Cloud Computing steht mit dem Trusted Cloud Datenschutz Profil für Cloud-Dienste (TCDP) bereits ein Zertifizierungsstandard auf der Basis des geltenden Bundesdatenschutzgesetzes zur Verfügung. Der Prüfstandard wurde im Rahmen des Technologieprogramms Trusted Cloud des BMWi entwickelt und wird durch die Stiftung Datenschutz verwaltet.

Mit dem Projekt AUDITOR wird das Ziel verfolgt, einen durch den Europäischen Datenschutzausschuss – nach Artikel 42 Absatz 5 der DSGVO – genehmigten Kriterienkatalog für die Zertifizierung und die Entwicklung eines Prüf- und Zertifizierungsverfahrens zu erstellen. Kurz gesagt: Sicheres Cloud Computing alltagstauglich zu machen. Anbieter und Nutzer von Cloud-Diensten profitieren ja gleichermaßen von der Prüfung und Zertifizierung durch akkreditierte, fachkundige Stellen. Als Vorteile für Anwender sind vor allem Kostenersparnis, Compliance und Transparenz zu nennen.

Nächste Meilensteine der Cloud-Zertifizierung

Zentrale Meilensteine markieren den Verlauf von AUDITOR und kennzeichnen das auf zwei Jahre angelegte Projekt. Im Juni 2018 wurde ein gemeinsamer Zertifizierungs­kriterien­katalog erstellt und kurze Zeit später in einem Workshop in Köln evaluiert. Ende dieses Jahres sind alle Projektbeteiligten aufgerufen, ein Prüf- und Zertifizierungsverfahren für AUDITOR zu entwickeln, 2019 stehen sodann erste Pilotzertifizierungen an. Als Vorstufe zur internationalen Standardisierung werden die Ergebnisse des Projekts anschließend in eine DIN-Spezifikation überführt.

Über den Autor: Jörn Stuphorn ist IT-Service-Manager Information Security & Service Delivery bei ProfitBricks und verantwortlich für alle operativen Fragen zu IT-Sicherheit und Datenschutz. Der Diplom-Informatiker ist u.a. nach CISSP, ITILv3 und CHSP zertifiziert und war zuvor als Security Consultant und Security Engineer u.a. für eine führende Immobilien-Webseite tätig.

Kommentare werden geladen....

Kommentar zu diesem Artikel abgeben

Der Kommentar wird durch einen Redakteur geprüft und in Kürze freigeschaltet.

Anonym mitdiskutieren oder einloggen Anmelden

Avatar
Zur Wahrung unserer Interessen speichern wir zusätzlich zu den o.g. Informationen die IP-Adresse. Dies dient ausschließlich dem Zweck, dass Sie als Urheber des Kommentars identifiziert werden können. Rechtliche Grundlage ist die Wahrung berechtigter Interessen gem. Art 6 Abs 1 lit. f) DSGVO.
  1. Avatar
    Avatar
    Bearbeitet von am
    Bearbeitet von am
    1. Avatar
      Avatar
      Bearbeitet von am
      Bearbeitet von am

Kommentare werden geladen....

Kommentar melden

Melden Sie diesen Kommentar, wenn dieser nicht den Richtlinien entspricht.

Kommentar Freigeben

Der untenstehende Text wird an den Kommentator gesendet, falls dieser eine Email-hinterlegt hat.

Freigabe entfernen

Der untenstehende Text wird an den Kommentator gesendet, falls dieser eine Email-hinterlegt hat.

copyright

Dieser Beitrag ist urheberrechtlich geschützt. Sie wollen ihn für Ihre Zwecke verwenden? Infos finden Sie unter www.mycontentfactory.de (ID: 45505995 / Allgemein)