AWS: "Alle unsere Dienste können DSGVO-konform verwendet werden"
- Written by Martin Szelgrad
- font size decrease font size increase font size
Constantin Gonzalez ist Principal Solutions Architect bei Amazon Web Services. Er kommentiert die Themen Sicherheit und Compliance mit Cloud-Diensten und die Rechtslage rund um den amerikanischen „CLOUD Act“.
Report: Warum sehen Sie Daten prinzipiell sicherer in der Cloud, als im eigenen Rechenzentrum vor Ort?
Constantin Gonzalez: Wir als Cloud-Anbieter konzipieren unsere gesamte Infrastruktur mit Blick auf die Sicherheit. Neben der Hardware, Software und dem Netzwerk betrifft das auch Sicherheitsmaßnahmen für und in den physischen Rechenzentren. Die Cloud-Infrastruktur wird rund um die Uhr überwacht, damit Millionen von Kunden sicher sein können, dass ihre Daten und IT-Verfahren sicher betrieben werden. Durch die Breite und Tiefe von Anwendungsfällen unserer Millionen von Kunden weltweit haben wir auch einen ganz einzigartigen Blick auf die globale Bedrohungslandschaft und die potenziellen Sicherheitslücken in verschiedenen Industrien und Regionen. So können wir unsere Dienste ständig weiterentwickeln, um Kunden bei der Bewältigung der Risiken zu unterstützen, die für ihre spezifische Branche und Anwendungsfälle am relevantesten sind.
Report: Was bietet AWS seinen Kunden speziell auf der Ebene der Datensicherheit?
Gonzalez: Bei AWS hat Sicherheit die oberste Priorität. Unsere Infrastruktur wurde so aufgebaut, dass unsere Cloud-Umgebung größtmögliche Flexibilität bei gleichzeitig höchster Sicherheit bietet. Damit werden wir auch den Anforderungen von extrem sicherheitssensitiven Branchen, wie etwa das Finanzwesen oder der Gesundheitsversorgung, gerecht. Wir verfügen aber auch über eine Reihe international anerkannter Zertifizierungen und Akkreditierungen, wie etwa ISO 27017 für Cloud-Sicherheit, ISO 27018 für Cloud Privacy, ISO 9001 für das Gesundheitswesen, Life Science, medizinische Geräte, Automobilbranche und Luftfahrt und viele weitere.
So vertraut beispielsweise mySugr, ein digitales Gesundheitsunternehmen der Roche Diabetes Care für die Entwicklung seiner App Amazon Web Services. Die mySugr-App ist in über 75 Ländern in zwei Dutzend Sprachen verfügbar. Das 2012 in Wien gegründete Unternehmen gibt Menschen mit Diabetes die Werkzeuge, das Wissen und das Vertrauen, um ihre Diabetestherapie und ihre gesundheitlichen Informationen zu verwalten. Das erlaubt es, schnell und einfach relevante Therapiedaten an einem Ort, durch eine wachsende Anzahl von vernetzten Geräten, Integrationen und manuellen Eingaben zu sammeln.
Die mySugr-App läuft auf der AWS-Cloud, sodass sich das Unternehmen nicht um die Unterhaltung der EDV-Infrastruktur kümmern muss, sondern sich auf die eigene Wertschöpfung als Gesundheits-Unternehmen konzentrieren kann. Mittels HIPAA-konformen Diensten kann mySugr die Industriestandards in hochsicheren AWS Rechenzentren erfüllen. Während sich AWS um den stabilen und reibungslosen Betrieb der der Infrastruktur kümmert, kann mySugr das machen, was am wichtigsten ist: Menschen mit Diabetes in den Mittelpunkt ihrer Arbeit stellen und sie in die Lage versetzen, ihre Gesundheit langfristig erfolgreich selbst zu managen.
Von dieser Sicherheit profitieren alle unsere Kunden, denn wir nutzen die gleiche sichere Hardware und Software in allen Regionen weltweit. Bei AWS sind grundsätzlich in allen Diensten Sicherheitsmechanismen integriert, damit die Daten an jedem Punkt geschützt sind. Darüber hinaus bieten wir unseren Kunden aber auch mehr als 200 Dienste und Funktionen speziell im Bereich Sicherheit, Compliance und Government an.
Zusätzlich können unsere Kunden auch auf hunderte von Werkzeugen und Funktionen von AWS Partnern zurückgreifen, um ihre Sicherheitsbedürfnisse zu erfüllen.
Ein Beispiel für solche Partner aus Österreich wären KaWa commerce und ByteSource. KaWa commerce unterstützte mehrere Kunden beim Aufbau einer sogenannten AWS Landing Zone, also eine sichere AWS-Umgebung für den geregelten Aufbau von Applikationen nach eigenen Unternehmensrichtlinien. Zu diesen Kunden gehört beispielsweise ORS, die damit ihren individuellen Anforderungen hinsichtlich Security und Compliance gerecht werden können. ByteSource unterstützt aktuell Kunden wie einen großen internationalen Telekom Anbieter und einen CEE Bankenkonzern bei Design, Implementierung und kontinuierlicher Verbesserung von Cloud Governance- und Compliance Strategien sowie AWS Multi Account Management.
Bei AWS haben wir ein Modell der geteilten Verantwortung mit unseren Kunden. Für den Dienst Amazon Elastic Compute Cloud verwaltet und steuert AWS beispielsweise alle Komponenten des Hostbetriebssystems und der Virtualisierungsebene, bis hin zur physischen Sicherheit der Standorte, an denen die Services ausgeführt werden. Der Kunde ist für das Gastbetriebssystem und dessen Verwaltung, einschließlich Updates und Sicherheitspatches, für andere damit verbundene Anwendungssoftware sowie für die Konfiguration der von AWS bereitgestellten Firewall für die Sicherheitsgruppe verantwortlich.
Report: Wie können europäische Unternehmen bei der Nutzung von AWS trotzdem den hiesigen Compliance- und Privacy-Vorgaben entsprechen?
Gonzalez: Alle unsere Dienste und Funktionen können entsprechend den Anforderungen der DSGVO verwendet werden. Das bedeutet, dass Kunden unsere Dienste als Teil ihrer DSGVO-Strategie nutzen können. Zudem bietet AWS ein DSGVO-gerechtes Datenverarbeitungs-Addendum, wodurch Kunden ihren rechtlichen Verpflichtungen aus der DSGVO nachkommen können. Dieses Addendum ist Teil unserer Service-Bedingungen und gilt automatisch für alle Kunden weltweit, auf die die DSGVO Anwendung findet. Darüber hinaus bieten wir aber auch eine Reihe an Diensten und Funktionen an, die unseren Kunden dabei helfen, die Anforderungen der DSGVO zu erfüllen, das sind beispielsweise Dienste zur Verwaltung von Zugängen, Monitoring, Protokollierung, und Verschlüsselung. Wir haben außerdem ein Team an Experten für Compliance, Datenschutz, und Sicherheit die mit unseren Kunden aus Europa arbeiten um deren Fragen zu beantworten und ihre IT-Verfahren entsprechend der Vorgaben in der Cloud zu betreiben.
Wichtig in dem Kontext ist außerdem, dass Kunden die Hoheit über ihre Daten behalten. Das bedeutet auch, dass nur unsere Kunden entscheiden in welcher Region, beispielsweise in Deutschland in Frankfurt, oder in Frankreich in Paris, ihre Daten gespeichert und verarbeitet werden.
Report: Wie bewerten Sie die Herausforderung für amerikanische IT-Infrastrukturanbieter durch das Gesetz "CLOUD Act", das US-Behörden den Zugriff auch auf Daten, die in Kontinentaleuropa gespeichert liegen, ermöglicht?
Gonzalez: Eines der häufigsten Missverständnisse über den CLOUD Act ist, dass er nur für US-Unternehmen gilt. Das ist jedoch nicht richtig. Der CLOUD Act richtet sich an alle Anbieter von elektronischen Kommunikations-Dienstleistungen oder Remote-Computing-Diensten, die der US-Gerichtsbarkeit unterliegen. Darunter fallen beispielsweise E-Mail-Anbieter, Telekommunikationsunternehmen, Social-Media-Sites und Cloud-Anbieter. Dabei gilt der CLOUD Act unabhängig davon, ob diese Unternehmen in den Vereinigten Staaten oder in einem anderen Land niedergelassen sind. Das bedeutet, dass jede ausländische Firma mit einer Niederlassung oder Tochtergesellschaft in den Vereinigten Staaten dem CLOUD Act unterliegt.
Ein weiteres häufiges Missverständnis über den CLOUD Act ist, dass er der US-Regierung einen ungehinderten Zugang zu Daten von Cloud-Anbietern ermöglicht. Auch das ist falsch. Der CLOUD Act gewährt den Strafverfolgungsbehörden keinen freien Zugang zu den in einer Cloud gespeicherten Daten. Nur, wenn die Strafverfolgung einen von einem US-Gericht ausgestellten Gerichtsbeschluss vorlegen kann, ist es möglich, einen Dienstleister dazu zu zwingen, Daten bereitzustellen. Um diesen zu erhalten, müssen unter dem US-Recht strenge rechtliche Standards und hohe Anforderungen erfüllt werden. So muss ein unabhängiger Richter zu dem Schluss kommen, dass die Strafverfolgungsbehörden berechtigte Gründe haben, die Informationen anzufordern. Zudem müssen sich die angeforderten Informationen direkt auf eine Straftat beziehen und die Anfrage muss klar, präzise und verhältnismäßig gestellt werden. Das ist das Gegenteil von ungehindertem Zugang.
Der Schutz der Daten unserer Kunden hat für uns oberste Priorität. Wir stellen allen Kunden, die AWS ihre Inhalte anvertrauen, die umfangreichsten IT-Sicherheitsservices und -funktionen zur Verfügung. Dadurch haben unsere Kunden die vollständige Kontrolle über ihre Daten. Der CLOUD Act hat dies weder geändert noch abgeschwächt. Im Gegenteil erkennt dieser das Recht von Cloud-Anbietern an, Anfragen anzufechten, die im Widerspruch zu Gesetzen oder nationalen Interessen eines anderen Landes stehen. Er fordert außerdem, dass Regierungen die lokalen Rechtsnormen respektieren. Darüber hinaus können sich ausländische Regierungen, die über das Risiko der Offenlegung von Regierungsdaten besorgt sind, gegebenenfalls auf souveräne Immunität berufen.
Unabhängig davon empfehlen wir unseren Kunden, Ihre Daten jederzeit beim Transport und bei der Speicherung zu verschlüsseln und bieten ihnen dafür Unterstützung in unseren Diensten und speziell dafür entwickelte, eigene Dienste, etwa für das Schlüsselmanagement an. Dabei können Kunden wahlweise eigene Schlüssel mitbringen, ihre Schlüssel selber verwalten oder verwalten lassen oder ihre Daten verschlüsseln, bevor sie sie in die Cloud hochladen. Verschlüsselte Daten sind ohne Zugriff auf den Schlüssel wertlos.