Daten schützen, nicht Systeme
Quelle: Swiss ICT Magazin

Daten schützen, nicht Systeme

Datenschutz in der Cloud – dies war das Thema der bisher umfangreichsten Veranstaltung der SwissICT-Fachgruppe Cloud Computing. Das Interesse war gross: Rund 80 Teilnehmer fanden den Weg ins «Clouds» im Prime Tower Zürich.

Artikel erschienen in Swiss IT Magazine 2012/11

     

Hans Krebs, Leiter der SwissICT-Fachgruppe Cloud Computing, ist vom Erfolg begeistert: «Dass die Veranstaltung gut ankam, zeigt auch die rege Diskussion, die nach den spannenden Referaten anlief.» Krebs hat die Veranstaltung zusammen mit Marco Kündig von Cisco moderiert; für die Organisation war Kündig zusammen mit Christian Mugg von Swisscom zuständig.

Vier Themen rund um den Datenschutz
Im Zentrum standen vier Vorträge von hochkarätigen Experten. Den Anfang machte Veronica Blattmann. Die Juristin ist seit 2010 Stellvertreterin des Datenschutzbeauftragten des Kantons Zürich. Blattmann legte das Spannungsfeld zwischen Transparenz und Kontrolle im Umgang mit Informationen durch Dritte überzeugend dar und zeigte die rechtliche Situation auf, wobei insbesondere die Unterschiede zwischen klassischem Outsourcing und Cloud Computing zur Sprache kamen. Cloud Computing, so Blattmann, birgt bei gleicher Verantwortung zwar neue Risiken, aber: «Risiken gibt es immer». Man müsse auf jeden Fall die Rahmenbedingungen laufend überprüfen und bei der Risikoanalyse Cloud-spezifische Faktoren einbeziehen. Und: «Die Verantwortung über die Daten bleibt immer beim Anwender, das kann man nicht delegieren.»

Auch der zweite Referent des Abends ist in der Jurisprudenz zu Hause. Der auf IT-Recht spezialisierte Rechtsanwalt Dr. Christian Laux ging detaillierter auf den Umgang mit Daten ein und verglich die Rolle des Cloud-Anbieters mit der einer Anwaltskanzlei: Beide dürfen Klientendaten auf keinen Fall weitergeben, es sei denn, es liege eine gültige Zustimmung vor. Laux wies auch darauf hin, dass die Vertraulichkeit von Daten schon bei der Ablage berücksichtigt werden sollte und zeigte als Beispiel ein XML-Formular für ein Anwaltsschreiben, mit dem allgemeine Formulierungen wie Anrede und Standard-Textbausteine bereits bei der Erfassung klar von vertraulichen Passagen wie dem Namen des Klienten unterschieden werden können.

Kein Generalsiegel für Cloud-Angebote

«Eine allgemeingültige Zertifizierung von Cloud-Anbietern und Services gibt es bisher nicht», so das Fazit des Referats von Dr. Klaus Julisch, Manager bei Deloitte’s Enterprise Risk Services. Julisch betonte zunächst den Unterschied zwischen Zertifizierungen wie EuroCloud oder ISO/IEC 27001, also der nachgewiesenen Einhaltung bestimmter Normen, und Reports wie SOC 1, der einzig über Controlling-Ergebnisse informiert. Als Kunde müsse man sich über den Geltungsbereich eines solchen Siegels im klaren sein (welche Systeme und Daten sind abgedeckt?). Julisch ging darauf detailliert auf SOC-Reports, EuroCloud Star Audit und das US-Programm FedRAMP ein und regte die Cloud-Provider zum Schluss an, bei der Wahl ihrer Zertifizierungen auf die Bedürfnisse und die Akzeptanz der Kunden zu achten.
Auch das abschliessende Referat von Novartis-Infrastrukturarchitekt Jürgen Basse-Welker genoss die ungeteilte Aufmerksamkeit des Publikums. Basse-Welker legte dar, wie der Basler Pharmariese Cloud Computing bereits heute einsetzt und für künftige Anwendungen einplant. Charakteristisch für Novartis sei unter anderem, dass viele Daten sehr lange verfügbar sein müssen – dies vor allem aus regulatorischen Gründen. Ausserdem müsse bereits bei der Entwicklung von Anwendungen bestimmt werden, welche Daten welches Vertraulichkeitsniveau geniessen. Eine weitere Erkenntnis von Jürgen Basse-Welker: «Es gilt, Daten zu schützen, nicht Systeme.»


Informationen zur Fachgruppe Cloud Computing: SwissICT-Geschäftsstelle 043 336 40 20 oder via Xing-Gruppe «SwissICT Fachgruppe Cloud Computing».

«Wir suchen in erster Linie die aktive Mitarbeit und keine blossen ‚Konsumenten‘»

Herr Krebs, was will die Fachgruppe Cloud Computing?
Das Ziel ist, eine anbieterunabhängige Plattform für den Informations- und Erfahrungsaustausch rund um Cloud Computing zu schaffen – ein herstellergetriebenes Forum kann ja keine Neutralität bieten. Zu den Mitgliedern gehören also nicht nur Hersteller, sondern vor allem auch Anwender und Provider. Wir schliessen die Lücke zwischen den verschiedenen Akteuren.


Seit wann existiert die Fachgruppe?
Sie wurde im Dezember 2010 gegründet und hat bisher 35 Mitglieder, rund die Hälfte arbeitet regelmässig aktiv mit. Wir treffen uns sechsmal pro Jahr, geniessen dabei üblicherweise einen Fachvortrag und diskutieren über aktuelle Themen. Der bisherige Höhepunkt war die öffentliche Veranstaltung am 19. September im Clouds.

Wer kann Mitglied werden?
Neben Grossunternehmen sind viele KMU beteiligt. Das ist auch unser Ziel, besonders im Hinblick auf die Cloud-Provider – die Schweiz hat hier eine stark ausgeprägte Szene mit Anbietern und Kunden unterschiedlichster Grösse. Wir haben auch Kontakte in die Bundesverwaltung und zählen Vertreter von Universitäten und Fachhochschulen zu unseren Mitgliedern. Grundsätzlich steht die Fachgruppe allen SwissICT-Mitgliedern offen. Wir suchen aber in erster Linie die aktive Mitarbeit und keine blossen «Konsumenten».

Die Fachgruppen Cloud Computing und Sourcing schliessen sich zusammen. Was können Sie dazu sagen?
Bereits bei der Gründung haben wir gespürt, dass uns viele ähnliche Themen beschäftigen wie die Fachgruppe Sourcing. Wir hatten stets regen Kontakt und kamen zum Schluss, dass ein Zusammenschluss Vorteile bringt – mit vereinten Kräften und einer grösseren Gesamtzahl an Mitgliedern erhalten wir mehr Power im Markt. Der SwissICT-Vorstand gab rasch seine Zustimmung, und das nächste Treffen am 16. November findet bereits unter vereinter Flagge statt.


(ubi)
Hans Krebs
Hans Krebs ist zusammen mit Hansjörg Bühler Co-Leiter der vereinten Fachgruppe Cloud Computing/Sourcing. Der 43-jährige dipl. El. Ing. FH mit Nachdiplomstudium in Betriebswirtschaft leitet bei EMC Schweiz den Bereich Pre-Sales/Technology Consultant in der Division Technology Solutions.


Artikel kommentieren
Kommentare werden vor der Freischaltung durch die Redaktion geprüft.

Anti-Spam-Frage: Wieviele Fliegen erledigte das tapfere Schneiderlein auf einen Streich?
GOLD SPONSOREN
SPONSOREN & PARTNER