header_corporate-blog_2019_1920x559px

Datensicherheit, EPOC-PR und Bring Your Own Key

ChristianGolzDer US-Amerikanische Cloud Act steht im Widerspruch zur DSGVO. In meinem letzten Post «US Cloud Act vs. europäische DSGVO: grenzenlose Cloud-Nutzung stößt an nationale Gesetze» habe ich ausgeführt, welche Schwierigkeiten das für Unternehmen mit sich bringt. Heute möchte ich darauf eingehen, warum die Wahl eines Cloud-Providers aus der EU keine dauerhafte Lösung sein dürfte, und wie Bring You Own Key einen Ausweg aus dem Dilemma bietet.

EU-Cloud-Provider: nicht auf Dauer sicher

Nach dem Cloud Act können US-Behörden Daten von US-Cloud-Providern anfordern. Dies betrifft auch solche Daten, die auf Servern in der EU gehostet werden, wenn der Besitzer der Daten US-Bürger ist, in den USA lebt oder es sich um eine in den USA registrierte Firma handelt. Doch der Ausweg über einen EU- Anbieter ist nur teilweise eine Alternative. Der Grund dafür sind die EPOC-PR («European Production and Preservation Orders for electronic evidence in criminal matters», frei übersetzt «Europäische Herausgabe- und Erhaltungsverordnungen für elektronische Beweise in Strafsachen»).

Die EU ist aktuell dabei, diese EPOC-PR zu formulieren. Ziel ist es, die Strafverfolgung zur Sicherung elektronischer Beweismittel weltweit zu vereinfachen und zu beschleunigen. Als elektronische Beweismittel gelten hierbei unter anderem E-Mails oder Textnachrichten. Ermittler sollen auf diese zugreifen können, unabhängig davon, wo der Kommunikations- oder Service-Anbieter seinen Sitz hat und wo ein Cloud-Service-Provider die Daten speichert. Einzige Voraussetzung ist, dass die Dienste in einem Mitgliedsstaat der EU angeboten werden. Weiterhin sieht der Entwurf vor, dass die Anbieter einen in der EU ansässigen gesetzlichen Vertreter zu bestimmen haben. Über diese Person kann die EU ohne Rechtshilfeersuchen direkt die Daten anfordern.  

europe-3246346_1920Photo by TheDigitalArtist on Pixaby

Die Hürde zur Anwendung dieses neuen Rechtsinstrumentes liegt allerdings deutlich höher als beim Cloud Act. Sie muss durch einen Richter angeordnet werden und setzt voraus, dass eine Straftat zugrunde liegt, die mindestens 3 Jahre Freiheitsstrafe nach sich zieht. Bei einem positiven Entscheid durch den Richter haben die Kommunikations- oder Service-Anbieter zehn Tage Zeit, um die Anfrage zu beantworten, in sehr dringenden Fällen sogar nur sechs Stunden.

Aktuell weist der Entwurf noch Lücken auf. Er vernachlässigt den Datenschutz. Da auch die EU sich aber an die DSGVO zu halten hat, gibt es hier für die Arbeitsgruppe noch einiges zu tun. Noch ist nicht geregelt, wann und ob der Betroffene informiert wird, was mit den Daten geschieht, nachdem sie übergeben wurden, oder wie die weiteren Forderungen der Datenschutz-Grundverordnung umgesetzt werden. Dazu hat auch die Europäische Datenschutzaufsichtsbehörde im Dokument «Opinion 23/2018 on Commission proposals on European Production and Preservation Orders for electronic evidence in criminal matters (Art. 70.1.b)» Stellung genommen.

Mit dem eigenen Schlüssel in der Cloud

Über kurz oder lang aber werden Behörden auch die Daten auf EU-basierten Servern abrufen können. Ein Weg, sich davor zu schützen, ist der Einsatz von Bring You Own Key (BYOK, manchmal auch: «Bring Your Own Encryption, BYOE). Bei diesem Ansatz übermittelt der Datenbesitzer einen Verschlüsslungs-Master-Key an dedizierte Hardware-Module beim Cloud-Anbieter. Diese «Hardware Security Modules» (HSM) sind für den Anbieter selbst unzugänglich, und bieten exklusiven Zugriff auf die verschlüsselten Cloud-Daten des Kunden. Sie ver- und entschlüsseln im Auftrag seiner Cloud-Applikation sämtliche Daten. Nur das Unternehmen, das im Besitz des Schlüssels ist, kann Daten abrufen.

key-2114046_1920Photo by Arek Socha from Pixabay 

Es bleibt abzuwarten, wie EPOC-PR mit BYOK-Anwendungen verfährt. Doch zumindest bis diese Frage geklärt ist, stellt das Bring Your Own Key-Konzept einen effektiven Weg dar, wie Unternehmen ihre Daten in der Cloud vor unberechtigten Zugriff schützen – unabhängig davon, ob der Zugriffsversuch von staatlichen Stellen oder kriminellen Elementen herrührt.

Suchst du einen Partner für deine Digitale Transformation? Lerne uns kennen. 

Weiterführende Informationen

Topics: Sicherheit Security GDPR