Inhalt
Nr. 2.10 – Getrennte Verarbeitung
(Art. 5 Abs. 1 lit. b i.V.m. Art. 24, 25, 32 Abs. 1 lit. b und Abs. 2 DSGVO)
Kriterium
Schutzklasse 1
(1) Der Cloud-Anbieter verarbeitet die Daten des Cloud-Nutzers logisch oder physisch getrennt von den Datenbeständen anderer Cloud-Nutzer und von anderen Datenbeständen des Cloud-Anbieters und ermöglicht dem Cloud-Nutzer, die Datenverarbeitung nach verschiedenen Verarbeitungszwecken zu trennen (sichere Mandantentrennung).
(2) Die Datentrennung muss im Regelfall auch bei technischen oder organisatorischen Fehlern, einschließlich Bedienfehlern, des Cloud-Anbieters oder seiner Mitarbeiter oder fahrlässiger Handlungen des Cloud-Nutzers oder Dritter gewahrt sein. Der Cloud-Anbieter realisiert einen Mindestschutz, der vorsätzliche Verstöße gegen das Trennungsgebot verhindert.
Schutzklasse 2
(3) Die Kriterien von Schutzklasse 1 sind erfüllt.
(4) Der Cloud-Anbieter bietet gegen zu erwartende vorsätzliche Verstöße gegen das Trennungsgebot einen Schutz, der diese hinreichend sicher ausschließt. Der Cloud-Anbieter kann vorsätzliche Verstöße gegen das Trennungsgebot im Regelfall (nachträglich) feststellen.
Schutzklasse 3
(5) Die Kriterien von Schutzklasse 1 und Schutzklasse 2 sind erfüllt.
(6) Der Cloud-Anbieter schließt eine Verletzung der Datentrennung hinreichend sicher aus. Der Cloud-Anbieter erkennt vorsätzliche Verstöße gegen die getrennte Verarbeitung.
Erläuterung
Das Kriterium fördert das Gewährleistungsziel der Verfügbarkeit, Integrität, Vertraulichkeit und Nichtverkettung (SDM C1.2 – C1.5) und zielt damit auch auf die Sicherstellung des Zweckbindungsgrundsatzes aus Art. 5 Abs. 1 lit. b DSGVO. Eine sichere Mandantentrennung schützt die Daten vor unbefugtem Zugang, Veränderungen und Vernichtung und verhindert eine unerwünschte Verkettung der Daten.
Hinsichtlich der Trennung der Datenverarbeitung nach verschiedenen Verarbeitungszwecken ist zu beachten, dass der Cloud-Anbieter lediglich die technische Möglichkeit der getrennten Verarbeitung bieten muss, während die Umsetzung der getrennten Datenverarbeitung nach Verarbeitungszwecken dem Cloud-Nutzer obliegt.
Umsetzungshinweis
Schutzklasse 1
Daten sollten auf gemeinsam genutzten virtuellen und physischen Ressourcen (Speichernetz, Arbeitsspeicher) gemäß einem dokumentierten Konzept sicher und strikt separiert werden (s. BSI C5 Anf. RB-23). Eine technische Trennung der gespeicherten und verarbeiteten Daten der Cloud-Nutzer in gemeinsam genutzten Ressourcen kann durch Firewalls, Zugriffslisten, Tagging (Auszeichnung des Datenbestandes), VLANs, Virtualisierung und Maßnahmen im Speichernetz (z. B. LUN Masking) erreicht werden.
Auf die Umsetzungshinweise des BSI C5 Anf. RB-23 und KOS-05 wird hingewiesen.
Auf die Umsetzungshinweise der ISO/IEC 27002 Ziff. 12.1.4, 13.1.3 und ISO/IEC 27701 Ziff. 6.9.1.4. wird hingewiesen.
Schutzklasse 2
Es gelten die Umsetzungshinweise für Schutzklasse 1.
Im Rahmen der Datenspeicherung sollten eine mandantenspezifische Verschlüsselung mit individuellen Schlüsseln und die Verwendung getrennter Betriebsumgebungen für verschiedene Verarbeitungen oder gleichwertige Verfahren eingesetzt werden. Zugriffe auf Daten sollten protokolliert werden.
Der Cloud-Anbieter sollte technische und organisatorische Überwachungsverfahren und -systeme betreiben, um Angriffe (bspw. Cross-VM Attacks) und böswilliges Verhalten feststellen zu können.
Zur sicheren Segmentierung gemeinsam genutzter Ressourcen bei Webanwendungen, die als SaaS bereitgestellt werden, sollte gemäß BSI C5 Anf. KOS-05 die Session-ID in der Grundstufe
a) zufallsgeneriert sein und eine ausreichende Entropie von mindestens 128 Bit (16 Zeichen) haben, um dem Erraten der Session-ID (zum Beispiel durch einen Brute-Force-Angriff) standzuhalten,
b) bei der Übertragung und clientseitigen Speicherung ausreichend geschützt sein,
c) eine begrenzte Gültigkeit (Timeout) haben, die gemessen an den Anforderungen zur Nutzung der Webanwendung möglichst kurz ist,
d) nach erfolgreicher Authentisierung oder Wechsel von einem ungesicherten Kommunikationskanal (HTTP) auf einen gesicherten Kommunikationskanal (HTTPS) gewechselt werden.
Bei IaaS/PaaS ist die sichere Trennung durch physisch getrennte Netze oder durch stark verschlüsselte VLANs sichergestellt (s. BSI C5 Anf. KOS-05).
Schutzklasse 3
Es gelten die Umsetzungshinweise für Schutzklasse 1 und 2.
Der Cloud-Anbieter sollte technische und organisatorische Überwachungsverfahren und -systeme betreiben, um Angriffe und böswilliges Verhalten feststellen und unterbinden zu können.
Nachweis
Der Cloud-Anbieter kann den Nachweis dadurch erbringen, dass er im Datensicherheitskonzept dokumentiert, welche TOM er ergriffen hat, um die Daten unterschiedlicher Nutzer voneinander zu trennen und die Daten eines Nutzers nach den Verarbeitungszwecken trennen zu können. Darüber hinaus kann er bspw. die Dokumentation der TOM, Verfahrensanweisungen, Richtlinien, Ergebnisprotokolle interner/externer Audits, Risikoanalysen und Produktbeschreibungen als Nachweis vorlegen.
Die tatsächliche Umsetzung der Maßnahmen (bspw. getrennte Datenbanken) sollte durch eine Überprüfung der Trennung (bspw. der eingesetzten Programme oder des Programmcodes, Prüfung auf getrennte Datenbanken) und Sicherheitstests (z.B. Penetrationstests zur Feststellung des Sicherheitsniveaus der Mandantentrennung) nachgewiesen werden. Unterstützend kann eine Befragung relevanter Mitarbeiter im Rahmen eines Audits (z.B. zur Kenntnis über Richtlinien etc.) als Nachweis angeführt werden.
Für Schutzklasse 2 und 3 weist ein Cloud-Anbieter durch Dokumentationen die Erkennung von vorsätzlichen Verstößen gegen das Trennungsgebot nach. Die tatsächliche Feststellung im Regelfall kann durch die Vorlage von Ereignisprotokollen, Protokollen zur Abwehr und Erkennung von Angriffen oder mittels elektronischer Prüfpfade nachgewiesen werden.
