Software mit Cloud-Diensten – Kollaborationstools

Software mit externen Cloud-Diensten und angebundenen Kollaborationstools

Dieser Artikel dient der Information und Aufklärung zu einem aktuellen und stark diskutierten Thema und gibt Empfehlungen für die Beschaffung und den Umgang mit Cloudspeicherdiensten.

Viele Softwareanbieter erweitern derzeit ihre Anwendungen mit Kollaborationstools, um dem stetig wachsenden Bedarf nach effektivem Team Work nachzukommen. Für die Zusammenarbeit von Teams aus mehreren Organisationen, die miteinander in Echtzeit kommunizieren, Kontakte, Termine, Dokumente und Projekte teilen und verwalten wollen, werden Cloud-Dienste verwendet.

Der Bedarf an sicheren Cloud-Diensten nimmt deshalb auch in der Universitätslandschaft stetig zu. Dabei können sich in der Praxis die Anwendungsbereiche stark unterscheiden, sodass auch in Abhängigkeit vom Schutzbedarf der zu verarbeitenden Daten die Informationssicherheit eine zunehmend zentrale Rolle einnimmt. Die Einforderung und Umsetzung von Sicherheitsanforderungen ist daher ein wichtiger Bestandteil bei der Inanspruchnahme von Cloud-Diensten.

Vorteile von Kollaborationstools

Was sind Kollaborationstools? (auch: Groupware)

Smarte Tools für komfortable Kollaboration

Kollaborationstools haben eine Kernaufgabe: Die Zusammenarbeit innerhalb eines Teams bzw. zwischen einzelnen Beschäftigten zu optimieren. Das fängt vor allem bei der Kommunikation an. Statt sich in langen Meetings zu treffen oder unendlich viele E-Mails hin- und her zu schicken, wird beispielsweise schnell und einfach via Chat kommuniziert. Darüber hinaus findet die Zusammenarbeit in Echtzeit statt – beispielsweise, indem mehrere Teammitglieder gleichzeitig an einem Dokument oder an einer Präsentation arbeiten können.
Die Zeiten von Datei-Anhängen, die in häufigen Revisionen kursieren, sind damit endgültig vorbei. Die smarten Tools bieten zahlreiche Möglichkeiten, Prozesse, in denen es auf die Zusammenarbeit mehrerer Personen oder Abteilungen ankommt, zu verbessern und zu beschleunigen. Der Nutzen von Kollaborationstools ist also unbestritten gegeben.

Auch für den dienstlichen Gebrauch ist die Nutzung zunehmend attraktiv: Die Nutzung ist meist sehr komfortabel und bereits aus dem privaten Umfeld bekannt. Der Zugriff von mehreren Endgeräten oder die Freigabe für andere Teammitglieder sind Funktionen, die auch für eine dienstliche Kooperation nützlich sind.

Risiken von Kollaborationstools

Stark risikobehaftete Kollaboration

Die dienstliche Cloud-Nutzung ist jedoch auch mit Risiken verbunden. So können die Nutzungsbedingungen dem Anbieter Rechte gewähren, die beim Umgang mit dienstlichen Daten unerwünscht sind oder die sogar dienstlichen Regelungen entgegenstehen.

  • Datensicherheit und Datenschutz nicht immer gewährleistet
  • kein rechtssicherer Umgang mit Daten – Richtlinienverletzung
  • fehlende und und unzureichende Datensicherung
  • keine ausreichende Hochverfügbarkeit
  • keine effizienten Berechtigungsmodelle
  • Hacker-Angriffe
  • fehlende Funktionen und instabile Anbindungen im Vergleich zu lokalen Installationen
  • keine Transparenz der Rechenzentren und Dienstleister des Cloud-Anbieters
  • nicht kompatible Schnittstellen
  • zwingende Anbindung an das Internet (Bandbreite, Hardware-Voraussetzungen, Ausfallrisiko)

Vor diesem Hintergrund hat das BSI – Bundesamt für Sicherheit in der Informationstechnik – zielgerichtete Sicherheitsanforderungen als Mindeststandard nach § 8 Abs. 1 BSIG erarbeitet: https://www.bsi.bund.de/DE/Themen/Oeffentliche-Verwaltung/Mindeststandards/Externe_Cloud-Dienste/Externe_Cloud-Dienste_node.html

An der FAU ist das Thema – ebenso wie bayern – und bundesweit – in der Diskussion.

Zur Information: Der BayLfD hat am 1. Dezember 2021 eine neue Kurzinformation veröffentlicht:
https://www.datenschutz-bayern.de/datenschutzreform2018/aki39.html
BayLfD: Aktuelle Kurz-Information 39: Office-Anwendungen aus Drittstaaten bei bayerischen öffentlichen Stellen (datenschutz-bayern.de)

Hinweise zur Benutzung von Cloudspeicherdiensten an der FAU

Zur Beachtung: Es gibt keine Verknüpfung oder Synchronisation zwischen dem Cloudspeicherdienst von diversen Softwareanbietern und den IT-Systemen der FAU. Aktivierung und Nutzung der Cloud-Services sind freiwillig und unterliegen strengen Auflagen, insbesondere hinsichtlich Datenschutz und Dienstgeheimnissen.

Nutzungsbedingungen für Software mit Cloudspeicherdiensten

1. Die Nutzung der Cloudspeicherdienste erfolgt unter Beachtung der Richtlinie für die Bereitstellung und Nutzung von Systemen und Verfahren der Informationstechnologie an der Friedrich-Alexander-Universität Erlangen-Nürnberg (IT-R), § 4 Rechte und Pflichten der Nutzerinnen und Nutzer Nr. 8.

2. Die Nutzung der Software mit angebundenen Cloudspeicherdiensten erfolgt unter Beachtung der Lizenzbedingungen des Softwareherstellers. Zumeist ist der Einsatz zu kommerziellen oder privaten Zwecken in den Lizenzbestimmungen nicht vorgesehen.

3. Die Nutzung der Cloudspeicherdienste erfolgt unter Beachtung sämtlicher Vorschriften und Regelungen zum Sozialdatenschutz (§67 Abs. 1 SGB X; §80 SGB X), Personalaktenrecht (Art. 104 BayBG; Art. 108 BayBG), Steuerrecht (§146 AO), Urheberrecht (§60a UrhG), Gesetz zum Schutz von Geschäftsgeheimnissen (§203 StGB), Telemedienrecht, Archivrecht sowie der Regelungen zur ordnungsgemäßen Aktenführung.

4. Es ist deshalb untersagt, die Cloudspeicherdienste für Daten mit folgenden Informationen zu nutzen:
a) Daten, die Informationen enthalten, die bei Veröffentlichung oder Verlust zu einem Schaden oder einer Haftung der FAU führen können, sowie personenbezogene Daten, für die die Einhaltung der Vorschriften des Datenschutzes oder die Erfüllung der Informationspflichten nicht sichergestellt werden können. Im Regelfall sind solche Daten nur solchen Mitgliedern der FAU zugänglich, deren Kenntnis regelmäßig zur Bearbeitung der betreffenden Information und des damit zusammenhängenden Vorgangs zwingend erforderlich ist (vertrauliche Daten).
Beispiele hierfür sind:

  • Personenbezogene Daten (Anwesenheitslisten oder Listen von Teilnehmern einer Veranstaltung)
  • Reise- oder Lohnabrechnungen (Finanzdaten, Sozialdaten, Daten mit Bezug zur Personalakte)
  • Forschungsdaten, die nicht ohnehin für die Öffentlichkeit bestimmt sind
  • Technische Daten (Baupläne sensibler Räume, Netzwerkpläne)
  • Geschützte Daten (Krankmeldungen, Zeugnisentwürfe, Studienarbeiten, Verträge, „Veraktetes“)
  • Prüfungswesen (Gutachten und Korrekturen)

b) Daten, die Informationen enthalten, bei denen die unberechtigte Einsichtnahme verhindert werden muss. Dazu zählen insbesondere aufgrund vertraglicher Verpflichtung geheim zu haltende Informationen oder Informationen, die der Verschwiegenheitspflicht unterfallen. Im Regelfall sind Daten mit solchen Informationen ausschließlich einem durch den/die Informationseigentümer/-in vorab definierten und dokumentierten Personenkreis zugänglich (streng vertrauliche Daten).

Dies umfasst beispielsweise Daten aus der Zusammenarbeit mit Dritten (staatliche Einrichtungen, Forschungseinrichtungen, Unternehmen) aus einer dienstlichen oder vertraglichen Verpflichtung.

5. Um den unbeabsichtigten Verlust von vertrauenswürdigen Informationen zu vermeiden, werden Daten im Zweifelsfall als Daten mit vertraulicher Information nach 3. oder 4. eingestuft und eignen sich damit nicht für die Speicherung in Cloudspeichern.

6. Werden Dateien mit anderen geteilt, sind die erforderlichen Freigaben auf das Notwendige zu beschränken und regelmäßig zu überprüfen.

7. Im Cloudspeicherdienst abgelegte und weiterhin benötigte Daten sind vom Benutzer oder der Benutzerin vor Ausscheiden aus der FAU eigenverantwortlich zu sichern und ggf. in universitären Speicherdiensten abzulegen. Eine Unterstützung bei der Migration der Daten kann die FAU resp. RRZE aus technischen Gründen (fehlende Zugriffsrechte) nicht leisten.

8. Es sind in diesem Zusammenhang die vom universitären Standard abweichenden Löschfristen des Auftragsverarbeiters (nach Vertragsende/Exmatrikulation) zu beachten.

9. Die FAU haftet unbeschadet der Regelungen der DSGVO oder anderer gesetzlicher Regelungen nicht für verloren gegangene Daten, insbesondere auch nicht für den Verlust von Daten, der durch das Ausscheiden einer Person aus der FAU resultiert. Eine standardmäßige Sicherung (Backup) der in externen Cloudspeicherdiensten abgelegten Daten durch die FAU erfolgt nicht.

Empfehlungen zur Beschaffung von Software mit Kollaborationstools und Cloud-Diensten an der FAU

Vor der Beschaffung von Software

Die Lizenzbedingungen (und damit sowie mit dem Beschaffungsvorgang verbundene Dokumente) sind stets vor der Beschaffung sehr sorgfältig zu lesen. Dabei müssen die Rechte und Pflichten der Vertragspartner nicht nur hinsichtlich der Leistungserbringung, sondern auch hinsichtlich Sicherheit und Datenschutz der Software sowie technischer Machbarkeit bewertet werden. Wichtige Fragen sind z.B.:

  • Standort des Cloud-Anbieters und der Server – Datenschutzrecht, dem der Cloud-Dienst unterliegt
  • Daten löschen, Nutzung beenden
  • Datenverschlüsselung in der Cloud
  • Konfiguration von Cloud-Diensten
  • Schutz vor Fremdzugriffen, auch vor Zugriff durch den Cloud-Anbieter
  • Sicherheitskennung.

Vor jeder Beschaffung von Software und Lizenzen sind die Einrichtungen der FAU gem. Beschaffungsrichtlinien verpflichtet, sich über evt. vorhandene Rahmenverträge und das zentrale Software-Angebot des RRZE zu informieren. Ist das gewünschte Software-Produkt nicht im Angebot, ist eine Anfrage an das RRZE per E-Mail an software@fau.de zu stellen. An diese E-Mail-Adresse können z.B. auch Fragen zu  Lizenzbedingungen gerichtet werden. Siehe auch weitere Hinweise zur korrekten Lizenzierung.

Ggf. ist die Software, die im weiteren Sinne auch ein IT-System darstellt, gem. IT-Richtlinie vom CIO zu genehmigen oder der Personalrat ist zu informieren. Es sind in jedem Fall Aspekte des Datenschutzes zu beachten, wenn Forschungs- und Arbeitsergebnisse sowie persönliche Daten von Mitarbeitern der FAU in fremden Clouds verarbeitet und gespeichert werden sollen.

Empfohlenes Vorgehen

  1. Prüfung der Lizenzbedingungen und Softwareinformationen auf Nutzungsrisiken und technische Machbarkeit, ggf. unter Einbindung des RRZE. Siehe auch weitere Hinweise zur korrekten Lizenzierung.
  2. Stellungnahme des RRZE zur Vorlage beim Referat H4 – Finanzbuchhaltung für IT-Beschaffungen, die nicht aus bestehenden Rahmenverträgen getätigt werden können. Die Stellungnahme ist vor einer Bestellung / vor einem Kauf beim RRZE einzuholen.
  3. Beurteilung des Cloud-Nutzungsservices durch den Datenschutzbeauftragten der FAU
  4. Cloud-Services sind neue IT-Systeme, diese sind gemäß § 5 Abs. 4 CIO-Ordnung dem CIO-Gremium anzuzeigen, nachdem keine dem Einsatz entgegen stehenden schwerwiegenden Einwände des Datenschutzbeauftragten der FAU vorliegen.

Vor jeder Nutzung von Cloud-Diensten

Bevor eine Software mit angebundenen Kollaborationstools und Cloud-Services benutzt wird ist es ratsam, den Schutzbedarf der verarbeiteten Daten hinsichtlich Vertraulichkeit, Verfügbarkeit und Integrität zu analysieren.

Zudem ist es wichtig zu wissen, wie einfach oder umständlich es ist, Daten wieder aus der Cloud zu entfernen. Denn das Löschen von Daten in der Cloud ist nicht so einfach wie zu Hause auf dem Rechner. Cloud-Anbieter speichern häufig mehrere Kopien der Dateien in verschiedenen Rechenzentren, um eine hohe Verfügbarkeit zu gewährleisten. Manche Anbieter behalten Daten auch nach einer Kündigung oder „Löschung“ noch für einige Zeit für den Fall, dass die Kündigung oder Löschung zurückgenommen wird (was oft genug vorkommt). Daher empfiehlt sich ein Blick in die Allgemeinen Geschäftsbedingungen (AGB) des Anbieters.

Zur Beachtung: Bereits das Testen einer Software mit angebundenen Kollaborationstools und Cloud-Services unterliegt den strengen Auflagen, weil bereits z.B. persönliche Daten verarbeitet werden würden.

  • Für personenbezogene Daten (sowohl mit dienstlichem als auch privatem Bezug) gelten die Bestimmungen des Datenschutzes. Auch Daten ohne Personenbezug können einen sehr hohen Schutzbedarf haben (zum Beispiel auf Grund von Geheimhaltungsvereinbarungen) oder weil andere rechtliche oder Vertraulichkeitsrisiken bestehen.
  • Ein Schutzbedarf im Einzelfall wird grundsätzlich hinsichtlich der möglichen Gefahren für Betroffene, die Hochschule und Dritte (Projektpartner) bestimmt. Entsprechend dieser Gefahren sind die drei Informationssicherheitsschutzziele Verfügbarkeit, Integrität und Vertraulichkeit jeweils differenziert zu betrachten. Entsprechend differenziert müssen Vorkehrungen zur Sicherheit der Daten getroffen werden. Im Zweifel fragen Sie nach (Datenschutzbeauftragte, Beauftragte der Informationssicherheit). Aus dem Schutzbedarf der Daten folgt zwingend die Eignung oder Nicht-Eignung zur Speicherung in der externen Cloud. Im Falle von mehreren in Frage kommenden Kategorien ist die mit dem jeweils höchsten Schutzbedarf zu wählen.

Beispielsweise kann die Kategorisierung wie in der Tabelle vorgenommen werden (u.a. auch von der Vertragsgestaltung mit dem Cloud-Anbieter abhängig).

Schutzbedarf Eignung
Daten ohne Schutzbedarf Für die Ablage und die Verarbeitung in Clouds geeignet
Daten mit normalem Schutzbedarf Für die Ablage und die Verarbeitung in Clouds geeignet, soweit keine anderslautenden Dienstanweisungen greifen

Verschlüsselung empfohlen

Daten mit hohem Schutzbedarf

 

Daten mit sehr hohem Schutzbedarf

keine Ablage und Verarbeitung in Clouds

  • Personalakten, besondere sachliche Verhältnisse von Beschäftigten
  • sensible personenbezogene Daten (Gesundheitsbezug, Herkunft, politische Meinung, Gewerkschaftszugehörigkeit, sexuelle Orientierung, biometrische Daten, besondere sachliche Verhältnisse)
  • Haushalts- und Finanzdaten
  • Prüfungswesen (Gutachten und Korrekturen)
  • Technische Daten (Baupläne sensibler Räume, Netzwerkpläne)
  • Forschungsdaten, die nicht für die Öffentlichkeit bestimmt sind, soweit nicht normaler Schutzbedarf

Sichere Nutzung von Cloud-Diensten

Quelle: BSI

Wie können öffentliche und dienstliche Daten unterschieden werden?

Bei der „Öffentlichkeit“ und „Dienstlichkeit“ von Daten handelt es sich um voneinander unabhängige Eigenschaften von Daten. Vier verschiedene Kombinationen sind hier möglich:

  • dienstlich/öffentlich
  • dienstlich/nicht-öffentlich
  • nicht-dienstlich/öffentlich
  • nicht-dienstlich/nicht-öffentlich

Wenn dienstliche Daten in einem externen Cloud-Dienst verarbeitet werden, ist der BSI-Mindeststandard immer anzuwenden, unabhängig davon, ob die Daten öffentlich sind oder nicht. Auch bei öffentlichen Daten bestehen in der Regel Anforderungen an ihre Integrität und Verfügbarkeit. Ggf. können die individuellen Schutzmaßnahmen geringer ausfallen als bei nicht-öffentlichen Daten, dies muss jedoch im Rahmen des Mindeststandardprozesses entschieden und begründet werden.

Zugänglichkeit dienstliche Daten keine dienstlichen Daten
öffentlich
  • Mindeststandard ist anzuwenden
  • i.d.R. Datenkategorie 4 (sonstige Daten)
  • ggf. kann begründet werden, dass Risiken durch die Cloud-Nutzung minimal sind
Mindeststandard optional
nicht öffentlich
  • Mindeststandard ist anzuwenden
  • alle Datenkategorien möglich
  • Anforderungen müssen bedarfsgerecht festgelegt werden
Mindeststandard optional

Die Tabelle gibt einen Überblick, welche Auswirkungen die verschiedenen Kombinationen jeweils auf die Gültigkeit des Mindeststandards haben.

Ist mein Cloud-Dienst im Sinne des Mindeststandards des BSI?

Die BSI-Definition für Cloud-Dienste ist zu finden unter: Cloud Computing Grundlagen. Beispiele und weitere Hinweise zur Abgrenzung erhält man darüber hinaus in den Umsetzungshinweisen zum Mindeststandard.