Identitätsmanagement im Cloud Computing: Evaluation ökonomischer und rechtlicher Rahmenbedingungen
Von Brigitte Werners
()
Über dieses E-Book
Ähnlich wie Identitätsmanagement im Cloud Computing
Ähnliche E-Books
Pre-Employment-Screening: Ein risikobasierter Praxisleitfaden zur Bewerberüberprüfung im Personalauswahlverfahren Bewertung: 0 von 5 Sternen0 BewertungenManipulationssichere Cloud-Infrastrukturen: Nachhaltige Digitalisierung durch Sealed Cloud Security Bewertung: 0 von 5 Sternen0 BewertungenDigital sicher in eine nachhaltige Zukunft: Tagungsband zum 19. Deutschen IT-Sicherheitskongress Bewertung: 0 von 5 Sternen0 BewertungenDie DSGVO verstehen und anwenden: Datenschutzkompetenz für Unternehmen Bewertung: 0 von 5 Sternen0 BewertungenAdäquates Sicherheitsniveau bei der elektronischen Kommunikation: Der Einsatz des E-Postbriefs bei Berufsgeheimnisträgern Bewertung: 0 von 5 Sternen0 BewertungenIT-Risikomanagement von Cloud-Services in Kritischen Infrastrukturen: HMD Best Paper Award 2017 Bewertung: 0 von 5 Sternen0 BewertungenSharePoint Kompendium - Bd. 20 Bewertung: 0 von 5 Sternen0 BewertungenKosten der IT-Sicherheit: Ein Ausgangspunkt für weitergehende Untersuchungen Bewertung: 0 von 5 Sternen0 BewertungenCloud Computing: Rechtliche Grundlagen Bewertung: 0 von 5 Sternen0 BewertungenInformationssicherheit und Datenschutz systematisch und nachhaltig gestalten: Eine kompakte Einführung in die Praxis Bewertung: 0 von 5 Sternen0 BewertungenIT-Sicherheit ist sexy!: Argumente für Investitionen in IT-Sicherheit Bewertung: 0 von 5 Sternen0 BewertungenCrime Scene Internet: Ein Streifzug durch das Computer- und Internetstrafrecht Bewertung: 0 von 5 Sternen0 BewertungenIT-Anforderungen im Immobilienbereich Bewertung: 0 von 5 Sternen0 Bewertungen30 Minuten Digitale Souveränität Bewertung: 0 von 5 Sternen0 BewertungenCompliance & Arbeitsschutz, eine praktische Anleitung: Methodik und Verantwortung Bewertung: 0 von 5 Sternen0 BewertungenMobile Security: Schwachstellen verstehen und Angriffsszenarien nachvollziehen Bewertung: 0 von 5 Sternen0 BewertungenRecht der Datenwirtschaft Bewertung: 0 von 5 Sternen0 BewertungenInformation Security: Smarte Lösungen zu neuartigen Bedrohungen und erweiterter Regulatorik Bewertung: 0 von 5 Sternen0 BewertungenBlockchain und maschinelles Lernen: Wie das maschinelle Lernen und die Distributed-Ledger-Technologie voneinander profitieren Bewertung: 0 von 5 Sternen0 Bewertungensichere Informationstechnologie: auf der Suche nach robusten Organisationsformen: Cyber-Security, Datenschutz, Managementsysteme Bewertung: 0 von 5 Sternen0 BewertungenDie datenschutzrechtliche Unterweisung: durch Datenschutzbeauftragte in deutschen Unternehmen und Behörden Bewertung: 0 von 5 Sternen0 BewertungenDatenschutz im Unternehmen: Praktisch umgesetzt mit SharePoint Online und Microsoft Teams Bewertung: 0 von 5 Sternen0 BewertungenIhr Recht als Programmierer: Juristische Tipps für Angestellte, Selbstständige und Freelancer Bewertung: 0 von 5 Sternen0 BewertungenDigitalisierung in KMU kompakt: Compliance und IT-Security Bewertung: 0 von 5 Sternen0 BewertungenCloud Security: Praxisorientierte Methoden und Lösungen für sicheres Cloud Computing Bewertung: 0 von 5 Sternen0 BewertungenUsable Security und Privacy by Design Bewertung: 0 von 5 Sternen0 BewertungenDatenschutz Cloud-Computing: Ein Handbuch für Praktiker - Leitfaden für IT Management und Datenschutzbeauftragte Bewertung: 0 von 5 Sternen0 BewertungenBasisdatenschutz für Jungunternehmer: Ein Praxisratgeber Bewertung: 0 von 5 Sternen0 BewertungenWas IT-Security und Kindesentführung gemeinsam haben: Wahre Ereignisse und Erfahrungswerte aus dem Leben des Autors Bewertung: 0 von 5 Sternen0 BewertungenRechtliche Herausforderungen von Blockchain-Anwendungen: Straf-, Datenschutz- und Zivilrecht Bewertung: 0 von 5 Sternen0 Bewertungen
Recht für Sie
Reden gegen Verres: Ciceros meisterhafte Rhetorik in seiner bekannteste Gerichtsrede: Die Kunst der Rhetorik in Rechtswissenschaft Bewertung: 0 von 5 Sternen0 Bewertungen200 Duas für Muslim Bewertung: 5 von 5 Sternen5/5200 Übungsfragen für die mündliche Prüfung: Sachkundeprüfung gem. § 34a GewO Bewertung: 4 von 5 Sternen4/5Compendium Wortschatz Deutsch-Deutsch, erweiterte Neuausgabe: 2. erweiterte Neuausgabe Bewertung: 3 von 5 Sternen3/5Internationales Wirtschaftsrecht Internationales Privatrecht Bewertung: 0 von 5 Sternen0 BewertungenLogik, Ethik, Mystik: Allgemeine Rechtslehre Bewertung: 0 von 5 Sternen0 BewertungenBürgerliches Gesetzbuch (BGB) Bewertung: 0 von 5 Sternen0 BewertungenBGB Allgemeiner Teil: für Studienanfänger Bewertung: 0 von 5 Sternen0 BewertungenDie Diktatur der Demokraten: Warum ohne Recht kein Staat zu machen ist Bewertung: 0 von 5 Sternen0 BewertungenGrundlagen der Kriminaltechnik I Bewertung: 0 von 5 Sternen0 BewertungenPräsentieren auf Englisch: überzeugender Auftritt / treffende Formulierungen / klare Visualisierung Bewertung: 0 von 5 Sternen0 BewertungenVölkerrecht und IPR Bewertung: 0 von 5 Sternen0 BewertungenSchadensrecht Bewertung: 0 von 5 Sternen0 BewertungenHaus, Wohnung oder Grundstück kaufen: Was Sie von Auswahl bis Versicherung beim Immobilienkauf beachten müssen Bewertung: 0 von 5 Sternen0 BewertungenFamilienrecht Bewertung: 0 von 5 Sternen0 BewertungenKlausurenkurs BGB - Allgemeiner Teil: Ein Fallbuch für Studienanfänger Bewertung: 0 von 5 Sternen0 BewertungenKäuferrechte Bewertung: 0 von 5 Sternen0 BewertungenPolizeiliche Abkürzungen Bewertung: 0 von 5 Sternen0 BewertungenReden gegen Verres: Die Kunst der Rhetorik in Rechtswissenschaft Bewertung: 0 von 5 Sternen0 BewertungenTrigger Warnung: Identitätspolitik zwischen Abwehr, Abschottung und Allianzen Bewertung: 0 von 5 Sternen0 BewertungenJuristische Übungsfälle zum BGB AT Bewertung: 0 von 5 Sternen0 BewertungenRichtig vererben und verschenken Bewertung: 0 von 5 Sternen0 BewertungenBaugesetzbuch (BauGB) Bewertung: 0 von 5 Sternen0 BewertungenRhetorische Deeskalation: Deeskalatives Einsatzmanagement – Stress- und Konfliktmanagement im Polizeieinsatz Bewertung: 0 von 5 Sternen0 BewertungenJuristische Übungsfälle zum Sachenrecht II Immobiliarsachenrecht Bewertung: 0 von 5 Sternen0 BewertungenPraxishandbuch Security Bewertung: 0 von 5 Sternen0 BewertungenPhotovoltaikanlage und Blockheizkraftwerk: Steuern, Technik und Umsetzung Bewertung: 0 von 5 Sternen0 BewertungenDer GmbH-Geschäftsführer: Status, Rechte und Pflichten Bewertung: 0 von 5 Sternen0 BewertungenStiftung als Steuersparmodell: Rechtsform für die Vermögensübertragung im Rahmen der Nachfolgeplanung Bewertung: 0 von 5 Sternen0 Bewertungen
Rezensionen für Identitätsmanagement im Cloud Computing
0 Bewertungen0 Rezensionen
Buchvorschau
Identitätsmanagement im Cloud Computing - Georg Borges
Herausgeber
Georg Borges und Brigitte Werners
Identitätsmanagement im Cloud ComputingEvaluation ökonomischer und rechtlicher Rahmenbedingungen
../images/441055_1_De_BookFrontmatter_Figa_HTML.pngHerausgeber
Georg Borges
Institut für Rechtsinformatik, Universität des Saarlandes, Saarbrücken, Deutschland
Brigitte Werners
Fakultät für Wirtschaftswissenschaft, Ruhr-Universität Bochum, Bochum, Deutschland
ISBN 978-3-662-55583-5e-ISBN 978-3-662-55584-2
https://doi.org/10.1007/978-3-662-55584-2
Die Deutsche Nationalbibliothek verzeichnet diese Publikation in der Deutschen Nationalbibliografie; detaillierte bibliografische Daten sind im Internet über http://dnb.d-nb.de abrufbar.
© Springer-Verlag GmbH Deutschland, ein Teil von Springer Nature 2018
Das Werk einschließlich aller seiner Teile ist urheberrechtlich geschützt. Jede Verwertung, die nicht ausdrücklich vom Urheberrechtsgesetz zugelassen ist, bedarf der vorherigen Zustimmung des Verlags. Das gilt insbesondere für Vervielfältigungen, Bearbeitungen, Übersetzungen, Mikroverfilmungen und die Einspeicherung und Verarbeitung in elektronischen Systemen.
Die Wiedergabe von Gebrauchsnamen, Handelsnamen, Warenbezeichnungen usw. in diesem Werk berechtigt auch ohne besondere Kennzeichnung nicht zu der Annahme, dass solche Namen im Sinne der Warenzeichen- und Markenschutz-Gesetzgebung als frei zu betrachten wären und daher von jedermann benutzt werden dürften.
Der Verlag, die Autoren und die Herausgeber gehen davon aus, dass die Angaben und Informationen in diesem Werk zum Zeitpunkt der Veröffentlichung vollständig und korrekt sind. Weder der Verlag, noch die Autoren oder die Herausgeber übernehmen, ausdrücklich oder implizit, Gewähr für den Inhalt des Werkes, etwaige Fehler oder Äußerungen.
Springer ist ein Imprint der eingetragenen Gesellschaft Springer-Verlag GmbH, DE und ist ein Teil von Springer Nature.
Die Anschrift der Gesellschaft ist: Heidelberger Platz 3, 14197 Berlin, Germany
Vorwort
Die zentrale Bedeutung des Identitätsmanagements für die digitale Gesellschaft, die wesentlich auf der Kommunikation per Internet beruht und notwendig des Zugriffs per Internet auf geschützte Anwendungen oder Inhalte bedarf, kann inzwischen als allgemein anerkannt angesehen werden. Zugleich besteht Unsicherheit hinsichtlich der Anforderungen an ein passendes Identitätsmanagement.
Die Etablierung eines geeigneten Identitätsmanagements ist eine Aufgabe, die nur interdisziplinär gelöst werden kann. Dies gilt ebenso für die Formulierung der entsprechenden rechtlichen Rahmenbedingungen.
Die wesentliche Stellschraube für die Konkretisierung der rechtlichen Anforderungen an Identitätsmanagement ist das Verhältnis von Aufwand und Nutzen der jeweiligen Schutzmaßnahmen. Damit sind Ökonomie und Recht unter Einbeziehung technischer Grundlagen gefragt, geht es doch um die Optimierung des Schutzes gegen Identitätsmissbrauch im Verhältnis zum Aufwand.
Die damit aufgeworfene Aufgabe war Gegenstand eines gemeinsamen Forschungsprojekts des Lehrstuhls für Betriebswirtschaftslehre, insbesondere Unternehmensforschung und Rechnungswesen (Prof. Dr. Werners) und des Lehrstuhls für Bürgerliches Recht, deutsches und internationales Wirtschaftsrecht, insb. IT-Recht (Prof. Dr. Borges) der Ruhr-Universität Bochum. Die wesentlichen Ergebnisse der Untersuchung sind in diesem Werk zusammengefasst. Aus unserer Sicht ist die Untersuchung auch ein Beleg für das Potential der interdisziplinären Zusammenarbeit in der IT-Sicherheit.
Das Forschungsprojekt und dieses Buch wären nicht möglich gewesen ohne die Horst Görtz Stiftung, die das Projekt finanziert hat. Dafür sagen wir der Stiftung und Herrn Horst Görtz persönlich herzlichen Dank!
Georg Borges
Brigitte Werners
Danksagungen
Herausgeber und Autoren danken der Horst Görtz Stiftung für die Förderung des Projektes „IDENTITÄTSMANAGEMENT IM CLOUD COMPUTING", welches die Grundlage für die vorliegende Schrift war.
Inhaltsverzeichnis
Kapitel 1 Einführung: Herausforderungen an das Identitätsmanagement im Cloud Computing 1
Georg Borges
Kapitel 2 Cloud Computing: Einsatz-, Bedrohungs- und Schadensszenarien 11
Alexander Golland und Andreas Schilling
Kapitel 3 Schutzmaßnahmen zur sicheren Identifizierung und Authentifizierung für Cloud-basierte Systeme 33
Andreas Schilling
Kapitel 4 Rechtliche Rahmenbedingungen des Identitätsmangements im Cloud Computing 53
Alexander Golland und Peter Schneidereit
Kapitel 5 Quantitative Entscheidungsunterstützung für ein sicheres Identitäts- und Zugriffsmanagement 105
Andreas Schilling und Brigitte Werners
Kapitel 6 Konkretisierung rechtlicher Anforderungen an das Identitätsmanagement im Cloud Computing 137
Torben Kriegesmann und Peter Schneidereit
Kapitel 7 Zusammenfassung der Ergebnisse 185
Torben Kriegesmann und Andreas Schilling
© Springer-Verlag GmbH Deutschland, ein Teil von Springer Nature 2018
Georg Borges und Brigitte Werners (Hrsg.)Identitätsmanagement im Cloud Computinghttps://doi.org/10.1007/978-3-662-55584-2_1
1. Einführung: Herausforderungen an das Identitätsmanagement im Cloud Computing
Georg Borges¹
(1)
Universität des Saarlandes, Lehrstuhl für Bürgerliches Recht, Rechtsinformatik, deutsches und internationales Wirtschaftsrecht sowie Rechtstheorie, 66123 Saarbrücken, Deutschland
Georg Borges
Email: georg.borges@uni-saarland.de
1 Cloud Computing und Identitätsmanagement
2 Konkretisierung rechtlicher Anforderungen an Identitätsmanagement
3 Grundlagen des Identitätsmanagements im Cloud Computing
3.1 Rechtliche Rahmenbedingungen des Identitätsmanagements
3.2 Bedrohungs- und Schadenszenarien
3.3 Kosten-Nutzen-Untersuchung technischer Sicherheitsmaßnahmen
4 Konkretisierung rechtlicher Anforderungen durch ökonomische Analyse
5 Identitätsmanagement und Compliance in der Praxis
Literatur
1 Cloud Computing und Identitätsmanagement
Cloud Computing entwickelt sich zu einer technischen und organisatorischen Grundlage der digitalen Gesellschaft. Datenverarbeitung, nicht zuletzt die Datenspeicherung, erfolgt zunehmend nicht durch eigene Datenverarbeitungsanlagen, sondern durch Nutzung von Cloud-Diensten. Dies beruht zu einem großen Teil auf den enormen Effizienzvorteilen durch gemeinsame Nutzung von Ressourcen, die zu erheblichen Kostenersparnissen führen können.¹ Darüber hinaus ergeben sich Vorteile auch durch eine einfache Handhabung des Zugriffs auf Daten per Internet durch unterschiedliche Geräte, die von Verbrauchern, ebenso wie von Unternehmen, geschätzt werden.² Entsprechend hat sich ein starker Trend zur Nutzung von Cloud-Diensten entwickelt, dem Unternehmen, Behörden und ebenso Verbraucher folgen.³
Cloud Computing birgt aber auch spezifische Risiken, die insbesondere auf die für das Cloud Computing charakteristischen Zugriffe auf die Daten per Internet zurückgehen, da hierdurch internetbasierte Angriffe auf die Daten ermöglicht werden.
In diesem Zusammenhang hat der Missbrauch von Identitäten große praktische Bedeutung. Identitätsmissbrauch liegt vor, wenn eine Identität (Identitätsdaten) unbefugt verwendet wird.⁴ Angriffe erfolgen in der Praxis sehr häufig durch den Missbrauch von Authentisierungsmedien (z. B. Passwort) eines berechtigten Nutzers. Die Dimension dieser Herausforderungen wird durch das Phänomen des Phishing und anderer Formen des Identitätsmissbrauchs deutlich. Identitätsmissbrauch per Internet wurde in Deutschland durch die ersten großen Phishingwellen im Online-Banking bekannt, die ab 2004 auftraten.⁵
Seitdem hat sich die Intensität des Identitätsmissbrauchs erheblich ausgeweitet. So war nach Schätzungen des US-amerikanischen Justizministeriums im Jahr 2014 jeder siebte US-Bürger über 16 Jahren – insgesamt 17,6 Mio. Bürger – Opfer von Identitätsmissbrauch.⁶ Betroffen sind nahezu alle Bereiche des elektronischen Geschäftsverkehrs. Insbesondere beim Online-Banking und im Online-Handel sind immer neuere und aufwendigere Angriffsszenarien zu verzeichnen.⁷
Eine zentrale Herausforderung bei der Nutzung von Cloud-Diensten ist es daher, Daten gegen den Zugriff Unbefugter per Internet zu schützen, insbesondere den Missbrauch von Identitäten abzuwehren. Damit steht das Identitätsmanagement⁸ im Zentrum des Schutzes von Daten gegen Zugriffe Unbefugter⁹
2 Konkretisierung rechtlicher Anforderungen an Identitätsmanagement
Der Schutz von Daten gegen Zugriffe durch Unbefugte ist Gegenstand zahlreicher rechtlicher Anforderungen. Identitätsmanagement ist damit eine Compliance-Aufgabe, die Nutzer und Anbieter von Cloud-Diensten gleichermaßen trifft.
Das Ziel der Compliance, die Erfüllung rechtlicher Anforderungen in der Organisation zu sichern,¹⁰ verlangt in Bezug auf die Abwehr von Identitätsmissbrauch und unbefugten Datenzugriff die Kenntnis des Inhalts rechtlicher Anforderungen an Schutzmaßnahmen. Diese ist indes nicht leicht zu erlangen. Die rechtlichen Anforderungen an das Identitätsmanagement im Cloud Computing sind nicht spezifisch gesetzlich geregelt. Sie sind vielmehr aus allgemeinen rechtlichen Anforderungen unterschiedlichster Art abzuleiten. Dabei gilt, dass sich die Anforderung, konkret: die rechtliche Pflicht zur Durchführung bestimmter Schutzmaßnahmen, regelmäßig aus einer Abwägung von Schutzbedarf und wirtschaftlicher Zumutbarkeit einer Schutzmaßnahme ergibt. Sehr deutlich wird dieser Zusammenhang in § 9 Abs. 1 BDSG, der wie folgt lautet: „Öffentliche und nicht-öffentliche Stellen […] haben die technischen und organisatorischen Maßnahmen zu treffen, die erforderlich sind, um die Ausführung der Vorschriften dieses Gesetzes […] zu gewährleisten. Erforderlich sind Maßnahmen nur, wenn ihr Aufwand in einem angemessenen Verhältnis zu dem angestrebten Schutzzweck steht."
Satz 1 formuliert eine gesetzliche Pflicht zur Vornahme der erforderlichen Schutzmaßnahmen, und Satz 2 macht deutlich, dass die Konkretisierung der gesetzlichen Pflicht durch eine Abwägung zwischen dem Schutzbedarf der jeweiligen Datenverarbeitung und dem Aufwand einer in Betracht kommenden Schutzmaßnahme zu ermitteln ist.
Die damit erforderliche Abwägung stellt hohe Anforderungen an Nutzer und Anbieter von Cloud-Diensten als Adressaten der gesetzlichen Pflicht.¹¹ Entsprechend besteht insoweit erhebliche Unsicherheit hinsichtlich der konkreten Anforderungen, viele Aspekte sind umstritten.¹² Es ist daher von großem Interesse, wie eine verlässliche Konkretisierung der Anforderungen erreicht werden kann.
In jüngster Zeit gibt es einige Ansätze zur Konkretisierung der Anforderungen an den Schutz von Daten gegen unbefugten Zugriff. Ein interessanter Ansatz wurde etwa im Bereich des Datenschutzrechts entwickelt. So hat das Pilotprojekt „Datenschutz-Zertifizierung für Cloud-Dienste"¹³ im Auftrag des Bundesministeriums für Wirtschaft und Energie einen Prüfstandard für Cloud-Dienste, das sogenannte Trusted Cloud-Datenschutzprofil für Cloud-Dienste (TCDP),¹⁴ entwickelt, dessen ausdrückliches Ziel es ist, die datenschutzrechtlichen Anforderungen des BDSG für Cloud-Dienste zu konkretisieren.¹⁵ Einen teilweise ähnlichen Ansatz verfolgt das BSI mit dem Schutzstandard „Anforderungen an Sicherheit im Cloud Computing" (C 5),¹⁶ der allerdings keinen direkten Bezug zu rechtlichen Normen hat.
Beide Ansätze verfolgen das Ziel, Anforderungen u. a. an Identitätsmanagement für den Bereich des Cloud Computing zu konkretisieren. Sie geben jedoch keine konkrete Auskunft darüber, wie die wirtschaftlichen Aspekte verschiedener in Betracht kommender Schutzmechanismen im Zusammenhang mit rechtlichen Anforderungen zu berücksichtigen sind. Diese Frage ist ein zentraler Gegenstand dieses Werks.
3 Grundlagen des Identitätsmanagements im Cloud Computing
3.1 Rechtliche Rahmenbedingungen des Identitätsmanagements
Das Identitätsmanagement im Cloud Computing ist in vielfacher Hinsicht Gegenstand rechtlicher Regulierung. Hier sind vor allem die Regeln zum Schutz gegen Zugriffe durch Unbefugte von Bedeutung. Auch insoweit können zahlreiche Normen ganz unterschiedlicher Art anwendbar sein. Da Cloud-Dienste regelmäßig aufgrund eines Vertrags zwischen Anbieter und Nutzer des Cloud-Dienstes erbracht werden, können Anforderungen an Schutzmaßnahmen vertraglich vereinbart werden und ergeben sich, soweit keine ausdrückliche Regelung getroffen wird, aus allgemeinen Schutzpflichten im Sinne des § 241 Abs. 2 BGB.¹⁷ Für einige Vertragsverhältnisse, etwa im Bereich von Finanzleistungen, bestehen konkrete vertragsrechtliche Schutzanforderungen, etwa in § 675m BGB, für Zahlungsdienste.¹⁸
Neben vertraglichen Anforderungen bestehen deliktische Pflichten, die ihre Grundlage sowohl in den allgemeinen Normen des Deliktsrechts, namentlich § 823 Abs. 1 BGB sowie § 823 Abs. 2 BGB in Verbindung mit Schutzgesetzen, als auch in Spezialgesetzen haben. Die größte Bedeutung für Cloud Computing haben insofern die Anforderungen des Datenschutzrechts, da sehr häufig personenbezogene Daten verarbeitet werden.¹⁹ Große Bedeutung haben branchenspezifische Gesetze, etwa im Finanzbereich oder im Bereich von Sozialdaten.²⁰
Ergänzend treten spezifische Regelungen zur IT-Sicherheit hinzu. Die steigende Bedeutung von IT-Sicherheit – jüngst auch spezifisch und sektorübergreifend – kommt beispielsweise deutlich in dem 2015 erlassenen IT-Sicherheitsgesetz zum Ausdruck.²¹
Die rechtlichen Rahmenbedingungen des Identitätsmanagements werden im vierten Kapitel im Einzelnen dargestellt.
3.2 Bedrohungs- und Schadenszenarien
Die konkreten Anforderungen an den Schutz von Daten gegen unbefugten Zugriff sind, wie dargestellt,²² regelmäßig durch eine Abwägung von Schutzbedarf und Kosten der in Betracht kommenden Schutzmaßnahmen zu ermitteln. Die Ermittlung des Schutzbedarfs erfolgt auf der Grundlage einer Risikoanalyse, bei der insbesondere der Umfang eines möglichen Schadens bei Zugriff Unbefugter sowie die Wahrscheinlichkeit unbefugten Zugriffs zu berechnen sind.²³
Eine solche Risikoanalyse ist ohne Kenntnis möglicher Angriffe nicht durchführbar. Daher werden im folgenden zweiten Kapitel²⁴ relevante internetgestützte Angriffe auf Cloud-Dienste dargestellt.
3.3 Kosten-Nutzen-Untersuchung technischer Sicherheitsmaßnahmen
Der Kern der IT-Sicherheitsstrategie liegt in der Wahl geeigneter Maßnahmen der IT-Sicherheit. Aus ökonomischer Sicht ist dabei eine Kosten-Nutzen-Analyse durchzuführen. Dabei ist maßgeblich, welchen Nutzen (Sicherheitsgewinn) eine bestimmte Maßnahme der IT-Sicherheit verspricht und welche Kosten damit verbunden sind. Um eine Quantifizierung effizient durchzuführen, sollten bestehende, auch externe Informationen verwendet und in einem quantitativen Ansatz berücksichtigt werden.²⁵
4 Konkretisierung rechtlicher Anforderungen durch ökonomische Analyse
Die rechtlichen Anforderungen an das Identitätsmanagement im Cloud Computing sind, wie dargestellt,²⁶ nicht ausdrücklich geregelt, sondern aus allgemeinen Bestimmungen zur Sicherheit oder gar dem allgemeinen Deliktsrecht abzuleiten.
Eine zentrale Anforderung der Compliance im Cloud Computing ist es daher, allgemeine rechtliche Anforderungen konkret für das Identitätsmanagement zu definieren. Insoweit hat sich in den letzten Jahren eine breite Diskussion entwickelt, und es haben sich konkrete Pflichten herausgebildet. Diese werden im sechsten Kapitel dargestellt. Entsprechend dem rechtlichen Rahmen sind dabei insbesondere branchenübergreifende²⁷ und branchenspezifische Anforderungen²⁸ zu unterscheiden.
Da sich die konkreten rechtlichen Anforderungen an IT-Sicherheit aus einer Abwägung von Schutzbedarf und Zumutbarkeit von Schutzmaßnahmen ergeben, gewinnen die Ergebnisse aus ökonomischer Analyse rechtliche Bedeutung. Bisher ist jedoch weitgehend unklar, inwieweit sich als Ergebnis einer ökonomischen Analyse eine konkretere rechtliche Anforderung ergibt. Diese Grundlagenfrage wird im sechsten Kapitel anhand der Ergebnisse des fünften Kapitels analysiert.²⁹
Die im Rahmen des Identitätsmanagements maßgeblichen Anforderungen, konkret die Pflichten zum Schutz von Daten gegen Zugriffe Unbefugter, sind für eine Reihe weiterer rechtlicher Aspekte von Bedeutung. Auch insofern können die Ergebnisse der Analyse fruchtbar gemacht werden. Daher werden die Verantwortlichkeit unter dem Gesichtspunkt der Rechtsscheinhaftung³⁰ sowie die für die Praxis oft zentralen Beweisfragen³¹ im Lichte der Ergebnisse aus der ökonomischen und rechtlichen Konkretisierung analysiert. Auch insoweit ergeben sich gegenüber dem bisherigen Diskussionsstand Konkretisierungen.³²
5 Identitätsmanagement und Compliance in der Praxis
Nutzer und Anbieter von Cloud-Diensten müssen in vielfacher Hinsicht eine Risikoabwägung treffen und entsprechend Schutzmaßnahmen ergreifen, um die rechtlichen Anforderungen an Schutz der Daten vor unbefugten Zugriffen zu erfüllen. Daher werden im siebten Kapitel die wesentlichen Ergebnisse so zusammengefasst, dass sie für die Praxis nutzbar gemacht werden können.
Literatur
Auer-Reinsdorff, Astrid/Conrad, Isabell: Handbuch IT- und Datenschutzrecht, 2. Aufl., München 2016.
Borges, Georg/Meents, Jan Geert: Cloud Computing. Rechtshandbuch, München 2016.
Borges, Georg/Schwenk, Jörg/Stuckenberg, Carl-Friedrich/Wegener, Christoph: Identitätsdiebstahl und Identitätsmissbrauch im Internet, Heidelberg 2011.
Borges, Georg: Cloud Computing und Datenschutz. Zertifizierung als Ausweg aus einem Dilemma, DuD 2014, 165–169.Crossref
Borges, Georg: Die Datenschutz-Grundverordnung. Potentiale für praxisgerechten Datenschutz, in: Schweighofer/Hötzendorfer/Sorge, Trends und Communities der Rechtsinformatik/Trends and Communities of Legal Informatics, Tagungsband des 20. Internationalen Rechtsinformatik Symposions IRIS 2017, Wien 2017.
Borges, Georg: Rechtliche Aspekte der Internetportale für Heilberufe. Zugang, Beweis, Datensicherung, Baden-Baden 2007.
Borges, Georg: Rechtsfragen der Haftung im Zusammenhang mit dem elektronischen Identitätsnachweis, Baden-Baden 2011.
Borges, Georg: Rechtsfragen der Internet-Auktion, 2. Aufl., Baden-Baden 2014.Crossref
Borges, Georg: Rechtsfragen des Phishing – Ein Überblick, NJW 2005, 3313–3117.
Busch, Christoph: Biometrie und Identitätsdiebstahl, DuD 2009, 317–317.Crossref
Derleder, Peter/Knops, Kai-Oliver/Bamberger, Heinz Georg: Deutsches und europäisches Bank- und Kapitalmarktrecht, 3. Aufl., Berlin Heidelberg 2017.
Gola, Peter/Schomerus, Rudolf: Bundesdatenschutzgesetz, 12. Aufl., München 2015.
Hameurlein, Abdelkader/Küng, Josef/Wagner, Roland/Schewe, Klaus-Dieter/Bosa, Karoly: Transactions on Large-Scale Data- and Knowledge-Centered Systems XXX, Heidelberg 2016.
Hauschka, Christoph E./Moosmayer, Klaus/Lösler, Thomas: Corporate Compliance. Handbuch der Haftungsvermeidung im Unternehmen, 3. Aufl., München 2016.
Hennrich, Thorsten: Compliance in Clouds. Datenschutz und Datensicherheit in Datenwolken, CR 2011, 546–552.
Hilber, Marc: Handbuch Cloud Computing, Köln 2014.
Hoeren, Thomas/Sieber, Ulrich/Holznagel, Bernd: Handbuch Multimedia-Recht, 43. EL, Stand: Juli 2016, München 2016.
Hossenfelder, Martin: Pflichten von Internetnutzern zur Abwehr von Malware und Phishing in Sonderverbindungen, Baden-Baden 2013, zugl. Dissertation an der Ruhr-Universität Bochum 2011/2012.
Martinek, Michael/Semler, Franz-Jörg/Flohr, Eckhard: Handbuch des Vertriebsrechts, 4. Aufl., München 2016.
Matros, Raimund: Der Einfluss von Cloud-Computing auf IT-Dienstleister, Wiesbaden 2012, zugl. Dissertation an der Universität Heidelberg 2012.
Niemann, Fabian/Paul, Jörg-Alexander: Praxishandbuch Rechtsfragen des Cloud Computing, Berlin 2014.
Passarge, Malte: Risiken und Chancen mangelhafter Compliance in der Unternehmensinsolvenz, NZI 2009, 86–91.
Repschläger, Jonas/Pannicke, Danny/Zarnekow, Rüdiger: Cloud Computing: Definitionen, Geschäftsmodelle und Entwicklungspotenziale, HMD Praxis der Wirtschaftsinformatik, Volume 47, 2010, 6–15.Crossref
Roßnagel, Alexander: Wolken über dem Rechtsstaat?, Baden-Baden 2015.
Selzer, Annika: Die Kontrollpflicht nach § 11 Abs. 2 Satz 4 BDSG im Zeitalter des Cloud Computing. Alternativen zur Vor-Ort-Kontrolle des Auftragnehmers durch den Auftraggeber, DuD 2013, 215–219.Crossref
Simitis, Spiros: Bundesdatenschutzgesetz, 8. Aufl., Baden-Baden 2014.
Taeger, Jürgen/Gabel, Detlev: Kommentar zum BDSG und den einschlägigen Vorschriften des TMG und TKG, 2. Aufl. 2013, Frankfurt a.M. 2013.
Tsolkas, Alexander/Schmidt, Klaus: Rollen und Berechtigungskonzepte, Wiesbaden 2010.
Wolff, Heinrich Amadeus/Brink, Stefan: Datenschutzrecht in Bund und Ländern, München 2013.
Fußnoten
1
Bieber/Schröder, in: Niemann/Paul, S. 37, 43; Matros, S. 60 f.; Repschläger/Pannicke/Zarnekow, HMD Praxis der Wirtschaftsinformatik, 6, 13; Weiss, in: Hilber, Teil 1 A Rn. 22; siehe http://www.heise.de/microsites/das-insider-portal/cloud/kostenersparnis-und-mehr-agilitaet-durch-die-cloud/150/474/1645/ (zuletzt abgerufen am 25.10.2017); ebenso https://business-services.heise.de/specials/erfolgsfaktor-digitalisierung/deutsche-cloud/beitrag/lohnt-sich-die-cloud-fuer-ihr-unternehmen-eine-studie-sagt-ein-vergleich-kann-sich-lohnen-2984.html (zuletzt abgerufen am 25.10.2017).
2
Bieber/Schröder, in: Niemann/Paul, S. 37, 42 f.; Weiss, in: Hilber, Teil 1 A Rn. 22 f.; dazu auch BMWi Monatsbericht 09-2013, S. 1, abrufbar unter: https://www.bmwi.de/Redaktion/DE/Downloads/Monatsbericht/Monatsbericht-Themen/09-2013-cloud-computing.pdf?__blob=publicationFile&v=5 (zuletzt abgerufen am 25.10.2017); zu den Vorteilen des Cloud Computing siehe https://www.heise.de/download/blog/Die-Vorteile-und-Nachteile-des-Cloud-Computing-3713041 und http://www.wiwo.de/technologie/digitale-welt/cloud-welche-vorteile-bieten-cloud-dienste/6288784-2.html (zuletzt abgerufen am 25.10.2017).
3
Jaikar/Noh, in: Hameurlein et al., S. 2; nach einer Umfrage der Bitkom Research hat sich die Zahl der Unternehmen, die Nutzer von Cloud-Diensten sind, von 28 % (2011) auf 54 % (2015) erhöht: Cloud-Monitor 2016, Charts (S. 5), abrufbar unter https://www.bitkom.org/Presse/Anhaenge-an-PIs/2016/Mai/Bitkom-KPMG-Charts-PK-Cloud-Monitor-12-05-2016.pdf, (zuletzt abgerufen am 17.02.2017); hierzu auch https://www.bitkom.org/Presse/Presseinformation/Erstmals-nutzt-die-Mehrheit-der-Unternehmen-Cloud-Computing.html. Ferner siehe auch https://business-services.heise.de/it-management/cloud-computing/beitrag/was-bringt-das-jahr-2016-aktuelle-trends-in-der-entwicklung-von-cloud-computing-services-2760.html?tx_hbs_pi1%5B%40widget_0%5D%5BcurrentPage%5D=2&cHash=be745cfd9543441cf0a7b4ec6b99dbda und http://www.it-cloud-index.de/cloud-vorteile-zunehmend-akzepiert/ (alle Seiten zuletzt abgerufen am 25.10.2017).
4
Borges, Identitätsnachweis, S. 113; Borges et al., S. 9; Busch, DuD 2009, 317; Hossenfelder, S. 122.
5
Borges, NJW 2005, 3313, 3313; Schwenk, in: Borges, Internet-Auktion, S. 355.
6
Harrell in U.S. Departement of Justice, Victims of Identity Theft, 2014, Sept. 2015 NCJ 248991, abrufbar unter: https://www.bjs.gov/content/pub/pdf/vit14.pdf (zuletzt abgerufen am 25.10.2017). Verglichen mit dem Jahr 2008, in dem die Zahl der Opfer auf 11,7 Mio. US-Bürger geschätzt wurde (Pressemeldung U.S. Department of Justice v. 26.12.2010, abrufbar unter: https://ojp.gov/newsroom/pressreleases/2010/BJS11044.htm (zuletzt abgerufen am 25.10.2017)), bedeutet dies eine Steigerung von über 50 %.
7
Schwenk, in: Borges, Internet-Autkion, S. 359; Zu den Angriffsszenarien im Onlinebanking: Borges, in: Derleder/Knops/Bamberger, Kap. I § 9 Rn. 262 ff.
8
Der Begriff des Identitätsmanagements wird unterschiedlich definiert. Hornung definiert den Begriff im rechtlichen Sinne als nahe an technischen Konzepten liegendes „Identifizierungs-, Attributs- und/oder Berechtigungsmanagement", das dem Nachweis dient, dass eine Person bestimmte Eigenschaften und Berechtigungen inne hat, die durch das technische Konzept in Form von Daten repräsentiert werden, Hornung, in: Roßnagel, Wolken über dem Rechtsstaat?, S. 189, 190 f.; in dieser Untersuchung bezeichnet Identitätsmanagement den zielgerichteten Umgang mit Identitäten und deren Authentifizierung, siehe zur Begriffsbestimmung Kap. 3, 2.2.
9
Vgl. Hornung, in: Roßnagel, Wolken über dem Rechtsstaat?, S. 189, 200; Tsolkas/Schmidt, S. 33 f.; siehe dazu im Einzelnen Kap. 2, 1.
10
Passarge, NZI 2009, 86, 86; ders., in: Martinek/Semler/Flohr, § 79 Rn. 88; ähnliche Definitionen bei: Behling, in: Borges/Meents, § 13 Rn. 1; Hennrich, CR 2011, 546, 547; nach anderem Verständnis meint Compliance die Einhaltung gesetzlicher Vorschriften, vgl.: Kramer/Meints, in: Hoeren/Sieber/Holznagel, Teil 16.5 Rn. 6.
11
Siehe dazu Kap. 4, 5.3.
12
Zu den praktischen Problemen der Abwägung des § 9 beim Cloud Computing Hennrich, CR 2011, 546, 551; zur Erfüllung der Kontrollpflicht gem. § 11 Abs. 2 S. 4 BDSG beim Cloud Computing Borges, in: Borges/Meents, § 7 Rn. 67 ff.; Selzer, DuD 2013, 215, 217 ff.
13
Siehe zu diesem Projekt Borges, DuD 2014, 165, 167; ders., Die Datenschutz-Grundverordnung. Potentiale für praxisgerechten Datenschutz, in: Schweighofer/Hötzendorfer/Sorge, S. 67, 69 ff.; Conrad/Strittmatter, in: Auer-Reinsdorff/Conrad, § 22 Rn. 168; siehe auch www.tcdp.de (zuletzt abgerufen am 25.10.2017).
14
Das TCDP ist abrufbar unter www.tcdp.de (zuletzt abgerufen am 25.10.2017).
15
TCDP – Version 1, S. 4, http://www.tcdp.de/data/pdf/TCDP-1-0.pdf (zuletzt abgerufen am 25.10.2017); vgl. auch die Präambel der Verfahrensordnung für Zertifizierungen nach TCDP, abrufbar unter http://www.tcdp.de/data/pdf/Verfahrensordnung-1-0.pdf (zuletzt abgerufen am 25.10.2017).
16
Siehe dazu https://www.bsi.bund.de/DE/Themen/DigitaleGesellschaft/CloudComputing/Anforderungskatalog/Anforderungskatalog_node.html (zuletzt abgerufen am 25.10.2017).
17
Dazu unten Kap. 4, insb. unter 2.1.3, 2.1.4; Kap. 6, 2.1.1, 2.1.2; Kap. 7, 3.2.
18
Dazu unten Kap. 6, 3.1.2.
19
Dazu unten Kap. 4, 5; Kap. 6, 2.2; Kap. 7, 3.4.
20
Dazu unten Kap. 4, 6.1 – Kreditwirtschaft, 6.2 – Sozialversicherungsträger; zu Verpflichtungen der öffentlichen Hand, 8 – Öffentliches Recht.
21
Dazu unten. Kap. 4, 3 – TMG.
22
Vgl. oben 2.
23
Borges, Heilberufe, S. 68; Ernestus, in Simitis, BDSG, § 9 Rn. 27; Gola/Klug/Körffer, in: Gola/Schomerus, § 9 BDSG Rn. 9; Hartung/Storm, in Hilber, Teil 4 Rn. 114; Karg, in: Wolff/Brink, § 9 BDSG Rn. 82, 84 f., 101; dazu auch: Schultze-Melling, in: Taeger/Gabel, § 9 BDSG Rn. 25, 27, 29 ff.
24
Vgl. Kap. 2, 4.
25
Vgl. Kap. 5.
26
Vgl. oben 2 und 3.1.
27
Dazu. Kap. 6, 2.
28
Dazu Kap. 6, 3 und 6, 4.
29
Dazu Kap. 6, 5.
30
Dazu Kap. 6, 6.1.
31
Vgl. Kap. 6, 6.2.
32
Siehe Kap. 6,