Die Nutzung externer Cloud-Anbieter bei der Bundesregierung und der Bundesverwaltung

Die Bundesregierung der Bundesrepublik Deutschland macht und muss sich eine Cloud/IT Strategie zurecht legen. Andere Länder wie UK sind hier ebenfalls weiter und setzen beispielsweise komplett für Kommunen, Städte und Länder auf Cloud-Computing. In Deutschland kam das Thema in der letzten Zeit durch die Speicherung der Bodycam Videos/Material bei AWS durch die Bundespolizei in die Diskussion. Aus dieser Diskussion heraus stellten einige Abgeordnete und die FDP Fraktion eine kleine Anfrage an die Bundesregierung.

Kleine Anfrage

Eine kleine Anfrage ermöglicht es einzelnen Abgeordneten Fragen an die Bundesregierung zu stellen, die beantwortet werden müssen. Dies bietet auch der Oposition die Möglichkeit der Überwachung und Kontrolle, sowie generell ihrer Arbeit besser nach zukommen.

Fragensteller: Der Abgeordneten Manuel Höferlin, Stephan Thomae, Benjamin Strasser, weiterer Abgeordneter und der Fraktion der FDP.

 

Hier ein kommentierter Ausschnitt des Dokumentes: 

 

Cloud Nutzung insbesondere in der Bundesverwaltung

Ab Seite 3 bis Seite 5 listet die Bundesregierung die eingesetzte Software auf: 

Schaut man sich die Liste genauer an, findet man die üblichen Verdächtigen. Die Liste ist der eines Wirtschaftsbetriebes ähnlich. 

 

Antwort auf Frage 2: Software, die nicht aus Rahmenverträgen genutzt wird:

Adobe Cloud (Adobe)
 Adobe Connect (Adobe)
 Alfresco (IMTB Consulting)
 Auto-Support (NetApp)
 AWS EC2 (Accenture)
 Base Space (Illumina)
 Bibliotheca (Bibliotheca)
 bitbucket (Atlassian)
 Blue Jeans (BlueJeans Network)
 BSCW (Fraunhofer Institut)
 Centex (Baden-Württemberg)
 Cisco Meraki MDM (Cisco)
 CleverReach (CleverReach)
 Connect Webinars (Adobe)
 COYO Cloud (COYO GmbH)
 CryptShare (befine Solutions)
 Cumulus (CDS Gromke)
 Decovalex (Lawrence Berkeley National Laboratory)
 DIN Livelink (Deutsches Institut für Normung)
 Diverse Cloud-Dienste (DFN)
 Diverse DLR Cloud-Dienste (DLR)
 Doctor Doc (Doctor-Doc)
 Dropbox (Dropbox)
 Facelift (facelift bbt)
 GitHub (GitHub)
 GitLab (iff Berlin)
 GitLab (UFZ)
 Google Docs (Google)
 Google Drive (Google)
 GoToMeeting (LogMeIn)
 Gremienportal (Deutsches Institut für Bautechnik)
 GRS-Ccloud (GRS)
 Hetzner Cloud (Hetzner Online)
 IDGuard Standard (iDGard)
 Ilias (Qualitus GmbH)
 iLOQ S10 Management Softwar (iLOQ Oy)
 Jira (Avono)
 Kroll Discovery (Kroll)
 Mendeley (Elsevie)r
 Meraki MDM (Cisco)
 NCBI (NCBI)
 netmind (Mindlap)
 O3Spaces (O3Spaces)
 Office 365 (ACP IT Solutions GmbH)
 Office 365 (Microsoft)
 Office Online (Microsoft)
 One Drive (Microsoft)
 Oracle Cloud (Oracle)
 Overleaf (Writelatex)
ownCloud (BGE)
 ownCloud (DBE / BGE)
 ownCloud (Deutschen Bodenkundlichen Gesellschaft)
 ownCloud (Geologische Bundesanstalt Österreich)
 ownCloud (GRS)
 ownCloud (Leibniz-Zentrum für Agrarlandschaftsforschung)
 ownCloud (TU Clausthal)
 PDV Helpline Cloud (PDV GmbH)
 Plone (VDI/VDE IT)
 Precise Point Positioning (Government of Canada, Natural Resources Canada)
 Primo (ExLibris)
 Project Mont Terri (swistopo)
 ProjectPlace (PlanView)
Projekt 365 (Microsoft)
 Redmine (EM-Software GmbH)
S3 (AWS)
 Saba (Liveplace)
 Schweitzer Connect (Schweitzer)
 Sciebo (Zentrum für Informationsverarbeitung NRW)
 SFX (ExLibris)
Sharepoint (]init[)
 SharePoint (Microsoft)
 Social Media Monitoring Tool Facelift brand building technologies GmbH
(Facelift bbt)
 Storyline (Articulate)
 Synology Office (Sozialpädagogisches Institut Berlin)
 Tableau Public (Tableau)
 think project! (think project! GmbH)
 vCloud (Dunkel GmbH)
 Virtuelle Server (Host Europe)
 Visio 365 (Microsoft)
 vitero (vitero)
 VPN (CITRIX)
 Webex (Cisco)
 WeTransfer (WeTransfer)
 Zeugnis Manager (Haufe)
 Zoom (Zoom Video Communications)
Die folgenden Cloud-Dienste wurden aus einem Rahmenvertrag abgerufen:
 IT-Lösung der Fa. Motorola für die Bodycam
 DENEQUA Online-Unterweisung (eStar)
 Trac-System (Werum)
 Virenschutz Office Scan (TrendMicro)
 Ilias
 Teamrooms (Brainloop)
 Azure Entwicklungsplattform (Microsoft)
 Azure Data Lake (Microsoft)
 WebEx Events (Cisco)
 Calvalus (Brockmann Consult)

Interessant zu sehen, dass alle großen Cloudanbieter von AWS über Google bis Microsoft dabei sein, aber auch deutsche Anbieter wie Hetzner oder auch eigene Cloud meist im wissenschaftlichen Bereich mit ownCloud. Genutzt wird hier fast alles, was der Markt hergibt. 

 

Welches sind die verfahrensleitenden Kriterien der Bundesregierung für
die Ausschreibung von Cloud-Diensten?

“Cloud-Dienste externer IT-Dienstleister können durch Bundesbehörden ausgeschrieben und genutzt werden, falls kein entsprechender Cloud-Dienste in der Bundescloud angeboten wird und der „Mindeststandard des BSI zur Nutzung externer Cloud-Dienste1“, der Beschluss des IT-Rats „Kriterien für die Nutzung von Cloud Diensten der IT-Wirtschaft durch die Bundesverwaltung“2, sowie des darauf aufbauenden Beschlusses des IT-Planungsrats „Vorgehensweise und Kriterien zu Inanspruchnahme und Beschaffung von Cloud-Diensten der IT-Wirtschaft“ 3, eingehalten werden.”

Alle Aufträge werden durch Ausschreibungen und im Ausschreibungsverfahren vergeben. Interessant sind vorallem die verlinkten Dokumente:

1 www.bsi.bund.de/SharedDocs/Downloads/DE/BSI/Mindeststandards/Mindeststandard_Nutzung_externer_Cloud-Dienste.pdf

2 www.cio.bund.de/Web/DE/Politische-Aufgaben/IT-Rat/Beschluesse/Tabelleninhalte/beschluss_2015_05.html

3 www.it-planungsrat.de/SharedDocs/Downloads/DE/Entscheidungen/21_Sitzung/14_Anlage1_Cloud-Computing.pdf

 

Umgang mit sensiblen Daten – Frage 5

“Welche Kriterien gibt es, um kritische und sensible Daten nicht zur Speicherung
und Verwendung an einen Cloud-Anbieter auszulagern?”

“Welche Daten gelten aus Sicht der Bundesregierung als kritisch oder sensibel? Für die Stellen des Bundes hat das BSI nach dem Gesetz über das Bundesamt für Sicherheit in der Informationstechnik § 8 einen Mindeststandard zur Nutzung externer Cloud-Dienste erstellt (siehe Frage 4, Verweis [1]). Dort ist der Prozess geregelt, den eine Behörde durchlaufen muss, um einen Cloud-Dienst zu beschaffen und Daten auszulagern. Teil dieses Prozesses ist eine Datenkategorisierung und eine anschließende  Risikoanalyse. Es sind vier Kategorien festgelegt: Kategorie 1 „Privat- und Geschäftsgeheimnisse gemäß StGB § 203“, Kategorie 2 „Personenbezogene Daten“, Kategorie 3 „Verschlusssachen gemäß VSA“ und Kategorie 4 „sonstige Daten“. Der Mindeststandard schreibt fest, dass ein Cloud-
Anbieter mindestens alle C5-Basisanforderungen erfüllen muss und dass diese vertraglich zugesichert sein müssen. Davon muss sich die Behörde durch den C5- Prüfbericht einen eigenen Eindruck verschaffen. Aus der Datenkategorisierung und der Risikoanalyse ergibt sich, welche weiteren Regularien die Behörde bei der Cloud-Beschaffung einhalten muss und welche weiteren (über C5 hinausgehende) Anforderungen die Behörde an den Cloud-Anbieter stellen muss. Dazu gehören insbesondere die Anforderungen CD.08 zur Festlegung der Gerichtsbarkeit, CD.09 zur Lokation der Daten und CD.10 das Thema „Offenbarungspflichten und Ermittlungsbefugnisse fremdstaatlicher Institutionen“. Es handelt sich hierbei um Einzelfallentscheidungen in der Verantwortung der jeweiligen Behörde. Sollte der oben skizzierte und im Mindeststandard festgelegte Prozess ergeben, dass gegen gültige Regelungen verstoßen oder ein zu großes Risiko mit der Cloud-Nutzung verbunden ist, liegt es in der Verantwortung der Behörde eine entsprechende Entscheidung gegen die Cloud-Nutzung zu treffen.”

Für die Verarbeitung von sensiblen Daten in Cloudanwendungen und in der Cloud setzt man auf die drei oben fett hervorgehobenen Kategorien, der Anbieter muss das C5 Zertifikat einhalten, muss zusätzliche Anforderungen, wie die Festlegung der Gerichtsbarkeit ermöglichen, aber dennoch bleibt es eine Einzelfallentscheidung.

 

Datenschutz 

9. Hält die Bundesregierung die Speicherung von Daten in der AWS-Cloud
entgegen der Äußerung des BfDI Ulrich Kelber für rechtmäßig?
Bei der Nutzung der Cloudlösung von AWS zur Speicherung von Daten, werden
die deutschen Datenschutzstandards eingehalten. Siehe dazu auch die Antwort zu
Frage 10.

10. Wie stellt die Bundesregierung bei der Verwendung amerikanischer externer
Anbieter technisch und rechtlich sicher, dass die durch den CLOUD Act bestehenden
Befugnisse nicht dazu verwendet werden, Daten in die USA zu
übertragen?
Wie wird dies konkret im Falle der Verwendung von AWS sichergestellt?
Wie in den Antworten zu den Fragen 4c, 5 und 6 dargestellt werden rechtliche
und technisch-organisatorische Maßnahmen zum Schutz der Daten getroffen. Im
Falle der Verwendung von AWS ist eine Vereinbarung zur Auftragsdatenvereinbarung
geschlossen worden. Weitere Schutzmaßnahmen sind auf Grundlage des
sog. „Trusted Cloud Datenschutz-Profil“ (TCDP) sowie des § 9 des Bundesdatenschutzgesetzes
(BDSG) alte Fassung und dessen Anlage vereinbart. Das BSI
wurde bei der Beschaffung beteiligt und hat festgestellt, dass die Vorgaben aus
dem Mindeststandard zur Nutzung externer Cloud-Dienste erfüllt sind.”

 

11. Wird bei der Verwendung von Office-Anwendungen durch die Bundesregierung
das Produkt „OneDrive“ von Microsoft genutzt?
Falls ja,

Die Bundesanstalt für Gewässerkunde, die Bundesanstalt für Materialforschung
und -prüfung und das Max-Rubner-Institut nutzen OneDrive.

a) werden die Daten verschlüsselt?
b) wie werden Meta-Daten geschützt?
Die Fragen 11a und 11b werden gemeinsam beantwortet.
Es gelten die in Antwort zu Frage 4c, 5 und 6 beschriebenen Anforderungen. Eine
darüber hinausgehende Verschlüsselung wird nicht vorgenommen.
c) wie wird technisch und rechtlich sichergestellt, dass keine unrechtmäßigen
Datenübertragungen in Drittländer stattfinden?
Auf die Antworten zu den Fragen 4c, 5 und 6 wird verwiesen.

12. Wurde nach Kenntnis der Bundesregierung bei der Beschaffung der Bodycams
durch die Bundespolizei auch die Softwarelösung zur Verwaltung
der entstehenden Daten evaluiert?
Dedizierte Ausschlusskriterien in Bezug auf die Verwaltungssoftware gab es
nicht. Die sog. Systemlösung, bestehend aus Hard- und Software, wurde sachgemäß
nach ganzheitlich erhobenen und in Einklang gebrachten funktionalen sowie
nicht-funktionalen Anforderungen ausgewählt und beschafft.

a) Gab es für die Auswahl einer geeigneten Lösung Ausschlusskriterien in
Bezug auf die Verwaltungssoftware für die Daten?
War beispielsweise die Möglichkeit zur Verarbeitung biometrischer Daten
ein solches Kriterium?

Dedizierte Ausschlusskriterien in Bezug auf die Verwaltungssoftware gab es
nicht. Die Verarbeitung biometrischer Daten ist nicht vorgesehen und war daher
keine funktionale Anforderung.

 

 

via

https://dipbt.bundestag.de/doc/btd/19/108/1910826.pdf