Diese Meldung sorgte Anfang März dieses Jahres für öffentliche Aufregung: Die deutsche Bundespolizei speichert für die Aufnahme von Körperkameras (Bodycams), Daten in Amazons AWS-Cloud. Nicht nur die Tagesschau berichtete am 3. März darüber, sondern u.a. auch die Neue Osnabrücker Zeitung (NOZ) und der Nachrichtendienst heise online.
Das Bundespolizeipräsidium teilte der NOZ als Begründung mit, dass derzeit noch keine staatliche Infrastruktur zur Verfügung stehe, die die Anforderungen erfülle. Amazon sei mit AWS gegenwärtig der einzige Anbieter in Deutschland, der eine entsprechend vom Bundesamt für Sicherheit in der Informationstechnik (BSI) zertifizierte Cloud bereitstelle. Das Bundesinnenministerium verwies darauf, dass dabei deutsche Datenschutzstandards eingehalten würden und die Daten verschlüsselt auf Servern in Frankfurt am Main gespeichert seien.
In diversen Berichterstattungen gab es jedoch einige Ungenauigkeiten, zum Beispiel über die Begriffe „Testat“ und „Zertifizierung“. Für Landesbehörden und Kommunalverwaltung gelten, bezogen auf die Informationssicherheit, noch besondere rechtliche Pflichten, die es zu beachten gilt.
Als Bundesbehörde unterliegt die Bundespolizei den Vorgaben des Bundesamts für Sicherheit in der Informationstechnik (BSI) aus § 8 Abs. 1 S. 1 BSIG. Für die Nutzung von externen Cloud-Diensten hat das BSI unter anderen das BSI-C5-Testat als eine Voraussetzung für Anbieter festgelegt, die Bundesbehörden Leistungen aus der Public Cloud anbieten.
Entscheidend ist, dass dies nur ein Testat und keine Zertifizierung ist, da dieses Testat auf der bestehenden Zertifizierung zur Informationssicherheit aufsetzt.
Für Behörden, die keine Bundesbehörden sind, sind die Standards des BSI keine Verpflichtung. Sie werden aber etwa im Bereich der Verschlüsselung oder der Archivierung als Stand der Technik angesehen. Für die externe Nutzung von Cloud-Diensten hört man aus dem BSI, dass eine Nichtbeachtung des Standards, der auf das BSI-C5-Testat verweist, bei der Auswahl von Dienstleistern etwa von Kommunen teilweise als grob fahrlässig im Hinblick auf die rechtlichen Pflichten zur Informationssicherheit angesehen werden kann.
Schaut man auf die Anbieter, die bereits Testate haben sind dies u.a.:
- Microsoft Deutschland Cloud (abgekündigt)
- Microsoft für Azure und Office 365 für den Region Deutschland (angekündigt)
- AWS (Amazon) für den Standort Frankfurt
- Alibaba für die Rechenzentren in Frankfurt und Singapur
- Google für Google Cloud und GSuite weltweit
- IBM
und aus Europa etwa
- Cancom
- Pironet
- T-Systems
- Fabasoft
Aus dieser Liste wird ersichtlich, dass der formal beste Cloud-Anbieter Google ist.
Im konkreten Fall wird die Lösung der Bundespolizei gleich mit einer Cloud angeboten, sodass die Geräte umfassendem Management unterliegen und die strengen Vorgaben aus § 27a BPolG (Bundespolizeigesetz) erfüllt werden können. Gleichzeitig wäre, soweit die Verschlüsselung der Daten richtig implementiert worden ist und die Vernichtungs-/Löschpflichten auch die verschlüsselten Daten erfassen, kaum ein Einwand gegen die Cloud durchgreifend.
Kommunen sollten Ihre vertrauten und bewährten regionalen externen IT-Dienstleister anhalten, die Nachweisbarkeit der Informationssicherheit zu verbessern, damit diese künftig nicht bei Ausschreibungen gegenüber den großen Anbietern den kürzeren ziehen. Art. 11 Abs. 1 S. 1 BayEGovG hat die Umsetzung von IT-Sicherheit als Aufgabe für fast alle Behörden verpflichtend gemacht. Etwa in Ausschreibungen aus dem Hochschulbereich waren BSI-C5-Testate bereits Anforderung für Rechenzentren der Dienstleister, auch um die Anforderungen gerade bei besonders kritischen Diensten aus dem BayEGovG zu erfüllen.
Autor: Johannes Nehlsen, Stabstelle IT-Recht der bayerischen Universitäten und Hochschulen