Bisher gilt immer, dass Informationen / Daten einen gewissen Schutzbedarf haben gegenüber der Vertraulichkeit, der Integrität und der Verfügbarkeit; auf Englisch Confidentiality, Integrity, Availability (CIA).
Das soll jetzt anders werden. Immer mehr Cloud-Berater erklären, in den einschlägigen Medien (bspw. https://www.heise.de/hintergrund/Security-Bausteine-Teil-4-Drei-Werte-CIA-or-DIE-9163243.html), dass CIA nicht mehr wichtig ist, sondern DIE nun das Maß aller Dinge sein soll. Cloud-Informationen sollen zukünftig nur noch Anforderungen haben an die Verteilung, die Unveränderlichkeit und die Vergänglichkeit; auf Englisch Distributed, Immutable, Ephemeral (DIE).
Hier beschreibe ich meine Gedanken dazu und warum uns, als Informations- und Datenschützer, dieses Thema höchstwahrscheinlich die nächsten Jahre beschäftigen wird.
„Integrität“ und „Unveränderlichkeit“
Gut, „Integrität“ und „Unveränderlichkeit“ ist, mehr oder weniger, das Gleiche. Hier unterscheiden sich die beiden (CIA und DIE) nicht voneinander.
„Verfügbarkeit“ und „Verteilung“
„Verfügbarkeit“ wollen die Cloud-Leute jetzt durch „Verteilung“ erreichen. Also, die Informationen werden weltweit in verschiedenen Rechenzentren redundant gespeichert / verarbeitet und dass soll dann vor Ausfällen oder Nichtverfügbarkeiten schützen.
Die Informationen / Daten liegen also auch in Rechenzentren, die in zukünftigen „Schurkenstaaten“ stehen. Ferner landen sie ebenfalls in den jeweiligen Backups und in den Backups der Backups.
Mit anderen Worten, meine Informationen / Daten kann ich nie wieder „einfangen“. Schlimmer noch, ich kann nicht mal mehr kontrollieren wer macht was und wann mit meinen Daten.
Damit ist die „Vertraulichkeit“ natürlich auch dahin.
Ganz abgesehen davon könnte bei Informationen, die gemäß DSGVO verarbeitet werden müssen, die ein oder anderen Probleme entstehen.
„Vertraulichkeit“
„Vertraulichkeit“ ist in einer public cloud offenbar nicht mehr wichtig.
Gut, die „Vertraulichkeit“ war bei amerikanischen Cloud-Anbieter sowieso nie gegeben, wegen https://itsec-ds.de/ueberwachung-der-it-kommunikationen-usa-fisa-fisc-und-patriot-act/ und https://itsec-ds.de/ueberwachung-der-it-kommunikationen-usa-cloud-act/.
Alternativ könnte man die Informationen / Daten in Rechenzentren verarbeiten, die anderen Gesetzen oder Verordnungen unterliegen.
Man könnte, als Unternehmen, auch ein eigenes Rechenzentrum betreiben. Das geht aber nicht mehr, weil dann das Unternehmen sich selbst um die Sicherheit der eigenen Informationen / Daten kümmern müsste, das geht leider gar nicht, weil … na ja, da müssten wir die jeweiligen (Controller) „Entscheider“ fragen.
Privat kann man heute, ohne große Probleme, seine Daten auch selbst in den eigenen vier Wänden verarbeiten / speichern.
Moment … Wenn das so einfach ist, warum machen es nicht alle?
Keine Ahnung, … vielleicht weil man dann regelrecht nachlesen müsste, wie man das initial einrichtet. Diese Zeit hat heute keiner mehr; … sich selbst um seine eigenen Daten kümmern, … da haben viele was besseres zu tun.
„Vergänglichkeit“
Bleibt noch die „Vergänglichkeit“ übrig. Die Cloud-Leute behaupten also ernsthaft, dass Daten nur für eine gewisse Zeit einen Wert haben.
Das Motto scheint zu sein: Wenn die Cloud gehackt und relevante Informationen „rausgetragen“ werden, dann ist das nicht schlimm, weil diese Informationen spätestens 2 Tage später wertlos sind.
Das ist, meiner Meinung nach, nicht korrekt. In der heutigen Zeit gilt „Daten sind das neue Öl.“ (Clive Humby).
Wer Informationen über eine Person oder ein Unternehmen besitzt, hat Macht darüber.
So können meine Daten jederzeit gegen mich, meine Familie, meine Enkel, meine Ur-Enkel, meine Verwandtschaft allgemein verwendet werden. Mit anderen Worten, wenn ich heute gegen eine allgemeine Meinung online postuliere, dann könnten meine Nachkommen deswegen Repressalien erfahren (selbst nach meinem Tod); ein Regimewechsel reicht aus und meine Enkel oder Ur-Enkel werden nicht mehr glücklich.
Das Internet vergisst nichts!
Für mich
Im Endeffekt gibt es also nur eine Frage: „Können meine Daten geklaut werden.“
Für mich gilt also noch immer, dass es keinen einzigen plausiblen Grund gibt, warum ich meine Informationen / Daten in einer public cloud verarbeiten / speichern lassen sollte. Bisher nicht und nach der neuen DIE-Idee erst recht nicht.
Alles in Allem
DIE bringt eigentlich nur den Anbietern von public cloud-Diensten einen Mehrwert und soll sie in Teilen aus der Haftung nehmen. Offenbar haben sie erkannt, dass ihnen anvertraute Informationen / Daten, durch sie selbst, nicht nachhaltig sicher verarbeitet oder geschützt werden können.
Ich denke sogar, dass die derzeitigen Datenschutz- und Datennutzungsdiskussionen zwischen den Hegemonien (bspw. EU und USA / China) die Basis sind, um DIE erst recht einzuführen. Immerhin soll bspw. der Datenschutz aufgeweicht werden; siehe „Trans-Atlantic Data Privacy Framework”, „Digital Markets Act“, „Data Governance Act“ und der „Artificial Intelligence Act“.
weitere Fachbeiträge …
- Juli 2024 (1)
- Juni 2024 (2)
- Dezember 2023 (1)
- Oktober 2023 (1)
- August 2023 (1)
- Juni 2023 (1)
- September 2022 (2)
- August 2022 (2)
- Juni 2022 (1)
- Mai 2022 (3)
- April 2022 (2)
- März 2022 (4)
- Februar 2022 (7)
- Januar 2022 (12)
- Dezember 2021 (8)
Informationssicherheit und Datenschutz – Beratung und Konzeption – Landsberg am Lech