Gratis
23. Juni 2017 - Datenschutz-Kontrolle

Datenschutz-Audit: So prüfen Sie ein Rechenzentrum

Ein Datenschutzbeauftragter steht immer wieder vor der Aufgabe, ein Rechenzentrum zu prüfen. Sehr häufig geht es um eine Kontrolle bei einem externen Auftragsverarbeiter. Wie gehen Sie die Prüfung am besten an?

Mit der DSGVO werden Rechenzentrumsdienstleister stärker in die Pflicht genommen. Gerade bei größeren Rechenzentren kann es reichen, die vorhandenen Zertifikate unter die Lupe zu nehmen (Bild: Ralwel / iStock / Thinkstock)

Typischerweise besteht ein Rechenzentrum, neben einer Vielzahl von Servern, Netzwerkkomponenten und sonstigen Systemen, aus infrastrukturellen Komponenten. Dazu gehören Elemente wie Energieversorgung und Klimatechnik sowie bauliche Aspekte wie Räume oder Türen.

Für eine Prüfung ist neben der Fachkenntnis im Datenschutz also auch die Kenntnis der technischen und physikalischen Beschaffenheit von Vorteil.

Rechtliche Grundlagen

Bach der EU-Datenschutz-Grundverordnung (DSGVO) gehört ein Verfahren zur regelmäßigen Überprüfung, Bewertung und Evaluierung der Wirksamkeit der technischen und organisatorischen Maßnahmen (TOMs) zu den Pflichten im Rahmen einer funktionierenden Datenschutzorganisation (vgl. Art. 32 Abs. 1 Buchst. d DSGVO).

Auch das Bundesdatenschutzgesetz (BDSG) schreibt bisher vor, dass der Datenschutzbeauftragte die ordnungsgemäße Anwendung von Datenverarbeitungsprogrammen, mit denen personenbezogene Daten verarbeitet werden, überwacht (vgl. § 4g Abs. 1 Nr. 1 BDSG).

Übersicht über die wesentlichen Anforderungen

Mit der DSGVO bleiben die Sicherheitsziele des BDSG weitestgehend erhalten, auch wenn sich die Begrifflichkeiten und die Struktur geändert haben (vgl. Art. 32 DSGVO).

Die Anforderungen für Datensicherheits-Maßnahmen ergaben sich bisher insbesondere aus den technischen und organisatorischen Maßnahmen (TOMs) gemäß der Anlage zu § 9 Satz 1 BDSG. Die dort definierten Sicherheitsziele bieten einen ersten Ansatz für konkrete Auditanforderungen.

Ziehen Sie ergänzend dazu spezifische Sicherheitsanforderungen aus gängigen Standards der Informationssicherheit heran, wie z.B. aus der ISO/IEC 27001 ff. oder aus den IT-Grundschutzkatalogen des Bundesamts für Sicherheit in der Informationstechnik (BSI). Letztere behandeln konkrete bausteinbasierte Sicherheitsmaßnahmen.

Folgende Themen aus den IT-Grundschutzkatalogen lassen sich z.B. direkt mit einigen TOMs abdecken:

Allgemeine datenschutzrechtliche Anforderungen:
Baustein 1.5 Datenschutz

Zutritts- und Zugangskontrolle:
Baustein 1.1 Organisation

Zugangs- und Zugriffskontrolle:
Baustein 1.18 Identitäts- und Berechtigungsmanagement

Verfügbarkeitskontrolle:
Baustein 1.3 Notfallmanagement

Physische und umgebungsbezogene Sicherheitsmaßnahmen:
Baustein 2.1 Allgemeines Gebäude
Baustein 2.4 Serverraum
Baustein 2.9 Rechenzentrum

Praxiserprobte Vorgehensweise

Auch die vorgestellte Vorgehensweise zur Auditierung eines Rechenzentrums richtet sich an den Methoden und Empfehlungen des BSI aus.

Das Vorgehen besteht aus drei Phasen:

  1. Vorbereitung: Dokumentensichtung und Feinplanung
  2. Durchführung: Verifikation der Umsetzung durch Vor-Ort-Kontrolle
  3. Nachbereitung: Erstellung eines Auditberichts und Maßnahmenumsetzungs-Planung

Synergieeffekte nutzen

Das vorgestellte dreistufige Vorgehensmodell orientiert sich am üblichen Vorgehen zur Durchführung von internen Audits im Rahmen eines Informationssicherheits-Managementsystems (ISMS). Damit lassen sich Synergieeffekte zwischen Datenschutz und Daten- bzw. Informationssicherheit schaffen.

Phase 1: Vorbereitung

1. Schritt: Ansprechpartner feststellen

Ziel der ersten Phase eines Datenschutzaudits ist es, sich einen Überblick über den derzeitigen Stand der umgesetzten datenschutzrechtlichen Anforderungen zu verschaffen und die Durchführung des Audits im Detail zu planen. Dazu müssen Sie in einem ersten Schritt die relevanten Ansprechpartner identifizieren.

In der Regel betreibt die IT-Abteilung bzw. der IT-Bereich das Rechenzentrum. Sind Rechenzentrumsdienstleistungen ausgelagert, so sind auch die Ansprechpartner wichtig, die diese IT-Dienstleister steuern.

Um infrastrukturelle, bauliche und sonstige physische Maßnahmen zu identifizieren, beziehen Sie den Ansprechpartner für das Gebäudemanagement ein.

Aufgrund der großen Schnittmenge mit Aspekten der Informationssicherheit kommt dem Informationssicherheits-Beauftragten (ISB) ebenfalls eine wesentliche Rolle beim Datenschutzaudit zu. Führen Sie Prüfungen bei einem Rechenzentrum idealerweise in Abstimmung oder in Begleitung mit dem ISB durch.

2. Schritt: Dokumente eintreiben

Im nächsten Schritt bereiten Sie die relevanten Anforderungen adressatengerecht auf. Dazu fertigen Sie am besten je Thema und Ansprechpartner eine Liste mit bereitzustellenden Dokumentationen an und erläutern sie in einem Gespräch mit den Ansprechpartnern.

Die Dokumentenliste inklusive der darin aufgeführten Referenzdokumente bildet die Grundlage für Sie, um die Umsetzung der Anforderungen beurteilen zu können.

Das Ergebnis des Dokumentenaudits ist eine Übersicht von Umsetzungslücken und Themen, die Sie bei der Vor-Ort-Kontrolle und Begehung oder im direkten Gespräch (Interview) näher untersuchen müssen.

3. Schritt: Auditschwerpunkte risikoorientiert auswählen

Wählen Sie die Auditschwerpunkte der zweiten Phase risikoorientiert aus. Das bedeutet, zuvor zu bewerten, welchen Schaden die fehlende oder unvollständige Umsetzung von Anforderungen in der Organisation anrichten kann.

Ziehen Sie dazu insbesondere die Schutzbedürftigkeit der betroffenen personenbezogenen Daten heran (zur Bewertung eines Risikos siehe näher Datenschutz PRAXIS 06/17, S. 14–15).

Überführen Sie die risikoorientierte Schwerpunktbildung anschließend in einen Auditplan. Er bestimmt die Vor-Ort-Kontrolle. Stellen Sie den Plan den Ansprechpartnern im Vorfeld zur Verfügung, damit sie sich vorbereiten können.

Klären Sie ab, welche Audits im Rechenzentrum in der Vergangenheit stattgefunden haben. Damit vermeiden Sie überflüssige Audits und sorgen dafür, dass ein möglichst breites Spektrum abgedeckt ist.

Prüfen Sie, ob sicherheitsrelevante Zertifikate vorhanden sind und ziehen Sie sie ebenfalls als Grundlage für Ihr Audit heran. Typische Beispiele:

  • IT-Grundschutz- oder ISO/IEC-27001-Zertifizierung
  • rechenzentrumsspezifische Zertifizierungen wie die Europäische Norm EN 50600
  • „Trusted Site Infrastructure“-Zertifizierung (TSI) des TÜV
  • eine vergleichbare US-spezifische Zertifizierung wie der Standard ANSI/TIA-942

Praxis-Tipp: Formulieren Sie bei nicht zertifizierten Rechenzentren im Vorfeld sogenannte kritische Ausschlusskriterien (K.-o.-Kriterien). Je nach Schutzbedarf der Daten kann beispielsweise die Datenverarbeitung außerhalb sicherer Länder ein Kriterium sein. Auch eine mangelnde Zutrittskontrolle sollte in der Regel ein K.-o.-Kriterium sein.

Phase 2: Durchführung

Ziel der zweiten Phase ist die Prüfung vor Ort, ob die Anforderungen, die Sie im Dokumentenaudit identifiziert bzw. beschrieben haben, umgesetzt sind. Die Verifikation sollte einerseits durch eine Begehung des Rechenzentrums (Inaugenscheinnahme) und andererseits durch Interviews mit fachlichen Ansprechpartnern erfolgen.

Bei der Auditierung von extern betriebenen Rechenzentren, d.h. bei ausgelagerten Rechenzentrums-Dienstleistungen, empfiehlt es sich, analog zu verfahren.

Eine wesentliche Rolle spielen dabei Nachweisdokumente, die die Umsetzung und regelmäßige Umsetzungsprüfung faktisch belegen. Üblicherweise sind dies

  • Zutrittsprotokolle zum Rechenzentrum,
  • Stichproben von Zugangs- und Zugriffsberechtigungen zu relevanten Applikationen,
  • Auswertungs- und Abschlussbericht zu durchgeführten Notfalltests und Notfallübungen (Nachweis der Wirksamkeit von implementierten Maßnahmen, die die Verfügbarkeit sicherstellen) sowie
  • Protokolle von Funktionstests von Notfallstromgeneratoren, Klima- und Löschanlagen sowie mechanischen Schließmechanismen von Sicherheitstüren.

Im Ergebnis sollten Ihnen vollständige und belastbare Nachweise vorliegen, die Auskunft über den Umsetzungsgrad der Datensicherheit geben. Diese bilden die Basis für das Gesamtvotum des Audits und dienen als Grundlage für den in der Phase 3 zu erstellenden Auditbericht.

Phase 3: Nachbereitung

Das Ziel der dritten Phase ist es, die Vor-Ort-Kontrolle sowie die vorgelegten Nachweisdokumente auszuwerten und einen Auditbericht zu erstellen. Dieser Bericht gibt Aufschluss über vorhandene Abweichungen. Des Weiteren gehört ein priorisierter Maßnahmenplan zu den Ergebnissen dieser Phase. Der Auditbericht erfüllt v.a. zwei Zwecke:

  • Im Allgemeinen beschreibt er den gesamten Auditprozess. Das umfasst sämtliche Phasen und Aktivitäten der Vorbereitung, Durchführung und Nachbereitung.
  • Im Speziellen stellt er Konformitätsabweichungen hinsichtlich der nicht oder nur teilweise erfüllten Datensicherheitsanforderungen dar. Hierbei bietet sich eine Unterteilung in die Kategorien Hauptabweichungen (HA) und Nebenabweichungen (NA) an. HA beschreiben Abweichungen, die einen verhältnismäßig hohen Schaden für die auditierte Organisation bedeutet, während NA einen geringen Schaden bewirken.

Weisen Sie die Abweichungen den verantwortlichen Ansprechpartnern, die Sie in der Vorbereitungsphase identifiziert und festgelegt haben, zu. Das stellt sicher, dass Sie die richtigen Leute adressieren.

Stellen Sie die jeweiligen Anforderungen und den Umsetzungsstand sowie die vorgelegten Nachweisdokumente im Auditbericht direkt gegenüber. Das macht den normativen Charakter dieses Audits deutlich.

Es bietet sich an, im Anhang des Auditberichts einen Maßnahmenplan festzulegen, der mit den verantwortlichen Ansprechpartnern abgestimmt ist, um die Abweichungen zu beheben. Idealerweise terminieren Sie die Handlungsfelder, die sich aus dem Audit ergeben, und weisen sie einem Umsetzungsverantwortlichen zu.

Ist der Auditbericht erstellt und verabschiedet, stellen Sie unter Einbeziehung des ISB sicher, dass die definierten Maßnahmen auch wie vorgesehen umgesetzt werden. Vereinbaren Sie dazu mit den Umsetzungsverantwortlichen Regeltermine und halten Sie die Umsetzung nach.

Umgang mit größeren Rechenzentrums-Dienstleistern

In der Praxis kann sich die Prüfung von größeren Rechenzentrums-Dienstleistern etwas anders darstellen. Insbesondere bei Rechenzentren, die nach gängigen Sicherheitsstandards zertifiziert sind (z.B. IT-Grundschutz- oder ISO/IEC-27001-Zertifizierung oder rechenzentrumsspezifische Zertifizierungen), ist eine Vor-Ort-Kontrolle beim Dienstleister vertraglich häufig nicht vorgesehen.

Das ist auch nachvollziehbar, da Rechenzentren mit mehreren tausend Kunden andernfalls einen regelrechten „Kontrolltourismus“ bewältigen müssten. Das ist aus Sicht der Rechenzentren aus Sicherheitsgründen zu vermeiden.

In aller Regel verweist der Dienstleister darauf, dass sein Rechenzentrum regelmäßig durch unabhängige externe Auditoren geprüft wird und dass sich damit die Umsetzung von Datensicherheitsmaßnahmen auf Basis dieser Sicherheitsstandards nachweisen lässt.

Eine Kontrolle kann in diesen Fällen dadurch erfolgen, dass Sie die aktuellen Zertifikate anfordern. Achten Sie hierbei darauf, dass das Zertifikat gültig ist und dass der Zertifizierungs-Gegenstand (Scope) sich tatsächlich auf die Dienstleistung bezieht, die für Sie als Auftraggeber relevant ist.

Gegebenenfalls können Sie auch Auditberichte anfordern, um die Prüfmethodik und die Kontrolltiefe nachvollziehen zu können.

Zusammenfassende Empfehlungen

  • Die Datenschutz-Grundverordnung verzahnt Datenschutz und Informationssicherheit stärker miteinander. Vor allem angesichts der neuen Dokumentations- und Kontrollpflichten ist zu empfehlen, den Datenschutz in – eventuell schon bestehende – Managementsysteme der Informationssicherheit zu integrieren.
  • Um Synergien zu nutzen, ist eine enge Zusammenarbeit zwischen Datenschutzbeauftragtem und Informationssicherheits-Beauftragtem sinnvoll. Denn die Methoden und Verfahren zur Durchführung von Audits im Informationssicherheits-Bereich lassen sich effizient auch für Ihre Datenschutzaudits adaptieren.
  • Gerade vor dem Hintergrund, dass Datenschutzbeauftragte oftmals keinen tiefergehenden technischen Hintergrund besitzen, bieten sich die IT-Grundschutzkataloge des BSI als gute Orientierungshilfe an, um konkrete Anforderungen an die Datensicherheit und Datensicherheitsmaßnahmen in die Kontrolle einfließen zu lassen.
Ihre Erfolgsfaktoren
Zusammenfassend sind bei der datenschutzrechtlichen Überprüfung eines Rechenzentrums folgende Erfolgsfaktoren besonders wichtig:

  • Berücksichtigen Sie bei Ihrer Auditplanung vorhandene Zertifizierungen und bereits durchgeführte Audits.
  • Verwenden Sie am besten standardisierte Methoden für Audits.
  • Stimmen Sie die Audit-Schwerpunkte mit dem ISB und dem Gebäudemanagement ab.
  • Sofern vorhanden: Sorgen Sie dafür, dass Ihre Ergebnisse in das ISMS zurückfließen.
  • Halten Sie nach, ob die Datenschutz-Maßnahmen wirklich umgesetzt werden, um Abweichungen frühzeitig zu erkennen.

Marc Ragg, Boris Arendt
Wirtschaftsinformatiker (M.Sc.) Marc Ragg und Rechtsanwalt Boris Arendt sind als Experten in den Bereichen Datensicherheit, Cybersicherheit und Datenschutz für die Unternehmensberatung PricewaterhouseCoopers (PwC) tätig

Sie glauben, Sie hätten noch so viel Zeit? Falsch! Es gibt mehr zu tun, als Sie vielleicht denken! ▶ Zeit zu handeln