Hintergrund: Bodycam Video-Speicherung der Polizei auf AWS

Vor einer Woche wurde bekannt, dass die Bundespolizei die Videoaufnahmen von Bodycams der Polizei auf AWS-Cloud-Servern von Amazon speichern. Es hieß, die Daten liegen in Frankfurt auf einem AWS-Server und das sei der einzige BSI-zertifizierte Anbieter. Mir liegen jetzt noch einige zusätzliche Informationen vor, wie so etwas zustande kommt – und warum das Bundesinnenministerium mit Nebelkerzen wirft.


Anzeige

Aufgedeckt hat diesen Fall eine Anfrage des FDP-Abgeordneten Benjamin Strasser. Das Bundesinnenministerium hatte Strasser darauf hin mitgeteilt, dass die Speicherung der Daten verschlüsselt auf Servern eines kommerziellen US-Anbieters in Frankfurter Rechenzentren erfolgt. heise.de hatte beispielsweise hier über diesen Sachverhalt berichtet.

Entrüstung über dieses Vorgehen

Die Entrüstung über dieses Vorgehen geht, nach Ansicht von Andreas Weiss, Direktor EuroCloud Deutschland_eco e. V.,  jedoch teilweise an der Sache vorbei. Grund: Die ‘Entrüstung’ sei weniger von Fakten als von Stereotypen geprägt. Denn die Beauftragung von IT-Dienstleistern zur Speicherung sensibler Daten durch Behörden ist laut Weiss an sich nichts Ungewöhnliches. Sie steht im Einklang mit geltenden Datenschutzgesetzen, sofern die organisatorischen und technischen Anforderungen korrekt umgesetzt werden.

Cloud
(Quelle: Pexels /rawpixel CC0 License)

Irritierend und in mehrfacher Hinsicht faktisch falsch ist laut Weiss jedoch die Begründung des Bundesinnenministeriums, warum die Wahl auf den entsprechenden Anbieter gefallen sei. Bei diesem habe es sich angeblich um den einzigen vom BSI nach C5 zertifizierten Dienst gehandelt. Dabei wurde offenbar außer Acht gelassen, dass es durch die Trusted Cloud Initiative des Bundeswirtschaftsministeriums (BMWi) bereits ein weit verbreitetes Gütesiegel für Cloud-Dienste gibt.

Leitlinie zur Nutzung von Cloud-Diensten fehlt

Weiss beklagt, dass Behörden in Deutschland ohne generelle Leitlinie zur Nutzung von Cloud-Diensten arbeiten. Der vom BMI hingegen als Voraussetzung genannte BSI C5 (Cloud Computing Compliance Controls Catalogue) legt fest, welche Anforderungen die Cloud-Anbieter erfüllen müssen bzw. auf welche Anforderungen der Cloud-Anbieter mindestens verpflichtet werden sollte. Hierzu ein paar Fakten:

  • Der C5 Kontrollkatalog wurde vom BSI im Jahr 2015 zusammen mit einer großen Wirtschaftsprüfungsgesellschaft erarbeitet und Ende 2016 offiziell eingeführt.
  • Die Prüfung erfolgt ausschließlich durch Wirtschaftsprüfungsgesellschaften mit der entsprechenden Qualifikation. Es handelt sich um ein Testat für einen eng gefassten Prüfzeitraum und kein Zertifikat.
  • Es existiert kein öffentliches Register über C5 testierte Cloud Services und das BSI führt keine Kontrollen durch.
  • Experten schätzen, dass es eine niedrige zweistellige Zahl an testierten Cloud-Diensten weltweit gibt.
  • Das C5 Testat kann lediglich als Teilaussage zu datenschutzrechtlichen Anforderungen nach der DSGVO herangezogen werden.

Somit lässt sich festhalten, zum einen gibt es eine Auswahl an C5 testierten Cloud-Diensten mit Speicherfunktion, zum anderen ist die verschlüsselte Speicherung von Videodateien in der Cloud unter Einhaltung der datenschutzrechtlichen Vorgaben völlig angemessen. Die Seite datenschutzbeauftragter-info.de geht ebenfalls auf diese Fragen ein.

Allerdings ist der vom BMI genannte Bezug zum TCDP (Trusted Cloud Datenschutz-Profil) obsolet, da dieses Prüfverfahren nicht nach DSGVO angelegt war und aktuell durch das AUDITOR-Programm ersetzt wird. Andreas Weiss sagt dazu:

Wir sehen ein grundlegendes Problem, dass gerade Behörden in Deutschland immer noch keine generelle Leitlinie zur Nutzung von Cloud-Diensten vorliegen haben und dadurch keine sachlich fundierten und dem Nutzungszweck entsprechende Auswahlverfahren existieren. Andere EU-Länder sind da seit Jahren schon wesentlich weiter fortgeschritten.


Anzeige

Dies zeigte sich laut Weiss bereits im vergangenen Jahr an einem Ausschreibungsverfahren des Zentrums Bayern Familie und Soziales (ZBFS) für einen Cloud-Dienst im Personalbereich. Als Mindestanforderung zur Teilnahme am Ausschreibungsverfahren sollte ein gültiges C5 Testat vorliegen. Diese Anforderung konnte keiner der über 20 Kandidaten (vorrangig aus dem Mittelstand) erfüllen. Die Ausschreibung musste zurückgezogen werden.

Zertifizierte Cloud-Dienste mit Trusted Cloud Gütesiegel

Laut EuroCloud Deutschland_eco e. V.  gibt es eine passende Informationsplattform mit dem durch das BMWi geförderten Trusted Cloud Programm. Diese führt eine Vielzahl von Cloud-Diensten und Dienstleistern nach einem abgestimmten Anforderungskatalog auf und versieht diese mit dem Trusted Cloud Gütesiegel.

„Trusted Cloud ist eine Initiative des BMWi zusammen mit Verbänden und Wirtschaftsvertretern zur Festlegung von Qualitätsanforderungen bei der Nutzung von Cloud-Diensten. Mit dem EuroCloud StarAudit Programm als Basis für den Trusted Cloud Kriterienkatalog kann zudem eine Mitarbeiterqualifikation für ein fundiertes Auswahlverfahren erfolgen“, sagt Andreas Weiss. Cloud-Dienste sind die Grundlage aller Digitalisierungsstrategien. Aus Sicht von Weiss sei es daher höchste Zeit, dass die Bundesregierung eine „Cloud First Policy“ zur Einführung und Nutzung von Cloud-Diensten im öffentlichen Bereich erstellt.

EuroCloud Deutschland (www.eurocloud.de) ist der Verband der deutschen Cloud-Computing-Wirtschaft und repräsentiert diese im paneuropäischen Netzwerk EuroCloud. EuroCloud Deutschland setzt sich für Akzeptanz und bedarfsgerechte Bereitstellung von Cloud Services am deutschen Markt ein. Dabei steht der Verein in ständigem Dialog mit den europäischen Partnern des EuroCloud-Netzwerks, um globale Lösungen zu finden und den Boden für internationale Geschäftsbeziehungen zu bereiten. EuroCloud Deutschland wurde im Dezember 2009 gegründet und ist dem eco – Verband der Internetwirtschaft e. V. angegliedert.

Ähnliche Artikel
Cloud Act: Grenzenloser Datenzugriff
US-Justizministerium will neue Entscheidung in Microsofts Datenschutz-Urteil
EU droht mit Kündigung des US-Privacy Shield-Abkommens
Deutsche Microsoft Cloud – zwei Infosplitter


Anzeige


Dieser Beitrag wurde unter Sicherheit abgelegt und mit Sicherheit verschlagwortet. Setze ein Lesezeichen auf den Permalink.

1 Antwort zu Hintergrund: Bodycam Video-Speicherung der Polizei auf AWS


  1. Anzeige
  2. 1ST1 sagt:

    Mich wundert, dass diese Daten nicht in der Bundescloud landen. Die wird doch sonst von allen möglichen Behörden benutzt? Ein Teil der Bundescloud steht übrigens auch im Raum Frankfurt. https://www.itzbund.de/SharedDocs/Pressemitteilungen/DE/20180917_Minsterialkongress.html

Schreibe einen Kommentar

Deine E-Mail-Adresse wird nicht veröffentlicht.

Hinweis: Bitte beachtet die Regeln zum Kommentieren im Blog (Erstkommentare und Verlinktes landet in der Moderation, gebe ich alle paar Stunden frei, SEO-Posts/SPAM lösche ich rigoros). Kommentare abseits des Themas bitte unter Diskussion.