Cloud-Nutzung und Klassifizierung von Informationen: Das wird neu
An der ETH Zürich gelten seit dem 1. August 2021 neue Regelungen zur Nutzung externer Cloud-Dienste. Zudem wird eine neue Klassifizierungsstufe eingeführt, um zwischen ?vertraulichen? und ?streng vertraulichen? Daten zu unterscheiden.
Welche Informationen der ETH dürfen in Cloud-Dienste ausserhalb unserer Hochschule gespeichert werden? Und welche Richtlinien gelten für diese Cloud-Dienste? Diese Fragen waren lange nicht hinreichend gekl?rt. V.a. für vertrauliche Informationen galt bisher, dass sie nicht in ETH-externen Cloud-Diensten gespeichert werden dürfen.
Allerdings: Viele Informationen müssen mit anderen Stellen ausgetauscht werden, sowohl innerhalb der ETH – bei Forschungskooperation jedoch auch ausserhalb. Dies k?nnen durchaus auch vertrauliche Informationen sein, die noch nicht einem breiten Kreis zug?nglich sein sollen, z.B. Forschungsdaten vor deren Ver?ffentlichung.
Neue Rahmenbedingungen für Cloud-Dienste
Um vertrauliche Daten in externen Cloud-Diensten zu speichern und zu verarbeiten, braucht es Rahmenbedingungen, die regeln, welche Art externer Cloud-Dienste dafür geeignet sind. Dieser Rahmen wurde mit den neuen ?IT-Richtlinien und IT-Grundschutzvorgaben der ETH Zürich? geschaffen. Darin steht, welche Schutzmassnahmen ETH-externe Cloud-Dienste z.B. in technischer, organisatorischer und rechtlicher Hinsicht (Datenschutz, Lizensierung) erfüllen müssen, damit Daten der ETH darauf gespeichert und verarbeitet werden dürfen.
Damit die IT-Richtlinien und Grundschutzvorgaben, die für diese neuen Rahmenbedingungen notwendig sind, verabschiedet werden konnten, wurde vorg?ngig im Rahmen einer Teilrevision in der Weisung ?Informationssicherheit an der ETH Zürich? folgender Grundsatz verankert:
Auch vertrauliche Daten dürfen in externen Cloud-Diensten gespeichert werden (nota bene nicht müssen), sofern der externe Cloud-Dienst gewisse Voraussetzungen erfüllt und der/die Informationseigner/in dieser vertraulichen Daten mit der Auslagerung einverstanden ist. Die Informationseigner/innen sind verantwortlich für die in ihrem Auftrag erhobenen oder bearbeiteten Daten. Sie k?nnen beispielsweise Professor/innen, Stabsleitende oder Abteilungsleitende sein.
Aber welche Daten sind nun sensibel, und müssen besonders geschützt werden? Diese Fragestellung ist nicht nur wichtig für die Cloud-Nutzung, sondern generell, um Informationen der ETH zu schützen – seien es personenbezogene Daten oder vertrauliche Daten anderer Art, beispielsweise technischer oder wirtschaftlicher Natur.
Klassifizierung für vertrauliche Daten
Um diese Frage zu beantworten, wurde das bestehende Klassifizierungssystem zur Einstufung der Vertraulichkeit von Informationen in der Weisung ?Informationssicherheit an der ETH Zürich? um eine Stufe erweitert.
Neu gibt es vier Stufen: ??ffentlich?, ?intern?, ?vertraulich? und neu ?streng vertraulich?.
- ?ffentliche Informationen sind – wie’s der Name schon sagt – prinzipiell für alle zug?nglich. Also auch für Personen, die nicht der ETH Zürich angeh?ren.
- (ETH)-interne Informationen sind nur für ETH-Angeh?rige bestimmt. Dies wird anhand ?normaler? Schutzmassnahmen bewerkstelligt (z.B. dadurch, dass Nutzungsbedingungen für den jeweiligen Service, in welchem interne Informationen bearbeitet werden, eingehalten werden).
- Alle anderen Daten wurden im bisherigen Klassifizierungssystem zu den vertraulichen Daten gez?hlt, und zwar unabh?ngig davon, ob sie einen hohen (z.B. Noten und Bewertungen der Studierenden) oder sehr hohen Schutzbedarf ben?tigen (z.B. Firmengeheimnisse; Forschungsergebnisse, die bei Offenlegung schwerwiegenden Schaden anrichten k?nnen). Deshalb beschloss die Schulleitung nun im Rahmen der Teilrevision der Weisung Informationssicherheit und nach Konsultation von ca. 70 Fachexperten der ETH, eine neue Vertraulichkeitsstufe ?streng vertraulich? einzuführen.
- Die neue Stufe ?streng vertraulich? kennzeichnet neu Informationsbest?nde, die einen sehr hohen Schutz ben?tigen und die nur einem individuell benannten Personenkreis zug?nglich sein dürfen.
- Die bisherige Stufe ?vertraulich? wurde dafür flexibler definiert, und ist für Daten gedacht, die ?nur? einen hohen Schutzbedarf aufweisen und von einer oder mehreren verantwortlichen Einheiten der ETH bearbeitet werden, wie z.B. Benotungen.
- Die bisherigen Klassifizierungsstufen für ?intern? und ??ffentlich? bleiben im Grundsatz unver?ndert.
Das neue Klassifizierungssystem wird in Abschnitt 5 der Weisung ?Informationssicherheit an der ETH? beschrieben, und zudem mit entsprechenden Klassifizierungsempfehlungen im Anhang 1 und 2 detailliert erg?nzt.
Gründe für die neuen Klassifizierungsstufen
Das so erweiterte Klassifizierungssystem bietet viele Vorteile, weit über die oben erw?hnte Cloud-Nutzung hinaus, und wurde auch deshalb so wichtig, weil die technischen Herausforderungen in der digitalen Welt einen differenzierteren Umgang mit Informationen vonn?ten machen.
Zudem tauscht die ETH mit diversen anderen Forschungseinrichtungen oder Institutionen des Bundes Daten aus, die von den anderen Einrichtungen mit derselben Sorgfalt verwendet werden sollten. Dieser Austausch wird vereinfacht, wenn die Klassifizierungsstufen ?hnlich aufgebaut sind, was nach der neuen Regelung z.B. mit dem Paul-Scherrer-Institut (PSI) und den Einrichtungen des Bundes der Fall sein wird.
In Bezug auf die Nutzung von Cloud-Services wird damit die M?glichkeit geschaffen, Daten, die in die neuen Klassifizierungsstufen ?vertraulich? und ?intern? eingestuft sind, in bestimmten, dafür freigegebenen Cloud-Diensten mit entsprechenden Sicherheits- und Datenschutz-Standards zu speichern und zu bearbeiten. Als ?streng vertraulich? eingestufte Daten dürfen nicht in der Cloud gespeichert werden.
Wichtige Fristen und Termine
Für die Anwendung des neuen Klassifizierungssystems gelten entsprechende ?bergangbestimmungen (Art. 24bis, 24ter Weisung Informationssicherheit):
- Ab 1. Dezember 2021 sollen die Klassifizierungsstufen verbindlich für alle neu entstehenden Dokumente eingesetzt werden.
- Bei bereits bestehenden Informationsbest?nden sollen die Informationseigner/innen bis 1. Dezember 2023 auch alte Dokumente an das neue Klassifizierungssystem anpassen.
- Für die neuen ?IT-Richtlinien und IT-Grundschutzvorgaben?, die die detaillierten Regelungen zur Cloud-Nutzung enthalten, gilt eine Umsetzungsfrist bis M?rz 2023 (Art. 16).
Im Zuge der Teilrevision wurde zudem die Benutzungsordnung für Informations- und Kommunikationstechnologie an der ETH Zürich (BOT) angepasst, damit diese nun generell für Cloud-Dienste anwendbar ist. (Weitere ?nderungen der Teilrevision der BOT werden in dem Artikel ?Mehr Sicherheit für die IT-Infrastruktur an der ETH? dargestellt.)
Ausblick
Im Herbst 2021 werden weitere Informationen zu den ?nderungen in der Weisungslandschaft Informationssicherheit in ?intern aktuell? erscheinen. Insbesondere die neuen Regeln zur Cloud-Nutzung werden dann vertieft erl?utert werden.
Die Weisung Informationssicherheit und die IT-Richtlinien und IT-Grundschutzvorgaben befinden sich zurzeit in der ?bersetzung.
Verwandte Artikel
Mehr Sicherheit für die IT-Infrastruktur der ETH (Intern aktuell, 22.07.2021)