Sensible personenbezogene Daten sicherheitskonform in der AWS Cloud

Laut der Wirtschaftsprüfungsgesellschaft KPMG stellten 2019 die größten Hemmnisse für Unternehmen, auf Cloud–Lösungen zu setzten, die Einhaltung von Datenschutz und Informationssicherheit dar.(*1) Trotzdem setzen immer mehr Unternehmen auf die Nutzung der Cloud, zum Beispiel bei Amazon Webservices, kurz AWS. Mit einem Marktanteil von 33% in 2019 ist AWS Marktführer unter den Cloud-Anbietern. (*2) Zu den Kunden des Cloud-Service zählen bekannte und wirtschaftlich bedeutende Unternehmen wie Siemens, Netflix, Philips, Zalando, der DB-Konzern aber auch Banken wie die Online-Bank N26.(*3) Auch für kleinere Unternehmen bietet der Einsatz von Cloud-Lösungen große Vorteile. Es müssen keine eigenen Rechenzentren oder etwa Server vorgehalten werden, die dem ständigen technologischen Wandel Schritt halten müssen und somit Investitionskosten verursachen. Die Abrechnung erfolgt in der Regel nach dem Pay as you use Prinzip, d.h. es fallen nur Kosten für Ressourcen und Dienste an, wenn diese auch aktiv genutzt werden. Diese sind in der Regel geringer als die Bereitstellung, Wartung und Betreuung eigener technischer Ressourcen. Sicherheit und der Datenschutz spielen bei AWS eine herausragende Rolle. Dies weisen die an AWS vergebenen Zertifikate nach, welche die Einhaltung der Datenschutzgesetze, je nach Standort des Rechenzentrums, und der Standards in der IT- bzw. Informationssicherheit, bestätigen. Zu nennen wäre für den europäischen Raum, die Datenschutzgrundverordnung sowie der C5-Standard und die ISO-Normen 9001, 27001, 27017 sowie 27018.(*4)

1. (*1) KPMG Cloud Monitor 2019
2. (*2) Marktanteile Cloudanbieter Statista
3. (*3) AWS Success Stories
4. (*4) Zertifizierungen AWS

Was sind eigentlich sensible bzw. besonders schützenswerte Daten?

Als besonders schützenswert nennt die DSGVO personenbezogene Daten zu ethnischer und kultureller Herkunft, politischen,

religiösen und philosophischen Überzeugungen, Gesundheit, Sexualität und Gewerkschaftszugehörigkeit.

In einem Proof of Concept haben wir gezeigt, wie sensible personenbezogene Daten im Rahmen einer Anwendung sicher und DSGVO konform in einer Public Cloud gespeichert werden können. Ziel war die Entwicklung einer Anwendung, in welcher Dateien, die hochsensible Daten enthalten, innerhalb einer Organisation bereitgestellt und von externen Mitarbeitenden abgerufen werden können.

Architekturdiagramm

Grundsätzlich ist die Anwendung in einer lose gekoppelten Micro-Services Architektur aufgebaut und basiert damit auf Platform as a Service in der AWS Cloud. Neben dem Upload der Dateien zur Bereitstellung sollen diese auch durch NutzerInnen in Form von Downloads abrufbar sein. Für diesen Zweck wurde für die Anwendung eine Benutzerverwaltung implementiert, mit welcher der Zugriff und Download von Dateien Gruppen und BenutzerInnen individuell gesteuert werden kann. Die Autorisierung der BenutzerInnen erfolgt über eine TOTP (Time-based One-time Password) Multi-Faktor-Authentifizierung, die Verwaltung über eine IP-Restriktierte Administrationsschnittstelle, so dass Änderungen an BenutzerInnen nur von autorisierten Personen innerhalb des Unternehmens vorgenommen werden können. Die Daten werden getrennt in zwei unterschiedlichen Tabellen in einer Datenbank (Amazon Dynamo DB) gespeichert und auf Grund der IAM (Identitätsmanagement) Rollen über eine API Schnittstelle durch eine Lambda Funktion aufgerufen. Bei dem eingesetzten IAM handelt es sich um AWS Identity and Access Management – den IAM Dienst von AWS. Es erfolgt eine durchgehende SSL Verschlüsselung zwischen den einzelnen Services. Zusätzlich werden die Daten durch eigene Sicherheitsmaßnahmen AES256-CBC verschlüsselt und die dazu benötigten Passwörter werden mit einem SHA512 Algorithmus gehashed gespeichert. Die API Schnittstellen werden durch den AWS Api-Gateway Service zur Verfügung gestellt. Dieser übernimmt alle Aufgaben für das Akzeptieren und Verwalten von Verbindungen sowie die Autorisierung, Zugriffskontrolle, Überwachung und Verwaltung des Datenverkehrs. Der Service stellt immer eine HTTPS verschlüsselte Schnittstelle zur Verfügung. Die Zugriffe können mit API-Keys, AWS IAM Rollen und AWS Cognito autorisiert werden. Alle verarbeiteten Daten befinden sich außerdem nur zur Laufzeit in der Ablaufumgebung, es werden keine persistenten Daten innerhalb der Ablaufumgebung erzeugt.

Prozessdarstellung

Datei Up- & Download

Multifaktor Authentifizierung

Für die Entschlüsselung der Daten (Nutzerdaten und Dokumente) aus der Datenbank wird der AWS Secrets Manager genutzt. Dort sind die für die Entschlüsselung notwendigen Schlüssel gespeichert. Dieser wird dynamisch für jede Entschlüsselungsoperation angefordert und zu keiner Zeit in der Laufzeitumgebung vorgehalten. Die Datenbanktabellen sowie die darin enthaltenen Daten sind separat verschlüsselt. Für die hardwareseitige Verschlüsselung der Datenbank und des S3-Bucket wird der AWS Key Management Service genutzt. Dies ist ein Objektspeicher-Service, welcher eine hohe Skalierbarkeit, Verfügbarkeit, Sicherheit und Leistung bietet. Der Service ermöglicht es, beliebige Mengen an Daten zu speichern und zu sichern. Die gespeicherten Objekte werden schlüsselorientiert organisiert. Die Autorisierung zur Verwendung von Schlüsseln in beiden Services erfolgt wieder über die AWS IAM Rollen und Berechtigungen, dadurch kann eine Principle of least Privilege Strategie, wie sie Beispielsweise der BSI Grundschutz fordert, umgesetzt werden. Eine Trennung der Verschlüsselung von Datenbank- und Nutzerdaten verhindert außerdem, dass AdministratorInnen unberechtigt Schlüssel abfragen und die Daten der NutzerInnen entschlüsseln und lesen können. Die Sicherheitsrichtlinie des S3-Bucket ist geschlossen, sodass nur über die S3 API mit entsprechender Autorisierung auf die Daten zugegriffen werden kann. Die Datenlisten werden als Objekte unter einem Schlüssel in dem Bucket abgelegt und sind AES256-CBC verschlüsselte Byte-Streams.

Was bedeuten eigentlich die ganzen Abkürzungen?

Um weiteren Anforderungen aus gesetzlicher und compliance Sicht gerecht zu werden, basiert das AWS Key Management System auf einem ausfallsicheren Service, bei dem die Schlüssel auf FIPS-140-2 validierten Hardware Sicherheitsmodulen gespeichert werden. Jede Schlüsselnutzung wird mit Cloud-Trail protokolliert und kann nachvollzogen werden. Ein in Auftrag gegebener Penetrationstest bestätigte die Sicherheit der Systemarchitektur, indem die beabsichtigen Angriffe auf die Anwendung keinen Erfolg erzielten.

Ein in Auftrag gegebener Penetrationstest bestätigte die Sicherheit der Systemarchitektur, indem die beabsichtigen Angriffe auf die Anwendung keinen Erfolg erzielten.

Somit können wir abschließend sagen: Sensible personenbezogene Daten sicherheits- und gesetzeskonform in der AWS Cloud verarbeiten? Geht!