Informationssicherheit bei Cloud-Diensten

Informationssicherheit bei Cloud-Diensten

Der Leitfaden der Datenschutzbeauftragten des Kantons Zürich zur Informationssicherheit in der Volksschule unterstützt Schulen bei der Erarbeitung eines strukturierten Umgangs mit Informationen und dem Datenschutz. Folgende Dokumente sind dort verfügbar:

• Leitfaden Informationssicherheit / Informationssicherheit Volksschulen
• Sensibilisierung der Mitarbeitenden für Informationssicherheit
• Vorlage zur Erklärung über die Nutzung von Internet und E-Mail sowie zur Informationssicher in Volksschulen
• Vorlage Rollen- und Berechtigungskonzept in Volksschulen
• Beispiel für «Schutzbedarfsfeststellungen Fachanwendungen in Volksschulen"
• Vorlage zur Weisung "Informationssicherheit in Volksschulen" 
• Minimummassnahmenkatalog
• Glossar und Abkürzungen Informationssicherheit 

Spezifische Informationen zum datenschutzkonformen Einsatz schulischer Cloud-Produkte der Datenschutzbeauftragen des Kantons Zürich sind hier verfügbar:

• https://datenschutz.ch/datenschutz-in-oeffentlichen-organen#alle-publikationen-8a1902dc-65dd-4ff2-a7aa-e87505cf5655

Informationen zu den Rahmenverträgen mit educa

Google Workspace (ehemals G-Suite Enterprise for Education)

• https://www.educa.ch/de/taetigkeiten/rahmenvertraege/informationen-fuer-schulen
• https://navi.educa.ch/anwendung/gsuiteforeducation

Microsoft 365

• https://www.educa.ch/de/taetigkeiten/rahmenvertraege/microsoft
• https://navi.educa.ch/anwendung/office365education

Sicherheits- und Datenschutzbedenken

bei Microsoft 365 education

• https://www.inside-it.ch/de/post/st-galler-datenschutz-ruegt-schulen-verwaltung-polizei-und-spital-20210504

bei Google Workspace for Education Plus

• Google Whitepaper zu Security and Compliance 
  https://static.googleusercontent.com/media/gsuite.google.com/en//intl/de/files/google-apps-security-and-compliance-whitepaper.pdf

Informationen zum Thema Datenschutz

Serverstandort

Bei der anyCloud-Nextcloud steht der Server in der Schweiz. Microsoft eröffnet neue Schulmandanten standardmässig im Schweizer Rechenzentrum. Es können noch nicht alle Dienste aus der Schweiz angeboten werden. In diesem Fall werden sie aus den europäischen Rechenzentren bezogen. Google Workspace erlaubt die Wahl einer Serverregion, z.B. Europa. Es gibt keine Möglichkeit, die Schweiz als Serverstandort zu wählen.

Der Serverstandort ist aus Sicht des schweizerischen Datenschutzes relevant für CH- und EU-Anbieter. Für US-Anbieter ist aufgrund von FISA 702 der Serverstandort datenschutzrechtlich quasi irrelevant. Weitere Ausführungen zu FISA und US-Cloud-Dienstanbietern finden sich weiter unten auf dieser Seite. 

Datenschutztechnisch ist der Serverstandort relevant, weil damit die Anzahl Netze und Netzknoten, die durchquert werden und bei denen Informationen abgefangen werden können, beeinflusst werden. Zudem ist der Serverstandort bei allen Anbietern relevant für kürzere Zugriffszeiten und höhere Geschwindigkeiten und damit für eine zusammenhängende und bessere Usability.

Verschlüsselung bei E-Mail-Cloud-Dienst

Interne Transportverschlüsselung (TLS)
Bei schulinternen Mails zwischen Lehrpersonen/Mitarbeitenden und Lernende, die auf demselben E-Mail-Cloud-Dienst laufen, ist die Verbindungsverschlüsselung (TLS) zwischen E-Mail-Client und E-Mail-Server meist genügend, da nur der Cloud-Dienst-Anbieter mitlesen kann. Für besondere Personendaten wird empfohlen, die folgenden Verschlüsselungsverfahren umzusetzen:

Externe Transportverschlüsselung (OME)
Microsoft Exchange Online bietet zudem OME (Office Message Encryption/Office Nachrichtenverschlüsselung) für die verschlüsselte Kommunikation mit externen Personen (Eltern, Behörden usw.) an. OME ist jedoch nicht Ende-zu-Ende-verschlüsselt und kann deshalb von Microsoft mitgelesen werden.

Nachteile:

• bei OME-Verfahren sind die Mails zwar transportverschlüsselt, jedoch nicht Ende-zu-Ende-verschlüsselt. Falls der Schlüssel von Microsoft kommt, kann Microsoft mitlesen. Bringt die Schule den Schlüssel mit, kann die Schule mitlesen.
• Der IT-Dienstleister muss OME für die Schule zuerst aktivieren.

Vorteile:

• Das Verfahren benötigt keine speziellen Voraussetzungen beim Adressaten (Eltern, Gemeindemitarbeitende usw.).
• Für die Schule besteht die Möglichkeit, einen eigenen Schlüssel mitzubringen (Bring Your Own Key).

Weitere Infos:

• https://docs.microsoft.com/de-ch/office365/securitycompliance/ome

Sowohl Microsoft Exchange Online als auch Gmail bieten zudem S/MIME (Secure/Multipurpose Internet-Mail Extensions) als Ende-zu-Ende-Verschlüsselung an. S/MIME eignet sich vor allem für die Verschlüsselung besonderer Personendaten in der schulinternen Kommunikation.

S/MIME enthält nur bedingt die Möglichkeit, Mails mit Externen (Eltern/Behörden/Beratern) zu verschlüsseln, dazu muss

• der externen Person auch S/MIME-Verschlüsselung zur Verfügung stehen.
• die Schule S/MIME aktiviert haben.
• die externe Person ihren öffentlichen Schlüssel mit der Schule geteilt haben.

Das dürfte äusserst selten der Fall sein. Wir empfehlen der Schule deshalb, bei der E-Mail-Kommunikation mit externen Personen (Eltern/Behörden/Beratern) die besonders schützenswerten Informationen in einem E-Mail-Anhang zu verschlüsseln (PDF/ZIP-Verschlüsselung) und das Passwort über einen zweiten Kanal (Bsp sichere Kurznachricht) zuzustellen.

Nachteile von S/MIME:

• Die Clientsoftware muss dieses Verschlüsselungsverfahren auf beiden Seiten unterstützen.
• Externe Personen (Eltern, Behörden, Beratende) verfügen oft nicht über S/MIME.
• Der Verschlüsselungsstandard hat einige Schwächen.

Vorteile von S/MIME:

• offizieller Standard
• Ende-zu-Ende-Verschlüsselung (Microsoft kann nicht mitlesen)
• Keine zusätzlichen Kosten für die Schule

Weitere Infos:

• https://support.google.com/a/answer/6374496?hl=en
• https://docs.microsoft.com/de-ch/office365/securitycompliance/email-encryption

E-Mail-Verschlüsselung anyCloud-Nextcloud
Da bei der anyCloud/Nextcloud der Mail-Dienst separat lizenziert werden muss, lohnt es sich, einen E-Mail-Dienst zu wählen, der Protokolle mit starker E-Mail-Verschlüsselung unterstützt. Zum Beispiel

• Protonmail: https://protonmail.com/

Das anyCloud-Nextcloud-Mail-Frontend unterstützt nur rudimentäre Transportverschlüsselung zwischen dem Frontend und dem E-Mail-Dienst.

Informationen zu US-Cloud-Dienstanbietern

Der CH-US Privacy Shield ist quasi ein Copy-Paste des EU-US Privacy Shield, wie die wörtliche Wiedergabe zeigt: «Der schweizerische Privacy Shield mit den USA könnte aufrechterhalten werden. Im Rahmen der formellen Prüfung des EuGHs war die EU-Grundrechtscharta die zentrale Grundlage. Diese gilt nicht in der Schweiz.» (Quelle https://www.inside-it.ch/de/post/lex-laux-der-europaeische-gerichtshof-in-sachen-schrems-ii-20200717)

Am 8. September 2020 hat der EDÖB (Eidgenössischer Datenschutz- und Öffentlichkeitsbeauftragter) in einer Stellungnahme veröffentlicht, dass der Privacy Shield CH-USA kein adäquates Datenschutzniveau bietet.

Zurzeit ist es offen, ob die Rahmenverträge zwischen educa mit Microsoft und Google weiter gültig bleiben. Die Rahmenverträge werden aktuell (Januar 2021) durch educa neu evaluiert. Doch selbst eine Erneuerung der Rahmenverträge würden nur eine vermeintliche Rechtssicherheit bieten, solange FISA 702 in den USA in Kraft ist.

Weitere Informationen

• Swiss-US Privacy Shield: better protection for data transferred to the USA 
  https://www.admin.ch/gov/en/start/documentation/media-releases.msg-id-65210.html
• Pressemitteilung des EuGHs: Der Gerichtshof erklärt den Beschluss 2016/1250 über die Angemessenheit des vom EU-US-Datenschutzschild gebotenen Schutzes für ungültig.
  https://curia.europa.eu/jcms/upload/docs/application/pdf/2020-07/cp200091de.pdf
• Privacy Shield CH-USA bietet nach Auffassung des EDÖB kein adäquates Datenschutzniveau
  https://www.admin.ch/gov/de/start/dokumentation/medienmitteilungen.msg-id-80318.html
• Übermittlung von Personendaten in ein Land ohne angemessenes Datenschutzniveau
  SG https://www.edoeb.admin.ch/edoeb/de/home/kurzmeldungen/20210827_datenuebermittlung_ausland.html
• Google setzt auf Standardklauseln
  https://www.heise.de/news/Google-setzt-auf-Standarddatenschutzklauseln-nach-gekipptem-Privacy-Shield-4862466.html

FISA 702

FISA 702 ermöglicht es den amerikanischen Behörden, auf Daten in grossem Stil ohne Gerichtsbeschluss zuzugreifen, was sie gemäss den Leaks von Edward Snowden auch tun. Dabei ist es egal, wo die Server stehen. «FISA 702 und EO 12.333 haben keine territoriale Beschränkung. Sie gelten auch für Server in der EU (und der Schweiz), die von einem US-amerikanischen ‚Anbieter elektronischer Kommunikationsdienste‘ betrieben werden oder bei denen bestimmte Vorgänge an einen US-amerikanischen Anbieter ausgelagert werden. Der Standort für das Hosting ist daher irrelevant».

Quellen:

• https://de.wikipedia.org/wiki/Foreign_Intelligence_Surveillance_Act
• https://noyb.eu/en/next-steps-users-faqs
• https://www.eff.org/702-spying