Cloud-Nutzung und Klassifizierung von Informationen: Das wird neu

Welche Informationen der ETH d¨¹rfen in Cloud-Dienste ausserhalb unserer Hochschule gespeichert werden? Und welche Richtlinien gelten f¨¹r diese Cloud-Dienste? Diese Fragen waren lange nicht hinreichend gekl?rt. V.a. f¨¹r vertrauliche Informationen galt bisher, dass sie nicht in ETH-externen Cloud-Diensten gespeichert werden d¨¹rfen.

Allerdings: Viele Informationen m¨¹ssen mit anderen Stellen ausgetauscht werden, sowohl innerhalb der ETH ¨C bei Forschungskooperation jedoch auch ausserhalb. Dies k?nnen durchaus auch vertrauliche Informationen sein, die noch nicht einem breiten Kreis zug?nglich sein sollen, z.B. Forschungsdaten vor deren Ver?ffentlichung.

Neue Rahmenbedingungen f¨¹r Cloud-Dienste

Um vertrauliche Daten in externen Cloud-Diensten zu speichern und zu verarbeiten, braucht es Rahmenbedingungen, die regeln, welche Art externer Cloud-Dienste daf¨¹r geeignet sind. Dieser Rahmen wurde mit den neuen ?IT-Richtlinien und IT-Grundschutzvorgaben der ETH Z¨¹rich? geschaffen. Darin steht, welche Schutzmassnahmen ETH-externe Cloud-Dienste z.B. in technischer, organisatorischer und rechtlicher Hinsicht (Datenschutz, Lizensierung) erf¨¹llen m¨¹ssen, damit Daten der ETH darauf gespeichert und verarbeitet werden d¨¹rfen.

Damit die IT-Richtlinien und Grundschutzvorgaben, die f¨¹r diese neuen Rahmenbedingungen notwendig sind, verabschiedet werden konnten, wurde vorg?ngig im Rahmen einer Teilrevision in der Weisung ?Informationssicherheit an der ETH Z¨¹rich? folgender Grundsatz verankert:

Auch vertrauliche Daten d¨¹rfen in externen Cloud-Diensten gespeichert werden (nota bene nicht m¨¹ssen), sofern der externe Cloud-Dienst gewisse Voraussetzungen erf¨¹llt und der/die Informationseigner/in dieser vertraulichen Daten mit der Auslagerung einverstanden ist. Die Informationseigner/innen sind verantwortlich f¨¹r die in ihrem Auftrag erhobenen oder bearbeiteten Daten. Sie k?nnen beispielsweise Professor/innen, Stabsleitende oder Abteilungsleitende sein.

Aber welche Daten sind nun sensibel, und m¨¹ssen besonders gesch¨¹tzt werden? Diese Fragestellung ist nicht nur wichtig f¨¹r die Cloud-Nutzung, sondern generell, um Informationen der ETH zu sch¨¹tzen ¨C seien es personenbezogene Daten oder vertrauliche Daten anderer Art, beispielsweise technischer oder wirtschaftlicher Natur.

Klassifizierung f¨¹r vertrauliche Daten

Um diese Frage zu beantworten, wurde das bestehende Klassifizierungssystem zur Einstufung der Vertraulichkeit von Informationen in der Weisung ?Informationssicherheit an der ETH Z¨¹rich? um eine Stufe erweitert.

Neu gibt es vier Stufen: ??ffentlich?, ?intern?, ?vertraulich? und neu ?streng vertraulich?.

• ?ffentliche Informationen sind ¨C wie¡¯s der Name schon sagt ¨C prinzipiell f¨¹r alle zug?nglich. Also auch f¨¹r Personen, die nicht der ETH Z¨¹rich angeh?ren.
• (ETH)-interne Informationen sind nur f¨¹r ETH-Angeh?rige bestimmt. Dies wird anhand ?normaler? Schutzmassnahmen bewerkstelligt (z.B. dadurch, dass Nutzungsbedingungen f¨¹r den jeweiligen Service, in welchem interne Informationen bearbeitet werden, eingehalten werden).
• Alle anderen Daten wurden im bisherigen Klassifizierungssystem zu den vertraulichen Daten gez?hlt, und zwar unabh?ngig davon, ob sie einen hohen (z.B. Noten und Bewertungen der Studierenden) oder sehr hohen Schutzbedarf ben?tigen (z.B. Firmengeheimnisse; Forschungsergebnisse, die bei Offenlegung schwerwiegenden Schaden anrichten k?nnen). Deshalb beschloss die Schulleitung nun im Rahmen der Teilrevision der Weisung Informationssicherheit und nach Konsultation von ca. 70 Fachexperten der ETH, eine neue Vertraulichkeitsstufe ?streng vertraulich? einzuf¨¹hren. 
• Die neue Stufe ?streng vertraulich? kennzeichnet neu Informationsbest?nde, die einen sehr hohen Schutz ben?tigen und die nur einem individuell benannten Personenkreis zug?nglich sein d¨¹rfen.
• Die bisherige Stufe ?vertraulich? wurde daf¨¹r flexibler definiert, und ist f¨¹r Daten gedacht, die ?nur? einen hohen Schutzbedarf aufweisen und von einer oder mehreren verantwortlichen Einheiten der ETH bearbeitet werden, wie z.B. Benotungen.
• Die bisherigen Klassifizierungsstufen f¨¹r ?intern? und ??ffentlich? bleiben im Grundsatz unver?ndert.

Das neue Klassifizierungssystem wird in Abschnitt 5 der Weisung ?Informationssicherheit an der ETH? beschrieben, und zudem mit entsprechenden Klassifizierungsempfehlungen im Anhang 1 und 2 detailliert erg?nzt.

Gr¨¹nde f¨¹r die neuen Klassifizierungsstufen

Das so erweiterte Klassifizierungssystem bietet viele Vorteile, weit ¨¹ber die oben erw?hnte Cloud-Nutzung hinaus, und wurde auch deshalb so wichtig, weil die technischen Herausforderungen in der digitalen Welt einen differenzierteren Umgang mit Informationen vonn?ten machen.

Zudem tauscht die ETH mit diversen anderen Forschungseinrichtungen oder Institutionen des Bundes Daten aus, die von den anderen Einrichtungen mit derselben Sorgfalt verwendet werden sollten. Dieser Austausch wird vereinfacht, wenn die Klassifizierungsstufen ?hnlich aufgebaut sind, was nach der neuen Regelung z.B. mit dem Paul-Scherrer-Institut (PSI) und den Einrichtungen des Bundes der Fall sein wird.

In Bezug auf die Nutzung von Cloud-Services wird damit die M?glichkeit geschaffen, Daten, die in die neuen Klassifizierungsstufen ?vertraulich? und ?intern? eingestuft sind, in bestimmten, daf¨¹r freigegebenen Cloud-Diensten mit entsprechenden Sicherheits- und Datenschutz-Standards zu speichern und zu bearbeiten. Als ?streng vertraulich? eingestufte Daten d¨¹rfen nicht in der Cloud gespeichert werden.

Wichtige Fristen und Termine

F¨¹r die Anwendung des neuen Klassifizierungssystems gelten entsprechende ?bergangbestimmungen (Art. 24^bis, 24^ter Weisung Informationssicherheit):

• Ab 1. Dezember 2021 sollen die Klassifizierungsstufen verbindlich f¨¹r alle neu entstehenden Dokumente eingesetzt werden.
• Bei bereits bestehenden Informationsbest?nden sollen die Informationseigner/innen bis 1. Dezember 2023 auch alte Dokumente an das neue Klassifizierungssystem anpassen.
• F¨¹r die neuen ?IT-Richtlinien und IT-Grundschutzvorgaben?, die die detaillierten Regelungen zur Cloud-Nutzung enthalten, gilt eine Umsetzungsfrist bis M?rz 2023 (Art. 16).

Im Zuge der Teilrevision wurde zudem die Benutzungsordnung f¨¹r Informations- und Kommunikationstechnologie an der ETH Z¨¹rich (BOT) angepasst, damit diese nun generell f¨¹r Cloud-Dienste anwendbar ist. (Weitere ?nderungen der Teilrevision der BOT werden in dem Artikel ?Mehr Sicherheit f¨¹r die IT-Infrastruktur an der ETH? dargestellt.)

Ausblick

Im Herbst 2021 werden weitere Informationen zu den ?nderungen in der Weisungslandschaft Informationssicherheit in ?intern aktuell? erscheinen. Insbesondere die neuen Regeln zur Cloud-Nutzung werden dann vertieft erl?utert werden.

Die Weisung Informationssicherheit und die IT-Richtlinien und IT-Grundschutzvorgaben befinden sich zurzeit in der ?bersetzung.