Cloud-Nutzung und Klassifizierung von Informationen: Das wird neu

Welche Informationen der ETH dürfen in Cloud-Dienste ausserhalb unserer Hochschule gespeichert werden? Und welche Richtlinien gelten für diese Cloud-Dienste? Diese Fragen waren lange nicht hinreichend geklärt. V.a. für vertrauliche Informationen galt bisher, dass sie nicht in ETH-externen Cloud-Diensten gespeichert werden dürfen.

Allerdings: Viele Informationen müssen mit anderen Stellen ausgetauscht werden, sowohl innerhalb der ETH – bei Forschungskooperation jedoch auch ausserhalb. Dies können durchaus auch vertrauliche Informationen sein, die noch nicht einem breiten Kreis zugänglich sein sollen, z.B. Forschungsdaten vor deren Veröffentlichung.

Neue Rahmenbedingungen für Cloud-Dienste

Um vertrauliche Daten in externen Cloud-Diensten zu speichern und zu verarbeiten, braucht es Rahmenbedingungen, die regeln, welche Art externer Cloud-Dienste dafür geeignet sind. Dieser Rahmen wurde mit den neuen «IT-Richtlinien und IT-Grundschutzvorgaben der ETH Zürich» geschaffen. Darin steht, welche Schutzmassnahmen ETH-externe Cloud-Dienste z.B. in technischer, organisatorischer und rechtlicher Hinsicht (Datenschutz, Lizensierung) erfüllen müssen, damit Daten der ETH darauf gespeichert und verarbeitet werden dürfen.

Damit die IT-Richtlinien und Grundschutzvorgaben, die für diese neuen Rahmenbedingungen notwendig sind, verabschiedet werden konnten, wurde vorgängig im Rahmen einer Teilrevision in der Weisung «Informationssicherheit an der ETH Zürich» folgender Grundsatz verankert:

Auch vertrauliche Daten dürfen in externen Cloud-Diensten gespeichert werden (nota bene nicht müssen), sofern der externe Cloud-Dienst gewisse Voraussetzungen erfüllt und der/die Informationseigner/in dieser vertraulichen Daten mit der Auslagerung einverstanden ist. Die Informationseigner/innen sind verantwortlich für die in ihrem Auftrag erhobenen oder bearbeiteten Daten. Sie können beispielsweise Professor/innen, Stabsleitende oder Abteilungsleitende sein.

Aber welche Daten sind nun sensibel, und müssen besonders geschützt werden? Diese Fragestellung ist nicht nur wichtig für die Cloud-Nutzung, sondern generell, um Informationen der ETH zu schützen – seien es personenbezogene Daten oder vertrauliche Daten anderer Art, beispielsweise technischer oder wirtschaftlicher Natur.

Klassifizierung für vertrauliche Daten

Um diese Frage zu beantworten, wurde das bestehende Klassifizierungssystem zur Einstufung der Vertraulichkeit von Informationen in der Weisung «Informationssicherheit an der ETH Zürich» um eine Stufe erweitert.

Neu gibt es vier Stufen: «öffentlich», «intern», «vertraulich» und neu «streng vertraulich».

• Öffentliche Informationen sind – wie’s der Name schon sagt – prinzipiell für alle zugänglich. Also auch für Personen, die nicht der ETH Zürich angehören.
• (ETH)-interne Informationen sind nur für ETH-Angehörige bestimmt. Dies wird anhand «normaler» Schutzmassnahmen bewerkstelligt (z.B. dadurch, dass Nutzungsbedingungen für den jeweiligen Service, in welchem interne Informationen bearbeitet werden, eingehalten werden).
• Alle anderen Daten wurden im bisherigen Klassifizierungssystem zu den vertraulichen Daten gezählt, und zwar unabhängig davon, ob sie einen hohen (z.B. Noten und Bewertungen der Studierenden) oder sehr hohen Schutzbedarf benötigen (z.B. Firmengeheimnisse; Forschungsergebnisse, die bei Offenlegung schwerwiegenden Schaden anrichten können). Deshalb beschloss die Schulleitung nun im Rahmen der Teilrevision der Weisung Informationssicherheit und nach Konsultation von ca. 70 Fachexperten der ETH, eine neue Vertraulichkeitsstufe «streng vertraulich» einzuführen. 
• Die neue Stufe «streng vertraulich» kennzeichnet neu Informationsbestände, die einen sehr hohen Schutz benötigen und die nur einem individuell benannten Personenkreis zugänglich sein dürfen.
• Die bisherige Stufe «vertraulich» wurde dafür flexibler definiert, und ist für Daten gedacht, die «nur» einen hohen Schutzbedarf aufweisen und von einer oder mehreren verantwortlichen Einheiten der ETH bearbeitet werden, wie z.B. Benotungen.
• Die bisherigen Klassifizierungsstufen für «intern» und «öffentlich» bleiben im Grundsatz unverändert.

Das neue Klassifizierungssystem wird in Abschnitt 5 der Weisung «Informationssicherheit an der ETH» beschrieben, und zudem mit entsprechenden Klassifizierungsempfehlungen im Anhang 1 und 2 detailliert ergänzt.

Gründe für die neuen Klassifizierungsstufen

Das so erweiterte Klassifizierungssystem bietet viele Vorteile, weit über die oben erwähnte Cloud-Nutzung hinaus, und wurde auch deshalb so wichtig, weil die technischen Herausforderungen in der digitalen Welt einen differenzierteren Umgang mit Informationen vonnöten machen.

Zudem tauscht die ETH mit diversen anderen Forschungseinrichtungen oder Institutionen des Bundes Daten aus, die von den anderen Einrichtungen mit derselben Sorgfalt verwendet werden sollten. Dieser Austausch wird vereinfacht, wenn die Klassifizierungsstufen ähnlich aufgebaut sind, was nach der neuen Regelung z.B. mit dem Paul-Scherrer-Institut (PSI) und den Einrichtungen des Bundes der Fall sein wird.

In Bezug auf die Nutzung von Cloud-Services wird damit die Möglichkeit geschaffen, Daten, die in die neuen Klassifizierungsstufen «vertraulich» und «intern» eingestuft sind, in bestimmten, dafür freigegebenen Cloud-Diensten mit entsprechenden Sicherheits- und Datenschutz-Standards zu speichern und zu bearbeiten. Als «streng vertraulich» eingestufte Daten dürfen nicht in der Cloud gespeichert werden.

Wichtige Fristen und Termine

Für die Anwendung des neuen Klassifizierungssystems gelten entsprechende Übergangbestimmungen (Art. 24^bis, 24^ter Weisung Informationssicherheit):

• Ab 1. Dezember 2021 sollen die Klassifizierungsstufen verbindlich für alle neu entstehenden Dokumente eingesetzt werden.
• Bei bereits bestehenden Informationsbeständen sollen die Informationseigner/innen bis 1. Dezember 2023 auch alte Dokumente an das neue Klassifizierungssystem anpassen.
• Für die neuen «IT-Richtlinien und IT-Grundschutzvorgaben», die die detaillierten Regelungen zur Cloud-Nutzung enthalten, gilt eine Umsetzungsfrist bis März 2023 (Art. 16).

Im Zuge der Teilrevision wurde zudem die Benutzungsordnung für Informations- und Kommunikationstechnologie an der ETH Zürich (BOT) angepasst, damit diese nun generell für Cloud-Dienste anwendbar ist. (Weitere Änderungen der Teilrevision der BOT werden in dem Artikel «Mehr Sicherheit für die IT-Infrastruktur an der ETH» dargestellt.)

Ausblick

Im Herbst 2021 werden weitere Informationen zu den Änderungen in der Weisungslandschaft Informationssicherheit in «intern aktuell» erscheinen. Insbesondere die neuen Regeln zur Cloud-Nutzung werden dann vertieft erläutert werden.

Die Weisung Informationssicherheit und die IT-Richtlinien und IT-Grundschutzvorgaben befinden sich zurzeit in der Übersetzung.