Domäne · D2
Operative Transparenz & Datenkontrolle
„Wer hat operativen Zugriff auf Daten und Schlüssel — und wie ist das nachweisbar?"
1. Strategische Bedeutung§
Operative Transparenz und Datenkontrolle entscheidet im laufenden Betrieb, ob der Kunde tatsächlich Souverän seiner Daten ist oder nur formaler Eigentümer. Diese Domäne bewertet die nachweisbare Steuerbarkeit der zentralen operativen Hebel.
Wesentlich ist nicht die Versicherung des Anbieters, sondern die kryptografisch oder organisatorisch nachweisbare Trennung von Daten, Schlüsseln und privilegierten Zugriffen. Vertrauen ohne Nachweisbarkeit zählt in dieser Domäne nicht.
D2 ist die Domäne, in der sich Souveränitäts-Marketing am stärksten von realer Kontrolle unterscheidet. Sie verlangt belastbare technische und prozedurale Evidenz.
2. Kernkriterien§
- Schlüsselverwaltungsmodell
Klare Einordnung als Provider-Managed Keys, BYOK oder HYOK — inklusive Beschreibung, welche Operationen ohne Mitwirkung des Kunden durchführbar sind.
- Datenresidenz und Replikationsstandorte
Vollständige Liste aller primären, sekundären und Backup-Standorte; vertraglich zugesicherte Beschränkungen.
- Privileged Access Management des Anbieters
Wer im Anbieter darf unter welchen Bedingungen auf Kundendaten zugreifen? Mehraugenprinzip, Just-in-Time-Zugriff, Break-Glass-Verfahren.
- Log-Integrität und Manipulationsschutz
Zugriffsprotokolle müssen für den Kunden einsehbar, vollständig und manipulationssicher sein (z. B. Append-only, Hash-Ketten, externe Notarisierung).
- Incident-Response-Transparenz
Definierte Meldefristen, definierter Detailgrad, vertragliche Verpflichtung zur Offenlegung anbieterinterner Vorfälle, die Kundendaten betreffen.
- Zugriffsnachweise
Nachweis, wer wann auf welche Daten oder Schlüssel zugegriffen hat — auch durch den Anbieter selbst und durch Subunternehmer.
3. Prüffragen (Auszug)§
- Welches Schlüsselverwaltungsmodell ist vertraglich vereinbart, und welche Operationen sind ohne Kundenmitwirkung möglich?
- Können Datenstandort und Replikationsziele vertraglich auf die EU beschränkt werden?
- Welche Personenkreise im Anbieter haben unter welchen Bedingungen lesenden oder schreibenden Zugriff?
- Ist das Zugriffsprotokoll für den Kunden vollständig, manipulationssicher und in nahezu Echtzeit einsehbar?
- Welche Meldefristen gelten für sicherheitsrelevante Ereignisse und für anbieterinterne Zugriffsvorfälle?
- Wie ist gewährleistet, dass der Anbieter ohne Schlüssel des Kunden keine Inhalte entschlüsseln kann?
- Welche Verfahren existieren für Break-Glass-Zugriffe — und wie werden sie protokolliert?
4. Akzeptierte Evidenz§
- Technische Architekturdokumentation des Schlüsselmanagements (HYOK/BYOK)
- Auszüge aus PAM-Protokollen und Konfigurationsnachweise
- Append-only-Log-Architektur oder externe Log-Notarisierung
- Vertragliche Datenresidenzklauseln und Replikationsbeschränkungen
- Auditberichte unabhängiger Prüfer zu Zugriffsverfahren (z. B. ISAE 3000)
5. Level-Schwellen in dieser Domäne§
| Level | Mindestanforderung in D2 |
|---|---|
| L0 | Schlüssel- und Zugriffsmodell nicht transparent; keine Protokolleinsicht für den Kunden. |
| L1 | Vollständige Dokumentation aller Zugriffspfade und Schlüsselrollen; lesender Protokollzugriff für den Kunden. |
| L2 | Kunde steuert Schlüsselhoheit (HYOK oder gleichwertig), kann Zugriffe entziehen und Datenstandort durchsetzen. |
| L3 | Anbieterzugriff auf Inhaltsdaten technisch ausgeschlossen; Zugriffsnachweise extern notarisiert; vollständige EU-Operation. |
6. Anschluss an bestehende Standards§
| Standard | Was abgedeckt ist | Wo EDSO darüber hinausgeht |
|---|---|---|
| ISO/IEC 27001 | Zugriffskontrolle (Annex A.5.15 ff.) abgedeckt | Schlüsselhoheit gegenüber dem Anbieter nicht gefordert |
| SOC 2 Type II | Operative Kontrollen umfassend dokumentiert | Souveränität gegenüber dem Anbieter nicht Prüfgegenstand |
| TISAX | Datenkontrolle teilweise (insb. Prototypenschutz) | Schlüsselhoheit und Provider-Zugriff nicht systematisch geprüft |
| BSI C5 | Operative Kontrollen detailliert abgedeckt | Strukturelle Trennung Anbieter/Kunde nur indirekt |
7. Typische Audit-Befunde§
- BYOK-Bezeichnung trotz fortlaufender Entschlüsselungsfähigkeit des Anbieters für operative Funktionen
- Replikation in Backup-Region außerhalb der EU vertraglich nicht ausgeschlossen
- Break-Glass-Verfahren ohne nachvollziehbare Protokollierung
- Audit-Logs nur retrospektiv und über Anbieter-Portal — keine Manipulationssicherheit
- Privilegierte Anbieter-Konten ohne Mehraugenprinzip