Durch die immer weiter ansteigende Nachfrage nach flexiblen, aber auch hochverfügbaren Lösungen, insbesondere in der Corona-Zeit aber auch danach, haben wir bereits in den vergangenen Monaten unser Angebot von Cloud-Diensten stetig ausgebaut. Um Ihnen diese Lösungen immer bestmöglich, skalierbar und hochsicher anbieten zu können, haben wir einen Partner gesucht, der die Vielfältigkeit der technischen, aber auch rechtlichen Anforderungen optimal jetzt, aber auch in der Zukunft erfüllen kann.

Diese Entscheidung zum Wechsel des Rechenzentrumsbetreibers wurde auf Basis einer detaillierten Analyse getroffen, in der wir verschiedene Anbieter und Modelle verglichen haben. Dabei hat uns sowohl die technische Leistungsfähigkeit, aber insbesondere auch das Know-How und die Erfahrung der Kollegen des Amazon Web Services (AWS) zu rechtlichen Fragestellungen (Berufsgeheimnis, Datenschutz, etc.) aus vielfältigen Projekten aus anderen regulierten Branchen in Deutschland, der Schweiz und Europa überzeugt.

Mit der Entscheidung erreichen wir neben der Erfüllung von strengen Sicherheits- und Compliance- Anforderungen insbesondere die Erhöhung der Stabilität und Skalierbarkeit unserer Infrastruktur. AWS hat sich hier von Anbeginn an als zuverlässiger und sicherer Partner für unser Unternehmen erwiesen, der unsere hohen Anforderungen an Datensicherheit und Datenschutz bestmöglich erfüllen kann.

STP wird auch beim Einsatz von AWS als Rechenzentrum die Daten ausschließlich in der Region des Kunden (Deutschland oder der Schweiz) speichern. Eine Übertragung in Drittländer findet nicht statt.

Neben den technischen Vorkehrungen haben wir mit AWS auch auf rechtlicher und vertraglicher Ebene alle notwendigen Vorkehrungen getroffen, um die bestmögliche Sicherheit aller Ihrer Daten zu gewährleisten. Unter anderem hat STP als Dienstleister im rechtberatenden Umfeld mit seinen Unterauftragsverarbeitern, auch mit AWS, eine den jeweiligen regionalen Anforderungen entsprechende Verschwiegenheitserklärung vereinbart.

Weiterhin haben STP und AWS neue Datenschutzvereinbarungen (AWS-GDPR-DPA) vereinbart, die auch die neuen von der Europäischen Kommission veröffentlichten SCC (Standardvertragsklauseln) enthalten.

Die Speicherung und Nutzung der Dienste ist technisch und vertraglich mit AWS auf die je-weilige Region des Kunden (Deutschland oder Schweiz) beschränkt und die Zugriffsmöglichkeiten entsprechend geregelt. Für den zusätzlichen Schutz bei Anfragen von Strafverfolgungsbehörden wurde überdies das „Supplementary Addendum zum AWS GDPR DPA“ vereinbart, das zusätzlich den Schutz vor der Offenlegung sichert. Danach verpflichtet sich AWS bei Anfragen staatlicher Stellen, die Anfragen an STP weiterzugeben und selbst keine Daten herauszugeben.

Die Bedenken einiger Datenschutzexperten hinsichtlich einer möglichen Weitergabe von Daten auf Basis von Anfragen der US- Regierung sind uns bekannt. Wir beobachten die entsprechenden Entwicklungen in der US-Gesetzgebung, wie z. B. den Cloud Act, sowie die Bestrebungen der EU zum Austausch elektronischer Beweismittel in Strafsachen und begrüßen grundsätzlich die Absicht, Rechtssicherheit zu schaffen. Festzuhalten ist, dass weder wir noch AWS, Daten ohne Anlass herausgeben werden, da dies weder im geschäftlichen Interesse der beiden Unternehmen noch unserer Kunden liegt.

Um Ihre Daten zu schützen, werden diese nach modernsten und dem Industriestandard entsprechenden Technologien verschlüsselt.

Vor der persistenten Speicherung (“at rest”) werden Daten mit einem AES-256-Schlüssel verschlüsselt. Bei der Übertragung werden die Daten („in flight“) mittels Transportverschlüsselung verschlüsselt. Das betrifft sowohl den Übertragungsweg zwischen Endgerät und STP Cloud, als auch den zwischen on-premise Systemen (der Kanzleisoftware) und der STP Cloud. Als Transportverschlüsselung wird TLS 1.2 oder höher unterstützt. Dies ist abhängig von dem jeweiligen Endpunkt oder Gerät. TLS kleiner als Version 1.2 wird nicht zugelassen.
Die Versorgung der STP Cloud (bspw. bei GIS 4.0, Mobile DESK oder auch NewMatterIntake) mit Daten erfolgt zum Teil durch Ihre Systeme in der Kanzlei. Diese stellen über einen Connector eine sichere Datenverbindung zur STP Cloud her. Jeder Connector erstellt eine verschlüsselte Warteschlange zur Cloud. Die Verschlüsselung erfolgt mit ECC 256, einem gängigen Standard (256 Bit ECC - Elliptic Curve Cryptography) verschlüsselte Nachrichten über das AMQP-Protokoll (empfohlen vom BSI). Die Verschlüsselung erfolgt Ende-zu-Ende und bietet Schutz vor Man-in-the-Middle-Angriffen. Der Transport der Daten erfolgt ebenfalls über TLS 1.2 mit Zertifikat. Der Browserzugang zur Cloud, aber auch der Zugriff über API, mobile Endgeräte etc. sind nur über HTTPS-Verbindungen erreichbar.

Die Daten und Cloud Services werden redundant über drei isolierte Availability Zones (AZs) verteilt. Eine AZ ist ein diskretes Rechenzentrum mit redundanter Stromversorgung, Vernetzung und Konnektivität in einer AWS Region. Mithilfe dieser AZs können wir Cloud Services und Datenbanken betreiben, die verfügbarer, fehlertoleranter und skalierbarer sind, als dies von einem einzigen Rechenzentrum aus möglich wäre.

Zusätzlich aller Redundanz werden die persistierten Daten in der Cloud (Datenbanken, S3-Storage, etc.) mit entsprechenden BackUp- Plänen gesichert. Ein darauf abgestufter Desaster-Recovery Plan ermöglicht uns so immer eine umfängliche Wiederherstellung aller Daten.

AWS WAF ist eine Firewall für Webanwendungen, die Webanwendungen gegen Angriffe schützt, indem sie Ihnen ermöglicht, über durch Sie definierte Bedingungen Regeln für das Zulassen, Blockieren oder Überwachen (Zählen) von Webanforderungen zu konfigurieren. Zu diesen Bedingungen gehören IP-Adressen, HTTP-Header, HTTP-Hauptteil, URI-Zeichenfolgen, SQL-Injektion und standortübergreifende Skripterstellung.

STP nutzt weiterhin AWS Shield. Dies ist ein verwalteter Service, der Schutz vor DDoS-Angriffen (Distributed Denial of Service) für Webanwendungen bietet, die unter AWS ausgeführt werden.

Die STP Informationstechnologie GmbH ist sowohl nach DIN ISO 9001 aber insbesondere auch nach DIN ISO 27001 hinsichtlich der Wirksamkeit ihrer Informationssicherheitsmanagementsystems hin zertifiziert.

AWS selbst, aber ist ebenfalls nach DIN ISO 9001 aber auch ISO 27001 zertifiziert. Zusätzlich ist AWS noch nach ISO 27017 (Cloud-spezifische Kontrollen), ISO 27018 (Schutz personenbezogener Daten) und ISO 27701 (Datenschutz-Informationsverwaltung) zertifiziert. Eine Übersicht über weitere Zertifizierungen von AWS finden Sie hier: Eine Übersicht über alle Compliance Programme und Zertifizierungen von AWS finden Sie hier.