Datenhaftung

Cloud-Dilemma: Wolken auf beiden Seiten des Atlantiks

Cloud Computing bringt viele Vorteile, doch wer haftet für die Daten? Über das Spannungsgefüge zwischen der EU-DSGVO und dem US Cloud Act spricht Dr. Kai Martius, CEO von Secustack und Vorstandsmitglied bei Secunet Security Networks.

  • Leuchtturm am Meer

    Etwa 73 Prozent der befragten Unternehmen setzen derzeit auf Cloud Computing.

  • Dr. Kai Martius von Secustack und Secunet Security Networks

    „Durch einen strategisch cleveren Mix aus beiden Möglichkeiten können sowohl die Vorteile von Public- als auch von Private-Cloud-Lösungen optimal ausgespielt werden.“ (Dr. Kai Martius von Secustack und Secunet Security Networks)

ITM: Herr Dr. Martius, noch vor einiger Zeit sah es so aus, als sei die Public Cloud unumgänglich und zukunftsweisend. Wie bewerten Sie den Trend in Deutschland anno 2019?
Dr. Kai Martius:
Die aktuelle Ausgabe des Cloud-Monitors 2019 liefert hierzu einen umfassenden Überblick. Nach ihm setzen heute etwa 73 Prozent der befragten Unternehmen auf Cloud Computing – also fast jedes vierte Unternehmen. Das ist ein Anstieg von sieben Prozent im Vergleich zum Vorjahr. Auf einen Public-Cloud-Anbieter setzt demnach mehr als ein Drittel der Befragten (35 Prozent), was einem Wachstum von vier Prozent entspricht. Gleichzeitig ist die Zahl derjenigen Unternehmen, die sich mit dem Gang in eine öffentliche Cloud auseinandersetzen, seit 2017 nahezu gleich geblieben.

ITM: Welche Entwicklungen haben maßgeblich zu der Veränderung dieses Trends beigetragen und welchen Einfluss haben hierauf hybride Cloud-Szenarien?
Martius:
Die skizzierte Entwicklung kann unterschiedliche Ursachen haben. Ein Grund ist, dass sich Unternehmen nicht mehr nur auf ein Cloud-Szenario festlegen möchten, sondern auf die Kombination verschiedener Modelle setzen, um auf unterschiedliche Anforderungen flexibler reagieren zu können. Diese reichen von der Verarbeitung der schieren Datenmenge bis hin zu strengen Sicherheitsanforderungen innerhalb der Cloud. Durch einen strategisch cleveren Mix aus beiden Modellen können sowohl die Vorteile von Public- als auch die von Private-Cloud-Lösungen optimal ausgespielt werden.

ITM: Das Klischee ist oft, dass ein eigenes RZ schwerfällig, teuer und starr ist, während die Public Cloud als unsicher gilt. Was halten Sie von diesen Vorurteilen?
Martius:
In einigen Fällen mag dieses Klischee noch zutreffen. Neuartige Lösungen tragen jedoch dazu bei, den Vorurteilen handfeste Argumente entgegenzusetzen. Durch einfach skalierbare Hard- und Software-Angebote lassen sich beispielsweise eigene Infrastrukturen kosteneffizienter betreiben und flexibler auf zunehmende Datenvolumina reagieren. Auch im Public-Cloud-Bereich wurden und werden – u.a. von uns – Lösungen entwickelt, die sowohl auf der Betreiber- als auch auf der Nutzerseite zur Erhöhung von Datensicherheit beitragen, etwa durch optimierte Verschlüsselungsmechanismen oder Nutzerseparation.

ITM: Dem reinen Datenwachstum scheint heute keine Grenze mehr gesetzt zu sein. Lohnt es sich hier überhaupt noch, solch große Datenmengen in die Cloud zu schicken?
Martius:
Setzt man der Nutzung von Cloud-Diensten den Bau und Betrieb eines eigenen Rechenzentrums entgegen, lässt sich schnell feststellen, dass sich der Gang in die Cloud lohnt. So sparen sich Unternehmen hohe Kosten für Betrieb, Verwaltung und Wartung der IT-Infrastrukturen. Hierzu zählt auch das entsprechende Fachpersonal. Gleichzeitig bleibt der interne Aufwand minimal, da sich der Dienstleister um die Sicherstellung des Betriebs kümmert.

ITM: Viele Unternehmen haben bereits ihre Daten Übersee in Public Clouds amerikanischer oder asiatischer Anbieter gelagert. Wem gehören diese Daten und wie kann man sie da wieder herausbekommen?
Martius:
US-amerikanische und asiatische Cloud-Anbieter haben auf dem Markt die Nase vorn. Die Überprüfbarkeit konkreter technischer Vorkehrungen zum Schutz sensibler Daten ist dabei meist schwierig. So regelt z.B. der US Cloud Act, dass Anbieter für Kommunikations- oder Cloud-Lösungen, die dem US-Recht unterliegen, die Daten ihrer Kunden auf Anforderung amerikanischer Behörden offenlegen müssen, sofern es ein berechtigtes Interesse gibt – und das völlig standortunabhängig. Dies sorgt für einen möglichen Konflikt mit der im Mai 2018 in Kraft getretenen europäischen Datenschutz-Grundverordnung, nach der die Übermittlung personenbezogener Daten an Drittländer (z.B. die USA) ohne eine in Kraft befindliche internationale Übereinkunft, wie etwa ein Rechtshilfeabkommen (Art. 48 EU-DSGVO), unzulässig ist.

Durch die Komplexität der legislativen und vertraglichen Situation könnten sicherheitskritische Daten unter Umständen nicht gemäß des eigenen Schutzbedarfs gesichert sein. Unter diesen Gesichtspunkten sollten Unternehmen besonderes Augenmerk auf die Wahl ihres Cloud-Providers legen. Es kann dabei ratsam sein, auf hybride Lösungen zu setzen. So können sicherheitskritische Daten in – optimalerweise zusätzlich sicherheitsgehärteten – Private-Cloud-Anwendungen und weniger sicherheitsrelevante weiterhin in der Public Cloud verarbeitet werden.

Dies ist ein Artikel aus unserer Print-Ausgabe 11/2019. Bestellen Sie ein kostenfreies Probe-Abo.


ITM: Die Spannung zwischen der EU-DSGVO und dem US Cloud Act ist ein sensibles Thema. Wie können europäische Unternehmen einerseits von der Flexibilität von Cloud-Szenarien profitieren, andererseits aber die Datensicherheit gewährleisten?
Martius:
Die mangelnde Transparenz mancher Anbieter in puncto Datensicherheit und die bislang komplexe Rechtslage zwischen dem Cloud Act und der EU-DSGVO sorgen bei den Nutzern für viel Unsicherheit. Gerade Betreiber kritischer Infrastrukturen, die tagtäglich mit sensiblen Daten umgehen, meiden deshalb Anbieter aus den USA. Damit solche Unternehmen und Institutionen die Vorteile einer Public Cloud möglichst bedenkenfrei nutzen können, bedarf es geeigneter Mechanismen zur Sicherheitshärtung. Konkret geht es darum, die Daten von der Übertragung über die Speicherung und Verarbeitung bis hin zur Vernetzung abzusichern.

Gleichzeitig müssen die einzelnen Nutzer voneinander und vom Betreiber separiert sein, um Angriffe von diesen Seiten zu erschweren. Unternehmen müssen dabei auf vertrauenswürdige Anbieter setzen, die ihre konkreten Sicherheitsmechanismen transparent machen, sowie auf regionalisierte Betreibermodelle, die eine höhere Wertschöpfung und Akzeptanz in den Gemeinden, Kommunen, Ländern und national bieten. Mit Secustack z.B. ist eine entsprechende Lösung zur Sicherheitshärtung der Cloud bereits auf dem Markt.

ITM: Worin liegen die immanenten Vorteile einer europäischen Cloud?
Martius:
Ein großer Vorteil ergibt sich aus der Verschiebung der Datenhoheit: Die Abhängigkeit europäischer Institutionen von US-Cloud-Diensten würde schwinden und die Datensouveränität in europäischen Händen liegen. Auch das Thema „Wertschöpfung“ hängt damit zusammen. Außerdem bringt die europäische Cloud weniger Bedenken in puncto Datensicherheit.

Durch die Bündelung von Kompetenzen und Rechenkraft von EU-Anbietern bei der Realisierung und dem Betrieb bietet die Europa-Cloud desweiteren einen hohen Grad an Standardisierung und stellt eine breite Datenverfügbarkeit sicher. Somit dürfte auch der Austausch von Daten einfacher funktionieren.

Bildquelle:Gettyimages/iStock / Secustack

©2019Alle Rechte bei MEDIENHAUS Verlag GmbH

Unsere Website verwendet Cookies, um Ihnen den bestmöglichen Service zu bieten. Durch die weitere Nutzung der Seite stimmen Sie der Verwendung zu. Weitere Infos finden Sie in unserer Datenschutzerklärung.

ok