Wie sicher sind Unternehmensdaten in der Cloud für Mittelständler?

Gilt in der Cloud US-Recht?

Immer noch wird intensiv über das dreiste Ausspähprogramm des US-Geheimdienstes NSA diskutiert – zumindest in der Öffentlichkeit. Die Volksvertreter in Berlin indes schauen ratlos zu. Und während sie zaudern, das unsägliche Freihandelsabkommen in Frage stellen oder bestenfalls ein „No-Spy-Abkommen“ anstreben, schaffen die anderen Fakten: Ein US-Gericht will Microsoft zur Herausgabe auch solcher in der Cloud gespeicherten Daten zwingen, die in der EU vorgehalten werden. EU-Datenschutz und US-Rechtsprechung scheinen zunehmend inkompatibel.

Kunden von US-Unternehmen, die ihre Daten in der Cloud speichern, müssen laut Peter Schaar davon ausgehen, dass ihre Daten dem Zugriff durch US-Behörden nach dortigem Recht ausgesetzt seien.

Letztlich ist irrelevant, auf welcher juristischen Grundlage besagtes Urteil in New York zustande kam. Tatsache ist, dass US-Recht erneut über internationales Recht gestellt wird und dass damit die Bemühungen US-amerikanischer Cloud-Anbieter konterkariert werden, die laut eigener Aussage versuchen, mit (neuen) Rechenzentren im EU-Raum zerstörtes Vertrauen halbwegs wiederherzustellen. Denn nun haben US-Behörden offiziell die Möglichkeit, die Herausgabe personenbezogener Daten der Nutzer von US-Cloud-Anbietern zu verlangen – unabhängig davon, auf welchem Kontinent die Daten liegen. Dies kann den US-Anbietern nicht gefallen, und immerhin hatte sich Microsoft gegen einen entsprechenden Durchsuchungsbefehl von E-Mails im Vorfeld zur Wehr gesetzt. Nur: Was nützt das jetzt noch?

Die von uns befragten Repräsentanten zweier US-Anbieter verweisen darauf, dass den staatlichen Sicherheitsbehörden in jedem Land Zugriffsrechte gewährt würden, wenn die nationale Sicherheit bedroht sei. In diesem Punkte unterscheide sich die Gesetzgebung der Vereinigten Staaten grundsätzlich nicht von der in den europäischen Ländern. So seien in Deutschland einerseits die G10-Gesetze für die Nachrichtendienste und andererseits die Strafprozessordnung für die Polizei einschlägig. Stimmt, nur geht es dann meist um nationales Recht. Den Unterschied in der Rechtsauffassung erläutert Peter Schaar, lange Jahre oberster Datenschützer in Deutschland, auf seiner Webseite: Kunden von US-Unternehmen, die ihre Daten in der Cloud speichern, müssen laut Schaar davon ausgehen, dass ihre Daten dem Zugriff durch US-Behörden nach dortigem Recht ausgesetzt seien. Damit gelangen die US-Behörden an im Ausland gespeicherte Daten, für die sie ansonsten den Weg der internationalen Rechtshilfe einschlagen müssten. Dies widerspricht in den Augen des Experten internationalem Recht.

Die Idee der regionalen Cloud

Natürlich kann man sich auch auf die Position zurückziehen, auf die Machenschaften der Geheimdienste anderer Länder zu verweisen, etwa der in China oder Russland. Bloß, dass die einschlägigen Cloud-Anbieter – Microsoft, HP, IBM, Amazon, Google – eben nicht aus China oder Russland kommen, sondern aus den USA.

Die Frage steht im Raum, welche Möglichkeiten deutschen Mittelständlern überhaupt bleiben, wenn sie mit der Auslagerung sensibler Daten in die Cloud liebäugeln? Ein Vorschlag, der häufiger einmal in den Ring geworfen wird, ist die Schaffung einer deutschen oder europäischen – jedenfalls einer regionalen – Cloud. Danach befragt, weist Frank Strecker, bei T-Systems verantwortlich für das Cloud-Geschäft, überraschenderwiese direkt auf die Internationalität der Datenwolke hin. Als entscheidenden Punkt erachtet er allerdings, wo das Rechenzentrum steht und welche Datenschutzrichtlinien dort gelten. Auf Wunsch garantiere es sein Unternehmen, Kundendaten ausschließlich in der deutschen Cloud zu speichern und zu verarbeiten. Nur über besonders abgeschottete Verbindungen seien sie auch von außerhalb Deutschlands erreichbar. Für André Kiehne vom südafrikanischen IT-Dienstleister Dimension Data geht es vor allem darum, dass nur die Nutzer allein Zugriff auf die Daten haben. Dies sei klar geregelt, solange man sich im europäischen Rechtsraum bewege. Sein Unternehmen biete den Nutzern daher Verträge nach deutschem Recht, der Standort des Rechenzentrums ist für ihn hingegen nachrangig.

Auf die Wichtigkeit des geltenden Rechts verweist auch Kurt Rindle, Cloud-Verantwortlicher bei IBM Deutschland, für den ein verantwortungsbewusstes Unternehmen immer die Gesetze des Landes einhält, in dem es agiert. Bei Kunden der IBM Deutschland GmbH mit Cloud-Rechenzentren in Ehningen, Mainz sowie Frankfurt finde dabei deutsches Recht Anwendung.

Dass infolge der Anwendung deutschen Rechts die Sicherheit der Daten vor fremdem, staatlichem Zugriff gewährleistet sei, zweifelt hingegen Claudia Gharavi an. Für die CEO des Rechenzentrumsbetreibers Mesh ist es zwar durchaus sinnvoll, vor allem im Hinblick auf mögliche Schadensfälle, auf deutsches Recht verweisen zu können, weil der Datenschutz hierzulande zu den strengsten der Welt zähle. Doch sie schränkt ein: „US-Unternehmen, auch deren Tochterunternehmen mit Sitz in Deutschland, sind verpflichtet, der US-Regierung ‚auf Zuruf’ Zugriff zu Servern und den darauf gespeicherten Daten zu gewähren.“ Sogar die jeweils geltenden lokalen Gesetze würden außer Kraft gesetzt, fährt Gharavi fort.

Lokale Gesetze außer Kraft

Mitbewerber könnten vielleicht unterstellen, die Situation werde durch solche Aussagen dramatisiert. Bei Juristen liegt dieser Verdacht eher fern. Jan-Peter Voß und Dr. Jörg Michael Voß von der auf IT-Recht spezialisierten Kanzlei Avocado streichen heraus, dass man zwischen dem Standort der Server und den Kommunikationswegen unterscheiden müsse. Eine „deutsche oder europäische Cloud“ existiert ihrer Ansicht nach insofern bereits dann, wenn Unternehmen deutsche oder europäische Anbieter auswählen, die sicherstellten, dass dort gespeicherte Daten den deutschen oder europäischen Raum nicht verlassen und möglichst zugriffsgeschützt sind. Gehe es jedoch um den vieldiskutierten Zugriff der Sicherheitsbehörden der USA, sollte es sich um Anbieter handeln, die jedenfalls keine Konzernverbindungen in die USA besitzen, möglichst sogar keine Niederlassung oder kein Vermögen dort, sodass ein Zugriff von US-Behörden ausgeschlossen ist. Deutlicher, als die Juristen es hier formulieren, geht es kaum!

Doch zurück zu dem Gedanken einer „regionalen“ Cloud: Claudia Ghavari gibt zu bedenken, ein solch begrenztes Gebilde sei aus Marketingzwecken schnell ins Leben gerufen. „Die Tatsache jedoch, dass die Infrastruktur in deutschen Landen steht, sagt noch nichts darüber aus, wie sicher diese ist und wer theoretisch Zugang zu den Daten erhalten kann. Eine wichtige Rolle spielt das eingesetzte IT-Equipment. Hinzu kommt die Wahl der eingesetzten Subprovider.“ Was sie damit meint, könnte manchen Anwender zur Komplettkapitulation bewegen: Wer etwa versuche, eine deutsche Cloud in einer oder zwei Städten aufzubauen, benötige eine Webanbindung. Die Internetinfrastruktur kommt aber meist von internationalen Netzbetreibern und bei der Hardware finden vornehmlich US-Hersteller Berücksichtigung. „Findet man tatsächlich Nischenanbieter, bedeutet das noch keinen wirklichen Schutz, wenn man bedenkt, welche internationalen Kooperationen die USA in der Lage sind zu schließen und wie sie Unternehmen unter Zugzwang bringen können.“

Um auf nationaler Ebene eine generelle Erhöhung der Sicherheit zu erlangen, müsste die Vernetzung nur innerhalb Deutschlands oder Europas erfolgen. Damit entstünde quasi eine Abschottung vom „restlichen“ Internet. Die damit einhergehenden Kosten könnten zu einer Zweiklassengesellschaft führen. Eine keinesfalls erstrebenswerte Einschränkung des Grundrechts auf Informationsfreiheit sieht sie dann nur noch einen kleinen Schritt entfernt.

Für Mittelständler ist das Grundrecht auf Informationsfreiheit jedoch ziemlich sekundär, ihnen geht es vielmehr um das Grundrecht, ihre eigenen Informationen für sich zu behalten. Da sind die (trans)atlantischen Geheimdienste nur eine Gefahrenquelle, neben den Wirtschaftsspionen aus Russland, China und der Türkei beispielsweise. Hinzu kommen die ganz normalen, nichtstaatlichen Cyberkriminellen. Vor diesem Hintergrund kann man sich schon einmal die Frage stellen, inwieweit die eigene IT in Sachen Sicherheitsniveau konkurrenzfähig ist mit den Security-Maßnahmen der spezialisierten Cloud-Service-Anbieter.

Zertifizierungen und Zertifikate

Laut einer Studie der IT-Analysten von Techconsult machten 71 Prozent der befragten Unternehmen als entscheidendes Kriterium für die Auswahl eines Cloud-Anbieters den Einsatz anerkannter Sicherheitsverfahren bzw. eine Zertifizierung durch unabhängige Dritte wie ISO 27001 zur Bedingung. Zertifizierungen schaffen Vertrauen, weil sie zumindest zeigen, dass ein Sicherheitsbewusstsein beim Provider vorliegt. Regelmäßige Audits tun ihr Übriges. Allerdings lohnt es sich, genau nachzufragen, welche Bereiche geprüft wurden und was sich hinter den einzelnen Zertifizierungen verbirgt. Denn leider, so Kurt Rindle von IBM, gebe es neben den speziell für Cloud-Sicherheit und -Datenschutz entwickelten ISO 27017 und 27018 sowie dem IT-Grundschutz des BSI auch einige „Zertifikate“, die einer Überprüfung nicht standhielten.

Im Rahmen von EU Safe Harbour und diversen ISO-Standards setzt Dimension Data beispielsweise auf Layer2-Verschlüsselung und ein rollenbasiertes Sicherheitskonzept, das Zugriffe laut Anbieter noch stärker reglementieren. Bei T-Systems fließen die Kundendaten über abgeschottete Leitungen, also VPN-Tunnel, und bei MESH achtet man auf die Kapselung der Nutzer voneinander, was die direkte Interaktion zwischen Kundendaten verhindern soll. Hierbei kommen z.B. Berechtigungen sowohl auf Datei- als auch auf Netzwerkebene (Virtuelle LAN, VLAN) zum Tragen.

Wenn Cloud Computing im mittelständischen Umfeld irgendwann doch einmal größeren Erfolg haben soll, plädieren viele Experten für ein beherzteres Eingreifen der Gesetzgeber – auf nationaler wie auch auf EU-Ebene. Vor allem, weil bisher grenzübergreifende Regelungen fehlen. Angemahnt wird auch die Dringlichkeit einer europäischen Datenschutzverordnung. Allerdings muss diese dann der US-amerikanischen Rechtsprechung Paroli bieten können. Auch und vor allem, wenn es um Spionage geht: „Für uns ist es sehr ärgerlich, dass wir immer noch nicht wissen, in welchem Ausmaß ausländische Geheimdienste deutschen Internet- und Telefonverkehr tatsächlich überwachen“, kritisiert Frank Strecker von T-Systems.

Es ist und bleibt eine Binsenweisheit, darauf zu verweisen, dass es absolute Sicherheit im Internet nicht geben kann. Das heißt aber noch lange nicht, dass man sich die Sicherheitsbestrebungen und legalen Rahmenbedingungen der einzelnen Anbieter nicht genau anschauen sollte. Selbst, wenn höchste Sicherheitsanforderungen und die vertraglichen Bedingungen bezüglich geltendem Recht erfüllt sind, sollte man sich die Daten anschauen, die man in die Cloud verlagern möchte. Das mahnen selbst die Vertreter der Anbieter an, etwa Kurt Rindle: „Es gibt Daten, die Unternehmen problemlos in einer Public Cloud betreiben können, beispielsweise weil es frei verfügbare Informationen sind. Andere Daten können mit Verschlüsselung datenschutzkonform in einer Cloud betrieben werden oder Unternehmen schließen mit einem Cloud-Provider eine Vereinbarung zur Auftragsdatenverarbeitung. Wieder andere Daten bleiben manchmal besser in den unternehmenseigenen Wänden, wie zum Beispiel manche Forschungs- oder Entwicklungsdaten.“ Diese Einschätzung deckt sich absolut mit den Aussagen des IT-Chefs der Ravensburger AG, der Info- und Beschreibungsmaterial für Kinderspiele bedenkenlos in die Cloud stellt, um etwa Lastspitzen bedarfsgerecht abzufangen, dies aber niemals mit personenbezogenen Daten täte (siehe IT-MITTELSTAND 04/14).

Manches besser nicht in die Cloud

Es bleibt eine Sache der Abwägung, ob überhaupt, mit welchen Daten und mit welchem Anbieter man den Schritt in die Cloud wagen will. Eines ist sicher: Allein schon der Transport der Daten über das Internet, birgt Risiken, etwa durch Anzapfen von Internetknoten und Entschlüsselungsversuchen durch Hochleistungsrechner. Wer davor Angst hat, dem bleibt im Grunde nur das lokale Vorhalten der Daten.

Ein Kunde von Mesh, der anonym bleiben möchte, antwortete auf die Frage, worauf Mittelständler bei der Auslagerung von Daten achten sollten: „Es müssen alle machbaren datenschutzrelevanten Vorkehrungen getroffen werden: deutsches Unternehmen mit Standort in Deutschland bedeuten deutsches Recht, verschlüsselte Dienste etc.“

Eine Herausforderung bestehe dann meist darin, bei den Mittelstands-Providern, die lokal eine Alternative darstellten, echtes Cloud Computing zu erkennen. Die Anforderungen seien klar definiert, der Begriff Cloud werde aber sehr oft verwendet. Wichtig sei schließlich auch, die technologischen Aspekte zu kennen. Handelt es sich um eine Cloud, die in verschiedenen Rechenzentren betrieben wird und wird im Ernstfall eine automatische Umschaltung in Echtzeit garantiert? „Berüchksichtigt man all diese Aspekte, verkleinert sich der Kreis möglicher Provider drastisch.“

Bildquelle: © Thinkstock/iStockphoto

©2019Alle Rechte bei MEDIENHAUS Verlag GmbH

Unsere Website verwendet Cookies, um Ihnen den bestmöglichen Service zu bieten. Durch die weitere Nutzung der Seite stimmen Sie der Verwendung zu. Weitere Infos finden Sie in unserer Datenschutzerklärung.

ok