Nach der NSA-Datenschutz-Affäre

Vertrauen in Cloud-Anbieter aus Deutschland

Nach dem NSA-Skandal und den Enthüllungen von Edward Snowden in den USA punkten hinsichtlich des Datenschutzes und der Datensicherheit zunehmend deutsche Cloud-Anbieter mit ihren Cloud-Diensten.

National statt international: Deutsche Experten sind sich einig, dass die Ausspähaffäre mittelfristig dazu führen wird, dass deutsche Cloud-Anbieter zu Lasten ihrer US-Konkurrenz mehr Aufträge erhalten.

Der NSA-Skandal kommt die USA aller Voraussicht nach teuer zu stehen. Einen Umsatzverlust der amerikanischen Cloud-Anbieter von 22 bis 35 Mrd. Dollar in den nächsten drei Jahren prognostizierte die Information Technology & Innovation Foundation auf Basis einer Mitgliederbefragung der Cloud Security Alliance. Die Schätzung stammt vom August, neuere und belastbare Zahlen gibt es noch nicht. Doch deutsche Experten sind sich einig: Die Ausspähaffäre wird zumindest mittelfristig dazu führen, dass deutsche und europäische Anbieter zu Lasten ihrer US-Konkurrenz mehr Aufträge erhalten – Edward Snowden sei Dank.

Eine Tendenz mehrerer Umfragen zur Geschäftsverlagerung von USA und Großbritannien nach Kontinentaleuropa und Deutschland erkennt der Geschäftsführer des Bundesverbands IT-Sicherheit „Teletrust“, Holger Mühlbauer. Er sieht die Vertrauenskrise als Steilvorlage für deutsche IT-Sicherheitstechnologien und ihr Qualitätszeichen „IT Security made in Germany“. „Unsere Rechtslage, ohne Patriot Act, aber mit einem der strengsten Datenschutzniveaus in der Welt, ist ein Wettbewerbsvorteil.“

Der Leidensdruck der Cloud-Branche

Spannend dürfte werden, ob nicht nur US-Anbieter, sondern die Cloud-Branche insgesamt unter dem Spionageskandal leiden wird. Zwar gehen Prognosen von zweistelligen Wachstumsraten aus, aber die Datenerhebung stammt in der Regel aus der Zeit vor der NSA-Affäre. Zudem ist das Gesamtvolumen des Rechnens in der Wolke im Mittelstand nach wie vor eher dürftig, allen Bemühungen der Branche zum Trotz. „Cloud Computing war noch nie sehr erfolgreich in Deutschland. Man denke an das frühere Geschäftsmodell des Application Service Providing“, sagt Sven Rudolph, Technikchef von Scitech IT Solutions. Sein Systemhaus baut seit zehn Jahren Private Clouds. „Der Mittelstand war schon früher reserviert. Durch die Affäre fühlen sich die Skeptiker bestätigt.“ Oliver Dehning, Geschäftsführer von Antispameurope, einem Anbieter von Sicherheitsdiensten aus der Cloud, kann den Diskussionen im Zuge des Skandals auch Gutes abgewinnen: „Die Kunden schätzen die Risiken realistischer ein und treffen rationalere Entscheidungen.“

Eine weitere Krux: Auch deutsche Anbieter sind nicht in jedem Fall vor den Fängen der NSA und GCHQ sicher. Denn wenn sie in den USA Niederlassungen führen, unterliegen diese dem US-Recht. „Die NSA kann dann auch die Herausgabe von Daten fordern, wenn sie in Deutschland liegen. Das ist eine Zwickmühle für deutsche Anbieter, denn sie verstoßen in dem Fall entweder gegen deutsches oder amerikanisches Recht“, erklärt Dehning. Auch das Gütezeichen „made in Germany“ ist nicht immer eindeutig. „Auch wenn der Software-Anbieter aus Deutschland kommt, hat er möglicherweise ausländische Partner“, sagt Bernd Becker, Vorstandsprecher von Eurocloud Deutschland. Dehning will den Einwand nicht gelten lassen: „Entscheidend ist die Gesamtverantwortung. Das ist wie bei deutschen Autos. Da kommen auch nicht alle Teile aus Deutschland.“ Abgesehen vom Herkunftsland sollten Cloud-Interessenten auf Gütesiegel und Zertifizierung des Anbieters nach ISO 27001 achten (siehe Seite 42). Die wichtigste Sicherheitsvorkehrung ist die Ende-zu-Ende-Verschlüsselung, idealerweise schon bevor die Daten in die Cloud wandern.

Neue Cloud-Initiativen

Viele Anbieter und Initiativen greifen das Sicherheitsbedürfnis auf. So gab das Wirtschaftsministerium im November den Startschuss für das Pilotprojekt „Datenschutz-Zertifizierung für Cloud Computing“. Das Verfahren soll ab Frühjahr 2015 von unabhängigen Zertifizierungsstellen für alle Anbieter zur Verfügung stehen. An dem Vorhaben sind mehrere Datenschutzbehörden, Anbieter und Anwender von Cloud-Diensten sowie Unternehmen aus der IT-Prüfung und -Rechtsberatung beteiligt. Kleine und mittelständische Unternehmen aus Hessen will das Center for Industrial Research in Cloud Security (Cirecs) bei ihrem Schritt in die Cloud unterstützen. Dahinter verbirgt sich ein gemeinschaftliches Vorhaben von Fraunhofer SIT und des House of IT, beide mit Sitz in Darmstadt. Das Projekt soll anwendungsbezogene Produkte entwickeln, die dem Mittelstand IT-Sicherheit und Datenschutz bieten.

Ein bereits fertiges Konzept stellte das Hasso-Plattner-Institut (HPI) im September vor. Das Verfahren des HPI sieht vor, dass die Daten in einer Public Cloud nicht einem Anbieter komplett anvertraut, sondern in Blöcke aufgeteilt, verschlüsselt und gleichmäßig auf mehrere, voneinander unabhängige Speicherdienste verteilt werden. Es ähnelt dem RAID-Prinzip (Redundant Array of Independent Disks), mit dem physische Festplatten zu einem logischen Laufwerk verbunden werden. Die Plattform sucht die Ressourcen nach den definierten Anforderungen der Nutzer aus. Das können z.B. die geografische Lage, die Leistungsfähigkeit oder andere technische Eigenschaften sein.

Bildquelle: © Thinkstock/photos.com

©2020Alle Rechte bei MEDIENHAUS Verlag GmbH

Unsere Website verwendet Cookies, um Ihnen den bestmöglichen Service zu bieten. Durch die weitere Nutzung der Seite stimmen Sie der Verwendung zu. Weitere Infos finden Sie in unserer Datenschutzerklärung.

ok