US-Cloud-Dienste: Keine sicheren Häfen!

Veröffentlicht am: 6. Oktober 2015 Autor: Ralf Koenzen Veröffentlicht in Allgemein Keine Kommentare

blog_post_wolke_usaEs ist eine Entscheidung mit Signalwirkung! Am heutigen Dienstag hat der Europäische Gerichtshof (EuGH) das „Safe-Harbor-Abkommen“ der Europäischen Kommission mit den USA für ungültig erklärt. Der EuGH folgte damit im Wesentlichen der Einschätzung des Generalanwalts Yves Bot, der sich bereits vergangene Woche für ein Ende von Safe Harbor ausgesprochen hatte.

Safe Harbor war bisher für US-Unternehmen die rechtliche Grundlage, um personenbezogene Daten aus einem Land der EU in die USA zu übermitteln. Das Abkommen setzte voraus, dass in den USA ein vergleichbares Datenschutzniveau herrscht wie in Europa.

Wie trügerisch diese Annahme war, zeigt uns das heutige Urteil schwarz auf weiß. Und es stellt US-Unternehmen vor große Probleme. Denn in Zukunft wird es für sie deutlich schwieriger werden, personenbezogene Daten von EU-Bürgern in die USA zu übertragen.

Die Bedenken des EuGH kommen nicht von ungefähr: Zum einen fehlt, laut Urteilsbegründung, in den USA ein geeigneter gerichtlicher Rechtsschutz, der die EU-Bürger vor der Sammelwut der US-Konzerne schützt. Zum anderen sieht der EuGH es mehr als kritisch, dass US-Geheimdienste, wie z. B. die NSA, jederzeit auf die bei US-Firmen gespeicherten Daten von Unionsbürgern zugreifen können. Dass sie davon rege Gebrauch machen, wissen wir spätestens seit den ersten Snowden-Enthüllungen vor rund zwei Jahren.

Wie riskant der laxe Umgang der Amerikaner mit dem Datenschutz aber auch für Unternehmen ist, lässt sich am Beispiel US-Cloud sehr gut aufzeigen.

Ich möchte dazu ein Beispiel bemühen, das einen noch recht jungen, aber ständig an Fahrt gewinnenden Trend aufgreift: Netzwerkinfrastruktur aus der Cloud.

Angenommen, ich lagere die Verwaltung meines Netzwerks komplett in einen Cloud-Dienst aus, der in den USA gehostet wird. Das gesamte Management meiner Infrastruktur liefe dann über Server in den USA. Dort lägen – neben den Konfigurationen für Router oder Access Points – auch die hochsensiblen Netzwerkschlüssel, die die Basis für die gesicherte Kommunikation im Unternehmensnetz sind. Die NSA hätte in diesem Fall nicht nur jederzeit die Möglichkeit, sich meine kritischen Daten zugänglich zu machen. Sie könnte meinen gesamten Netzwerkverkehr in Echtzeit mitlesen. Dies würde eine riesige Sicherheitslücke in mein Unternehmensnetz reißen.

Deshalb müssen sich Unternehmen zwingend mit ganz grundlegenden Fragen beschäftigen: Wie sicher sind meine Daten in der Cloud? Wie vertrauenswürdig ist der von mir genutzte Cloud-Dienst? Welchen rechtlichen Rahmenbedingungen unterliegt er? Welche Sicherheits- oder Datenschutzrisiken gehen damit einher?

Diese Fragen hat sich jüngst auch das Bundesministerium des Innern (BMI) im Bezug auf die Nutzung von Cloud-Diensten durch die Bundesverwaltung gestellt. Der zuständige IT-Rat, bestehend aus den IT-Beauftragten der Ressorts, ist dabei zu einem eindeutigen Ergebnis gekommen: Die von der Bundesverwaltung genutzten Cloud-Dienste müssen Mindestanforderungen im Bezug auf die IT-Sicherheit und den Datenschutz erfüllen. Tun sie das nicht, bleibt der Dienst draußen. Gleichzeitig müssen die Verwaltungen gezielt wirtschaftliche Abhängigkeiten vermeiden und es muss möglich sein, alle Daten zurückzuerhalten, um bei Bedarf den Cloud-Anbieter zu wechseln.

Die Vorgaben des BMI für die Bundesverwaltung könnten eine Signalwirkung für Unternehmen und Privatleute haben und als Vorbild dienen.

Gerade für die Wirtschaft wären solche Leitplanken wichtig. Schließlich geht es hier um nicht weniger als den Schutz wichtigen Knowhows und den langfristigen Erhalt unserer Wettbewerbsfähigkeit. Noch dramatischer sieht es bei den kritischen Infrastrukturen aus, also bei unseren Versorgern, in der Finanzbranche etc. Auch sie müssen genauestens abwägen, welche Risiken sie in Kauf nehmen können, um von den immensen wirtschaftlichen Vorteilen der Cloud auch wirklich langfristig zu profitieren.

Übrigens: Selbst der Betrieb europäischer Rechenzentren durch US-Unternehmen und die Auslagerung der Daten in die Europäische Union sind bisher keine Lösung für das Problem, wie ein aktueller Rechtsstreit zwischen Microsoft und der US-Regierung zeigt. Letztere besteht nämlich vehement darauf, dass US-Firmen der US-amerikanischen Rechtsprechung unterliegen – auch wenn ihre Daten auf Servern in anderen Ländern liegen.

Wer also auf Nummer sicher gehen will, sollte sich ernsthaft mit europäischen Cloud-Lösungen auseinandersetzen. Bevor die Euphorie über die schönen neuen Möglichkeiten in einen großen Katzenjammer über den Kontrollverlust umschlägt. Bevor hochsensible Daten in unsicheren Gewässern landen.

Das zumindest sollte das heutige Urteil jedem verdeutlicht haben.

Verwandte Posts

Kommentieren

Ihre E-Mail-Adresse wird nicht veröffentlicht. Erforderliche Felder sind mit * markiert.