Cloud-Computing: Der Datenschutz verdampft
Millionen Unternehmen und individuelle Nutzer setzen heute auf Cloud-Computing. Ihre Mails, Texte und andere Daten werden bei einem internationalen Anbieter irgendwo auf der Welt gespeichert. Die rechtliche Lage ist im Ernstfall alles andere als sicher. Klar ist nur: Wenn sich Cloud-Computing durchsetzen soll, müssen Datenschutzkonzepte auf internationaler Ebene neu durchdacht und geregelt werden.
Per Trojaner schleusten sie sich ein und lasen die E-Mails von Dissidenten und Journalisten. Der jüngst von Google gemeldete Angriff mutmaßlich chinesischer Cracker auf dessen Webmail-Dienst führte eines deutlich vor: Daten, die im Netz gespeichert sind, sind angreifbar.
Immer mehr Unternehmen setzen aus Kostengründen auf die Datenverarbeitung in der Cloud: "Rechnen in der Wolke" bedeutet, dass Rechenkapazitäten nicht mehr vom Anwender selbst unterhalten, sondern extern zugekauft und über das Netz verwendet werden. Die Anwendungen und Daten befinden sich nicht mehr auf dem lokalen Rechner des Unternehmens, sondern "in der Wolke", also auf irgendeinem Rechner des Anbieters, der in einem beliebigen Land stehen könnte.
Amazon, HP, Microsoft, IBM, EMC, Oracle und Google verschieben täglich Daten in Millionen Servern von den USA über Asien nach Europa und wieder zurück - je nach den derzeit verfügbaren Rechenkapazitäten.
Downtime vs. Datenschutz
Noch vor wenigen Jahren war es für Unternehmen undenkbar, sensible Geschäftsdaten außerhalb ihrer Firewall zu verarbeiten. Inzwischen ist jedoch das Vertrauen in die Cloud-Computing-Anbieter gewachsen. Über zwei Millionen Unternehmen nutzen bereits Google Apps, darunter Motorola und die Stadt Los Angeles. Jüngst entschied sich auch der Schweizer Ringier-Verlag für Google Apps. Das heißt: Seine weltweit 8.000 Mitarbeiter arbeiten künftig mit Anwendungen und Daten, die irgendwo im Netz gespeichert sind. Google soll eine Verfügbarkeit von 99,9 Prozent zugesichert haben.
Google-Manager Steve Rogers sagte kürzlich in einem Interview mit ORF.at: "Ich persönlich weiß, dass die Wahrscheinlichkeit, dass ein Google-Datencenter down ist, quasi gegen null geht. Es ist viel wahrscheinlicher, dass meine Festplatte defekt wird." Aber sind die Daten deshalb auch sicher?
Monokultur als lohnendes Ziel
Das Beratungsunternehmen Pew Research geht in einer aktuellen Trendstudie jedoch davon aus, dass immer häufiger Nutzer künftig über kleine mobile Geräte mit großen Datensets und -anwendungen in der Cloud hantieren werden. Der aktuelle Cisco-Sicherheitsbericht empfiehlt jedoch Unternehmen und Organisationen dringend, die Sicherheitsmaßnahmen bei Anbietern für Cloud-Computing zu klären. Denn gerade weil viele Unternehmen sich nun bei einem Anbieter tummeln, bietet dieser für Angreifer ein umso attraktiveres Ziel.
Große Cloud-Anbieter wie Amazon, Google und Microsoft können ihre Kunden nur überzeugen, wenn sie nicht nur eine nahezu hundertprozentige Verfügbarkeit garantieren können, sondern auch Vertraulichkeit und Integrität der Daten. Marit Köhntopp, stellvertretende Landesdatenschützerin in Schleswig-Holstein, schrieb jüngst in einem Kommentar der Datenschutzzeitschrift DANA: "Selbst wenn man unterstellt, dass die Betreiber selbst keinen Blick in die verarbeiteten Daten werfen, ist ein Schutz vor unerwarteten Zugriffen nicht gewährleistet - beispielsweise wenn nationale Geheimdienste aus Gründen der vielfach als Argument angeführten 'inneren Sicherheit' die Daten analysieren oder sogar explizit Industriespionage-Aufgaben ausüben."
Kein Erfolg ohne Datenschutz
Köhntopp sieht im Datenschutz daher einen "Cloud-Enabler, nicht Verhinderer". Ähnlich scheint das auch die amerikanische Handelsbehörde Federal Trade Commission (FTC) zu bewerten. Sie untersucht im Moment Sicherheits- und Datenschutzprobleme des Cloud-Computing, um Auswirkungen auf den Verbraucherschutz festzustellen. Betroffen sind nicht nur Anbieter reiner Rechenleistung, sondern auch Anbieter von Web-Diensten wie den Online-Office-Anbieter Zoho. Unter anderem wird die FTC dabei zwischen den Rechten von Verbrauchern sowie den Rechten und Pflichten von Unternehmen unterscheiden.
Die allermeisten Cloud-Computing-Anbieter kommen aus den USA. Interessant ist daher die vor wenigen Tagen von Microsoft angeschobene Gesetzesinitiative zum Schutz von Verbrauchern in der Cloud. Microsoft-Anwalt Brad Smith sagte zu diesem Anlass: "Wessen Gesetze gelten denn, wenn Sie in einem Land leben, aber Ihre Daten in einem anderen Land gespeichert werden?" Microsoft fordert daher ein internationales Abkommen, um starke Datenschutzregeln durchsetzen zu können. Auf diese Weise soll der grenzüberschreitende Datenaustausch für Unternehmen rechtssicher werden.
Wirtschaftsspionage "riesiges Problem"
Derzeit sei nämlich die Lage so unklar, meint Microsoft, dass mögliche Fallen und Gefahren den globalen Handel beeinträchtigten. US-Provider müssten sich bereits in Brasilien, Belgien und anderen Ländern vor Gericht für Datenverluste rechtfertigen. Das bestätigt auch der schleswig-holsteinische Landesdatenschützer Thilo Weichert gegenüber ORF.at: "Die Lage ist völlig unübersichtlich und intransparent gegenüber dem Nutzer. Und es gibt bislang keinen brauchbaren Regulierungsansatz." Wirtschaftsspionage sei dabei ein "riesiges Problem".
Die Europäische Datenschutzrichtlinie verbietet das Speichern personenbezogener Daten in Ländern, die keinen adäquaten Datenschutz garantieren können. US-Unternehmen müssen dem Safe-Harbor-Abkommen beitreten, wollen sie Daten von Europäern verarbeiten. Es soll einen "angemessenen Schutz" garantieren – doch seit zehn Jahren gibt es trotz zahlreicher Verstöße erst einen Fall, der tatsächlich vor einem US-Gericht gelandet ist. Der Microsoft-Vorschlag sieht bezeichnenderweise denn auch gar keine Sanktionen vor.
Marit Köhntopp ist sich jedenfalls sicher: "Das Prinzip der 'freien Cloud' wird nur dann den jetzigen Kinderschuhen mit 'Spielapplikationen' entwachsen, wenn 'trusted und trustworthy Clouds' - also mit integrierten Datenschutz- und Datensicherheitsgarantien, wie die Kunden es brauchen - auf dem Markt verfügbar sind."
(Christiane Schulzki-Haddouti)