Sicherheit Made in Germany

Cloud Services und der gute Ruf deutscher Firmen

| Autor / Redakteur: Dirk Srocke / Florian Karlstetter

Spätestens seitdem bekannt geworden ist, dass US-Behörden weltweit Zugriff auf die Daten US-amerikanischer Anbieter haben, werden deutsche Anbieter verstärkt nachgefragt.
Spätestens seitdem bekannt geworden ist, dass US-Behörden weltweit Zugriff auf die Daten US-amerikanischer Anbieter haben, werden deutsche Anbieter verstärkt nachgefragt. (© bluedesign - Fotolia.com)

Cirrus, Stratus, Cumulus – genau wie die Wolken am Himmel unterscheiden sich auch die irdischen Clouds mitunter stark voneinander. Während Himmelsgucker vordergründig Form und Struktur im Sinn haben, müssen IT-Verantwortliche Unternehmensprozesse möglichst zuverlässig abbilden.

Das Label „Made in Germany“ steht dabei einerseits für Vorteile physikalischer Natur. Wer geschäftskritische Services aus einem Rechenzentrum bucht, ist auf möglichst kurze Verbindungen und Latenzzeiten angewiesen. Und die bieten nun einmal gerade Rechenzentren in lokaler Nähe. Andererseits genießen hiesige Anbieter einen exzellenten Ruf in Sachen Datensicherheit und Datenschutz.

Im Kontext sicherer VPN-Server rät beispielsweise der auf IT-Recht spezialisierte Rechtsanwalt Niklas Plutte: „Ich würde Anbieter mit Serverstandort in Deutschland oder zumindest Europa empfehlen. Lässt man den Geheimdienstskandal wegen seiner weltweiten Auswirkungen einmal außen vor, sind die rechtlichen Anforderungen an Datenschutz und IT-Sicherheit in Europa und speziell Deutschland wohl weiter führend im Vergleich zum Nicht-EU-Ausland, und zwar ausdrücklich auch im Vergleich zu den USA.“

Unsicherer Hafen

Das Vertrauen in ausländische Anbieter bröckelte dabei bereits schon lange vor dem von Edward Snowden ins Rollen gebrachten NSA-Skandal. Daran konnte „Safe Harbor“ wenig ändern. Das zwischen 1998 und 2000 entwickelte Verfahren sollte es europäischen Unternehmen ermöglichen, personenbezogene Daten in die USA zu übermitteln, obwohl dort kein vergleichbares Datenschutzniveau garantiert werden konnte. Der Kunstgriff: US-Unternehmen müssen die „Safe Harbor Principles“ anerkennen und sich selbst nach allgemeinen Datenschutzkriterien zertifiziert haben. Im Gegenzug erkennt die EU-Kommission pauschal die Angemessenheit des Datenschutzes an.

Schon 2010 prangerte das Unabhängige Landeszentrum für Datenschutz Schleswig-Holstein (ULD) jedoch Schwächen dieses Ansatzes an. So habe der australische Datenschutzforscher Chris Connolly festgestellt: Von 2.170 angeblich gemäß Safe Harbor privilegierten US-Unternehmen waren 388 beim Handelsministerium überhaupt nicht registriert; von den dort aufgeführten Unternehmen seien 181 Zertifikate schon wegen Zeitablauf nicht mehr gültig gewesen. Der Kommentar des damaligen ULD-Leiters Thilo Weichert: „Aus Datenschutzsicht könnte es nur eine Konsequenz aus den bisherigen Erfahrungen geben – Safe Harbor sofort zu kündigen.“

US-Behörden wollen weltweiten Zugriff

Kritiker befürchten zudem die Gefahren eines US Patriot Act. Diesem zufolge erhalten US-Sicherheitsbehörden unter Umständen Zugriff auf in US-Rechenzentren gespeicherte Daten, ohne dass der Eigentümer etwas davon erfährt. Und es könnte noch schlimmer kommen, wenn ein rechtsgültiges Urteil von U.S. District Judge Loretta Preska Bestand hat. Preska verkündete Ende Juli 2014 in New York: US-Behörden müssten Daten unabhängig davon preisgeben, wo diese gespeichert seien.

Ergänzendes zum Thema
 
eBook zum Thema "Cloud Services – Made in Germany"

Dr. Thomas Lapp, Rechtsanwalt und Vorsitzender der Nationalen Initiative für Informations- und Internet-Sicherheit e.V. (NIFIS), sieht durch das Gerichtsurteil eine neue Qualität in Sachen Datenausspähung erreicht und fürchtet einen Präzedenzfall: „Die Herausgabe von Kundendaten wird nunmehr auch von richterlicher Seite aus unterstützt.“

Insbesondere US-Anbieter dürften mit solch einem Präzedenzfall nur noch sehr bedingt als Geschäftspartner für deutsche Unternehmen taugen – trotz eigener Anstrengungen, europäischen Standards zu genügen. So hatte Google etwa 2012 angekündigt, die im Rahmen der Data Protection Directive (95/46/EG) definierten Formulierungen zu übernehmen und allen Kunden von Google Apps anzubieten. Ähnliches hatte sich Microsoft 2014 für das eigene „Enterprise Enrollment Addendum Microsoft Online Services Data Processing Agreement“ für Cloud-Angebote von der Artikel-29-Datenschutzgruppe bestätigen lassen.

Über den Autor

Dirk Srocke

Kommentare werden geladen....

Kommentar zu diesem Artikel abgeben

Anonym mitdiskutieren oder einloggen Anmelden

Avatar
  1. Avatar
    Avatar
    Bearbeitet von am
    Bearbeitet von am
    1. Avatar
      Avatar
      Bearbeitet von am
      Bearbeitet von am

Kommentare werden geladen....

Kommentar melden

Melden Sie diesen Kommentar, wenn dieser nicht den Richtlinien entspricht.

Kommentar Freigeben

Der untenstehende Text wird an den Kommentator gesendet, falls dieser eine Email-hinterlegt hat.

Freigabe entfernen

Der untenstehende Text wird an den Kommentator gesendet, falls dieser eine Email-hinterlegt hat.

Dieser Beitrag ist urheberrechtlich geschützt. Sie wollen ihn für Ihre Zwecke verwenden? Infos finden Sie unter www.mycontentfactory.de (ID: 43114515 / Allgemein)