E-Evidence versus Confidential Computing Warum ganze Berufsgruppen von der Cloud-Nutzung ausgeschlossen sein könnten

Autor: Elke Witmer-Goßner

Mit E-Evidence schickt sich ein neues, internationales Regelwerk an, Daten über Landesgrenzen hinweg für Behörden verfügbar zu machen. Doch auch ohne das neue EU-Gesetz bewegen sich bestimmte Berufsgruppen am Rande der Legalität, wenn sie Cloud-Dienste nutzen.

Firmen zum Thema

Ärzte oder Anwälte, die sensible Daten an Cloud-Services übertragen, könnten wegen der Weitergabe geschützter Informationen bestraft werden.
Ärzte oder Anwälte, die sensible Daten an Cloud-Services übertragen, könnten wegen der Weitergabe geschützter Informationen bestraft werden.
(Bild: gemeinfrei© Tayeb Mezahdia / Pixabay )

Die als E-Evidence-Verordnung oder auch deutsch „Europäische Herausgabeanordnung“ bezeichneten Vorschriften sollen die länderübergreifende Datenfreigabe neu regeln, damit Polizei- und Justizbehörden schneller und einfacher an elektronische Beweise wie E-Mails oder Dokumente, die sich in der Cloud befinden, gelangen können. Dies alles ausschließlich zur Bekämpfung von Kriminalität und Terrorismus, betont die EU-Kommission.

Fordert also beispielsweise die Justizbehörde in Griechenland die Nutzerdaten eines deutschen Kunden an, so soll es zukünftig möglich sein, den deutschen Cloud-Anbieter zur Herausgabe dieser Daten zwingen zu können. Davon betroffen sind alle Informationen, die dem Cloud-Dienstleister über seinen Kunden zur Verfügung stehen: Angefangen von den gespeicherten Inhalten bis hin zu den Metadaten bezüglich des Zeitpunkts der Datenübertragung, IP-Adresse des Absenders sowie den Empfänger der Datenpakete.

Cloud-Anbieter können auf Kundendaten zugreifen

Nicht nur die deutschen Datenschutzbeauftragten des Bundes und der Länder sehen mit E-Evidence die Grundrechte der Nutzer und der Provider ausgehebelt. Auch Security-Spezialist Uniscon hat Bedenken: Der Entwurf möge zwar für eine effektive internationale Strafverfolgung hilfreich sein – doch die Forderung werfe grundsätzliche Fragen zur Datensicherheit von Cloud-Diensten auf.

Denn technisch sei der Zugriff auf Nutzerdaten – Inhaltsdaten sowie Metadaten – durch den Anbieter prinzipiell möglich. Viele Anbieter von Cloud-Diensten könnten, wenn sie wollten, auf die in der Cloud gespeicherten Daten ihrer Kunden zugreifen, so Uniscon. Das würde aber bedeuten, dass dieser Zugriff schon jetzt grundsätzlich auch ohne behördliche Anordnung erfolgen könne. Eine unangenehme Vorstellung für Unternehmen, die mit sensiblen Daten umgehen müssen. Denn wenn schon der Cloud-Betreiber jederzeit auf die Daten seiner Kunden zugreifen kann, wer dann noch alles?

Alleine die Möglichkeit zur Kenntnisnahme stellt für manche Berufsgruppen (Träger von Berufsgeheimnissen nach §203 StGB, wie z.B. Anwälte und Ärzte) sogar eine Offenbarung von Geheimnissen im Sinne des Strafgesetzbuches dar. Und mit E-Evidence werde es noch viel schlimmer: „So schließt man mit der Forderung nach der Möglichkeit des behördlichen Zugriffs gewisse Berufsgruppen von vornherein von der Nutzung von Cloud-Diensten aus und setzt sie den wirtschaftlichen Nachteilen aus, die sich daraus ergeben“, argumentiert Ulrich Ganz, Director Software Engineering bei der Münchner TÜV SÜD-Tochter Uniscon.

Confidential Computing: Technologie vs Anordnung

Unternehmen, die Zugriffe durch Dritte – auch durch den Dienstbetreiber – zuverlässig verhindern wollen, sollten bereits jetzt Dienste verwenden, die das Prinzip des Confidential Computing umsetzen, rät Uniscon. Dabei werden sensible Daten nicht nur bei der Speicherung und Übertragung verschlüsselt, sondern bleiben auch während der Verarbeitung geschützt. Ziel des Confidential Computing sei es, neben einer allgemeinen Verbesserung der Datensicherheit, die Vorteile des Cloud Computing auch denjenigen Branchen zugänglich zu machen, die schützenswerte Daten verarbeiten.

Es ist wichtig, dass gesetzgeberische Maßnahmen nicht mehr Schaden anrichten, als sie Nutzen generieren. Eine grenzübergreifende Auslieferung von Daten ist daher mit großer Skepsis zu betrachten und sollte auf keinen Fall überstürzt verabschiedet werden, kommentiert der Secure-Cloud-Provider.

Ergänzendes zum Thema
Technologie verhindert Datenzugriff

Uniscon realisiert den Confidential-Computing-Ansatz bei seiner hochsicheren Business-Cloud idgard durch die Sealed-Cloud-Technologie. Hier schließen eine gründliche Datenverschlüsselung und ein Satz ineinander verzahnter technischer Maßnahmen in speziell abgeschirmten Server-Käfigen jeglichen unbefugten Zugriff aus. Nur der Kunde ist im Besitz des dazugehörigen Schlüssels.

Eine Anfrage von Dritten nach Zugriff auf diese Daten ist somit zwecklos, da auch der Betreiber keinen Zugang dazu hat. Diese Technologie erlaubt somit Berufsgruppen die Nutzung von Cloud-Diensten, die sonst davon ausgenommen wären, etwa Ärzte und Kliniken, aber auch Steuerberater, Wirtschaftsprüfer und viele mehr.

(ID:47044957)

Über den Autor

 Elke Witmer-Goßner

Elke Witmer-Goßner

Redakteurin, CloudComputing-Insider.de