Die Risiken am Milliardenmarkt sind hoch: Die Geheimdienste der Vereinigten Staaten haben auch in Europa Zugriff auf die sensiblen Daten in den US-Clouds. Und Datenverlust in der Wolke ist keine Seltenheit.
Wien. Eigentlich wollte Microsoft-Manager Gordon Frazer nur die neueste Cloud-Lösung seines Konzerns, die Onlinebürosoftware Office 365, präsentieren. Doch statt Werbung für das neue Produkt zu machen, trat der Brite eine Debatte über Datensicherheit in der Cloud los. Zwar ist das Auslagern von Rechnerleistung, Daten oder Software an externe Serverfarmen kein neues Phänomen.
Doch nun räumte erstmals ein hochrangiger IT-Manager ein, dass auch Daten von europäischen Firmen in der Cloud nicht vor dem Zugriff der US-Behörden sicher sind. Sollte der Geheimdienst anklopfen, müsse der Konzern, so wie jeder US-Anbieter, alle Daten aus seiner Cloud weitergeben, sagte Frazer. Selbst dann, wenn sie in europäischen Rechenzentren lagerten. Ein gefundenes Fressen für alle, die schon seit Langem Zweifel an der Daten- und Rechtssicherheit im Milliardenmarkt hegen.
Hype hilft Google & Co.
Für Verbraucher ist die Cloud schon lange kein Neuland mehr. Viele Internetnutzer speichern ganz selbstverständlich Bilder in Facebook, schauen über das Internet fern, schieben ihre Plattensammlung in die iCloud und schreiben Emails über Gmx.
Zunehmend finden auch Unternehmen und Kommunen Gefallen am Gedanken, keine eigenen teuren Serverfarmen mehr finanzieren zu müssen. Laut dem aktuellen Cisco-Connected-World-Report planten Ende 2010 schon 52 Prozent aller Firmen weltweit Daten oder Rechnerleistung an Dritte auszulagern. Die Marktforscher von IDC schätzen, dass im Jahr 2014 rund 55,5 Mrd. US-Dollar (39,5 Mrd. Euro) Umsatz mit Cloud-Computing gemacht werden wird. 2009 waren es 16 Mrd. Dollar.
Für den nötigen Hype jene, die davon am meisten profitieren: Branchenriesen wie Apple, Google oder Amazon. Sie alle lasten ihre eigenen Serverfarmen nur zu einem guten Zehntel aus. Für die freistehende Rechnerleistung suchen sie Untermieter und machen so Cloud-Computing zum Milliardenmarkt. Viele rechtliche Probleme sind bis dato jedoch ungelöst.
Vor allem US-Anbieter stellen eine besonders große Gefahrenquelle dar. Als Legitimationsgrundlage für die Neugier der US-Behörden dient der sogenannte „US Patriot Act“, den die USA nur wenige Wochen nach den Terroranschlägen am elften September 2001 beschlossen hatten. Demnach haben die US-Geheimdienste auch ohne richterlichen Beschluss jederzeit Zugriff auf Kundendaten von US-Unternehmen. Die betroffenen Kunden in Europa werden auch im Nachhinein nicht informiert.
„Ich würde keinem europäischen Unternehmen raten, einen Cloud-Computing-Vertrag zu unterzeichnen, ohne europäisches Datenschutzrecht zu vereinbaren“, sagt Rechtsinformatikexperte Herbert Gassner zur „Presse“. Eine Alternative bietet die sogenannte EuroCloud. Hierbei verpflichten sich europäische und auch einige amerikanische Anbieter, alle Rechenzentren innerhalb der EU beziehungsweise des EWR-Raums zu betreiben. In der Praxis sollte der Datenexport jedoch auch vertraglich noch einmal explizit ausgeschlossen werden, rät der Experte.
Digitale Leiharbeit
Doch auch mit einem europäischen Cloud-Anbieter sind nicht alle Probleme beseitigt. Wer seine Daten in die Wolke auslagert, droht die Kontrolle über sie zu verlieren. Sei es durch Hackingattacken wie jüngst im Fall von Sony, oder durch Serverausfälle wie bei Amazon, das Ende April Unmengen an ausgelagerten Daten „verloren“ hat. Selbst wenn für diesen Fall Pönalen vereinbart wurden, bleibt oft Unsicherheit bestehen.
Denn für heimische Unternehmen gilt immer das österreichisches Datenschutzrecht, wenn es personenbezogene Daten auslagert. Wer haftet, wenn sie einem Hackerangriff beim Cloud-Anbieter zum Opfer fallen? „Cloud-Computing ist wie Leiharbeit“, sagt Gassner. Gut, um Spitzen abzudecken, aber nicht, um das ganze Unternehmen damit zu führen. Ist eine Firma zur Gänze „in der Cloud“, reicht schon eine defekte Internetverbindung, um den kompletten Betrieb lahmzulegen. Viele Fragen müssten zudem individuell vertraglich gelösst werden: Gibt es genügend Ersatzrechenzentren? Was passiert mit den Daten im Falle einer Pleite oder Übernahme des Cloud-Anbieters? Kann ein offener Standard vereinbart werden, damit auch ein Wechsel zur Konkurrenz ohne Datenverlust möglich ist?
Angesichts dieser Unsicherheiten rät Gassner, sensible Daten am besten gar nicht in die Wolke auszulagern. Auch andere sollten erst dann in fremden Serverfarmen landen, wenn sie im Haus verschlüsselt wurden und bestenfalls lokale Kopien gemacht wurden. „Auch wenn ein Unternehmen vieles an Dritte auslagern kann, seine Sorgfaltspflicht verliert es nicht.“