Regionale Clouds sollen Datenschutz sicherstellen

Gegen die Bedenken

von - 09.03.2018
Beispiel Amazon Web Services: Der Cloud-Service bietet in Europa vier komplett eigenständige Regionen an. Diese sind noch einmal in so genannte Availability Zone aufgeteilt, die wiederum miteinander verknüpft sind.
Die großen Public-Cloud-Anbieter wie Amazon, Google oder Microsoft reagieren auf die anhaltenden Sicherheitsbedenken deutscher Unternehmen und halten vermehrt Angebote bereit, bei denen die Kundendaten ausschließlich auf Servern in Deutschland oder Europa gehostet werden. Der Marktführer Amazon ist zum Beispiel bereits seit Ende 2014 mit seinem Cloud-Angebot Amazon Web Services (AWS) in Deutschland mit einer sogenannten Region vertreten. Google hat für seine Geschäftskunden seit September letzten Jahres Angebote mit Datenspeicherung in Deutschland im Portfolio. Ebenfalls ein deutsches Rechenzen­trum betreiben beispielsweise Salesforce für seine SaaS-Lösungen und VMware für die Hybrid-Cloud-Lösungen.
Wie relevant das Thema Datenspeicherung in Deutschland ist, zeigt sich auch daran, dass zur Eröffnung von Googles in Deutschland gehosteten Cloud-Angeboten sogar Bayerns Wirtschaftsmi­nisterin Ilse Aigner anwesend war. Sie sieht laut „Focus Online“ die Digitalisierung nicht nur „als größten Innovationstreiber der Menschheitsgeschichte“, ihrer Ansicht nach steht mit der deutschen Google-Region auch ein „weiterer Baustein für die Digitalisierung der Wirtschaft bereit“.
Für nicht ganz so einfach hält das Ganze Daniel Wolf, Regional Director DACH bei Skyhigh Networks, einem Anbieter von Software für die Cloud-Sicherheit: „Bei der DSGVO geht es um viel mehr als nur darum, wo Daten gehostet werden.“ Datenpannen hätten verschiedene Ursachen – beispielsweise schlecht konfigurierte Systeme oder verbrecherische Angestellte. „Keine dieser Pannen kann dadurch behoben werden, dass Daten nur in der EU gehostet werden“, konstatiert er.
Eine ähnliche Meinung vertritt Khaled Chaar, Managing Director Business Strategy bei dem Cloud-Dienstleister Cancom Pironet. Vielmehr sei in jedem Unternehmen das Management dafür verantwortlich, eine sachgerechte, individuelle Lösung für den Datenschutz zu finden – „die DSGVO-Problematik kann nicht von einzelnen Cloud-Diensten gelöst werden.“

Vertrauen ist gut …

Wenn ein Unternehmen nun etwa bei Amazon seine Daten in der Region Frankfurt ablegt, dann sollen die Unternehmensdaten die Region auch nicht verlassen – es sei denn, der Kunde wünscht dies: „Wir verschieben niemals Kundeninhalte weg von den gewählten Regionen des Kunden oder replizieren diese dort, ohne den Benutzer vorher um Erlaubnis gebeten zu haben“, wie Amazon auf seinen Webseiten versichert.
Das klingt zwar erst einmal vielversprechend, doch als Kunde muss ich meinem Public-Cloud-Anbieter vertrauen, dass er meine Daten auch wirklich dort ablegt, wo ich es haben will. „Zwar haben Unternehmen die Möglichkeit, den Server-Standort auszuwählen, aber eine grundsätzliche Garantie für die exakte Umsetzung dieser Wünsche durch jeden gewählten Cloud-Provider gibt es nicht“, so Uwe Pferr von Operational Services.

… Kontrolle ist besser

Wie kann man als Unternehmen also überprüfen, ob seine Daten auch wirklich in der richtigen Region liegen? Genau genommen gar nicht. Man könnte zwar zum Beispiel die Paketlaufzeiten zu bekannten Zieladressen in der Cloud messen und darüber auf die zurückgelegte Distanz schließen – nach Aussage von Uwe Pferr ist dieses Verfahren jedoch „nur bedingt aussagekräftig und belastbar“.
Ein weiteres Problem: Bei Amazon und Google etwa handelt es sich trotz europäischer Regionen nach wie vor um US-amerikanische Unternehmen. Als Kunde muss man daher damit rechnen, dass US-Behörden den Zugriff auf in Europa abgelegte Daten fordern. Dies behält sich zum Beispiel Amazon auch vor. Zwar versichert das Unternehmen, keine Kundeninhalte offenzulegen, schränkt aber ein, „außer wir müssen dies zur Einhaltung des Gesetzes oder einer gültigen und verpflichtenden Anweisung einer Regierungs- oder Regulierungsbehörde tun.“
Dass in Europa gehostete Daten vor den US-Behörden nicht zwingend sicher sind, zeigen gerichtliche Auseinandersetzungen. „Es laufen aktuell Gerichtsverfahren wie Microsoft gegen den Staat New York, wo US-Behörden in Europa gehostete Daten einfordern“, so Daniel Wolf von Skyhigh Networks. Die Anbieter von Cloud-Services zögerten zwar erfreulicherweise, Informationen an US-Behörden weiterzugeben, dennoch sollte man die Problematik im Auge behalten.
Unternehmen, die ihre Daten US-amerikanischen Cloud-Anbietern anvertrauen, sollten daher Vorkehrungen zu deren Schutz treffen. Laut Uwe Pferr sollte man sich bei seiner Cloud-Strategie beispielsweise mit dem Thema digitale Si­gnatur und Verschlüsselung vertraut machen. „Allerdings lässt sich nur schwer einschätzen, welche Möglichkeiten die US-Behörden tatsächlich haben, um auch verschlüsselte Daten zu erreichen. Aber die Gefahr von Datenlecks besteht grundsätzlich, auch unabhängig vom Speicherort.“ Generell gehöre zu der Zusammenarbeit mit einem Cloud-Provider doch immer Vertrauen, unabhängig davon, ob es Amazon, Google oder sonst ein Anbieter ist – „ohne können Unternehmen ihre Daten nicht mit gutem Gewissen in die Cloud verlagern“, resümiert Pferr.
Verwandte Themen