Public Cloud, Safe Harbor und Datenschutz
Anwender wollen gar keine "deutsche Cloud"
- Geht es um die Herausgabe von Datenbeständen von Kunden, die im Cloud-Rechenzentrum eines Service-Providers lagern, verfolgen inländische wie ausländische Anbieter dieselbe Linie: Sie informieren ihre Kunden über entsprechende Anfragen von Behörden.
- Die Forderungen nach einer rein "deutschen Cloud" kommen nicht etwa von den Anwendern, sondern sind das Gedankengebilde kreativer Marketingmanager. Einzig innerhalb der EU sollten die Daten nach dem Willen der Anwender dann schon gespeichert sein.
- Weil Safe Harbor nun gekippt wurde, sollten Unternehmen zumindest vorerst bis zur endgültigen Rechtssicherheit pragmatisch vorgehen: Vertraglich den bestmöglichen Schutz regeln, zusätzlich die Daten selbst vor dem Weg in die Cloud verschlüsseln.
Zwei Jahre ist es her, dass Edward Snowden im Sommer 2013 das Sammeln und Auswerten aller Arten von Daten durch amerikanische und britische Geheimdienste publik machte. Heute sind die Nutzer und Anbieter von Cloud-Computing-Diensten darum bemüht, eine pragmatische Sicht auf das Thema Cloud zu gewinnen. Das spiegelt sich in Marktdaten wider.
So nutzen nach Angaben der deutschen Markforschungsgesellschaft Crisp Research bereits 75 Prozent der Unternehmen in Deutschland Cloud-Services. An die 57 Prozent davon setzen auf eine Hybrid Cloud, also eine Mischung aus einer Private Cloud, die über das eigene RechenzentrumRechenzentrum bereitgestellt wird, und die Nutzung von Public-Cloud-Diensten. Solche öffentlichen Cloud-Services stellen beispielsweise Microsoft über seine Azure-Plattform, Amazon Web Services (AWS), Google, aber auch IBM und Salesforce.com bereit. Hinzu kommt eine große Zahl von Anbieter aus dem deutschen Raum, von T-Systems über Host Europe, 1&1, QSC und Strato bis hin zu Cancom Pironet NDH. Alles zu Rechenzentrum auf CIO.de
"Unternehmen, aber auch öffentliche Einrichten haben erkannt, dass ihnen Public Cloud Services wirtschaftliche Vorteile bringen und sie in die Lage versetzen, sich auf ihr Kerngeschäft zu konzentrieren", sagt Constantin Gonzalez, Solutions Architect bei Amazon Web Services (AWS), dem derzeit mit Abstand größten weltweiten Anbieter von Cloud-Diensten. "Nach einer Phase der Skepsis gegenüber Cloud-Services setzen deutsche Unternehmen nun verstärkt solche Dienste ein." Gonzalez verweist dabei auf Kunden von AWS wie Zalando und den Automobilhersteller Audi.
Finger weg von Kundendaten
Nach wie vor ein kritischer Faktor im Bereich Cloud ComputingCloud Computing ist der Schutz der Daten der Nutzer. Geht es um die Herausgabe von Datenbeständen von Kunden, die im Cloud-Rechenzentrum eines Service-Providers lagern, verfolgen inländische wie ausländische Anbieter dieselbe Linie: Entsprechende Anfragen von Behörden werden dem Kunden zur Kenntnis gebracht. Ein automatischer Transfer von Informationen zu Geheimdiensten oder Ermittlungsbehörden findet nach Angaben der Unternehmen nicht statt, schon gar nicht ohne gültigen Beschluss des Landes, in dem die Daten gespeichert sind. Alles zu Cloud Computing auf CIO.de
- Aktuelle Entwicklungen zu Cloud-Security und -Datenschutz
Ob Unternehmensdaten in der Cloud "sicher" sind, hängt davon ab, welchen Datenschutzregeln der jeweilige Anbieter verpflichtet ist. Häufig geht hier es um Europa vs. USA. Die aktuellen Entwicklungen um "Safe Harbor" haben die Debatte neu befeuert. Eine klare Antwort ist immer noch in weiter Ferne. - Marktanteile
Auf die "Großen Vier" Amazon Web Services, Microsoft, IBM / Softlayer und Google entfielen im zweiten Quartal 2015 rund 54 Prozent des weltweiten Umsatzes mit Cloud-Services. Nordamerika ist mit etwa der Hälfte der Umsätze der größte regionale Markt, vor Europa und Asien/Pazifischer Raum. - Standorte
Für deutsche Unternehmen ist laut einer Studie von Bitkom Research und KPMG wichtig, dass ein Cloud Service Provider im deutschen oder EU-Rechtsraum angesiedelt ist oder dort Rechenzentren unterhält. - Erfahrungen der Nutzer
Anwender in Deutschland haben bessere Erfahrungen mit Private Clouds gemacht als mit IT-Diensten, die sie über Public Clouds beziehen. - Transformation als Treiber
Cloud Computing hat bei vielen deutschen Unternehmen einen hohen Stellenwert, wenn es um die strategische Ausrichtung der IT-Umgebung geht. Daran ändern auch Debatten um den Datenschutz nichts. - Public Cloud Provider
Alle führenden amerikanischen Anbieter von Public Cloud Services haben mittlerweile Rechenzentren in EU-Mitgliedsstaaten oder Deutschland aufgebaut. Damit tragen sie dem Wunsch von Unternehmen Rechnung, die Daten nicht in Datacentern lagern wollen, die in anderen Rechtsräumen angesiedelt sind. - Google
Google hat sich mit einer gewissen Verspätung als Cloud-Service-Provider positioniert. Mittlerweile bietet das Unternehmen nach dem Baukastenprinzip eine Palette von Cloud-Services an. - Verschlüsselungslösungen
Für die Verschlüsselung und Schlüsselverwaltung setzen Microsoft und andere Cloud-Service-Provider besonders sichere HSMs (Hardware Security Modules) ein. Microsoft nutzt bei Azure HSM-Systeme von Thales. Andere Anbieter von HSM, die in Cloud-Umgebungen zum Zuge kommen, sind Utimaco und Gemalto (SafeNet). - Microsoft-Prozess
Microsoft gegen die Vereinigten Staaten von Amerika: In dem Berufungsverfahren will Microsoft die Herausgabe von E-Mail-Daten an ein US-Gericht verhindern, die auf Servern im Cloud-Datacenter in Irland gespeichert sind. - SAP-Sicherheitsarchitektur
Die Grundlage für Cloud-Services, die den Anforderungen von Compliance- und Datenschutzregeln genügen, sind umfassende Sicherheitsmaßnahmen in Cloud-Datacentern. Eine Schlüsselrolle spielen dabei Verschlüsselungs- und Authentifizierungsmaßnahmen. - Constantin Gonzalez, AWS
Constantin Gonzalez, Solutions Architect bei Amazon Web Services: "Amazon Web Services bietet Anwender eine Art ferngesteuerte Hardware. Für die Kontroller der Daten ist der Nutzer selbst verantwortlich." - Speicherorte
Laut einer Analyse von Skyhigh Networks entsprechen zwei Drittel der Cloud-Services, die in Europa zur Verfügung stehen und von Firmen in dieser Region genutzt werden, nicht den EU-Datenschutzregelungen. - Khaled Chaar, Pironet NDH
Khaled Chaar, Managing Director Business Strategy bei der Cancom-Tochter Pironet NDH: "Bei der Debatte um die Sicherheit von Daten in der Cloud sollte ein weiterer Aspekt berücksichtigt werden: Cloud-Rechenzentren verfügen in der Regel über deutlich bessere Sicherheitsvorkehrungen als Data Center von Unternehmen. Denn für die meisten Firmen gehört der Aufbau sicherer Rechenzentrums-Strukturen nicht zum Kerngeschäft und ist schlichtweg zu aufwändig, insbesondere aufgrund der stetig wachsenden Sicherheitsanforderungen." - Hartmut Thomsen, SAP
Hartmut Thomsen, Managing Director der SAP Deutschland SE & Co. KG: "SAP befolgt die rechtlichen Rahmenbedingungen in den Ländern, in denen das Unternehmen geschäftlich tätig ist. Ebenso wichtig sind für uns die Wünsche unserer Kunden. Für diese besteht deshalb – abhängig vom jeweiligen Cloud-Produkt – die Möglichkeit, sich für Cloud-Dienstleistungen zu entscheiden, die SAP innerhalb der EU bereitstellt." - René Büst, Crisp Research
René Buest, Senior Analyst und Cloud Practice Lead bei dem Marktforschungs- und Beratungsunternehmen Crisp Research: "Für international tätige Unternehmen ist es schlichtweg unverzichtbar, einen Cloud-Service-Provider mit einer Präsenz in vielen Regionen der Welt auszuwählen." - Geteilte Verantwortung in der Public Cloud
In der Public Cloud gehorchen die Services verschiedenen Herren: Management und Sicherheit von Infrastruktur wie Storage, Netzwerk, Datenbank und Rechenpower auf der einen Seite, Verwantwortung für VMs, Anwendungen und Daten auf der anderen Seite. - Rechtslage in Deutschland
Gerade die Angst vor Angriffen und Datenverlusten schreckt viele Anwender nach wie vor vor der Cloud ab. - Compliance-Sorgen
Auch die Sorge, Compliance-Bestimmungen in der Cloud nicht einhalten zu können, treibt viele Anwender um. - CASB - das Geschäft mit dem Cloud-Zugang
Durch sogenannte CASB (Cloud Access Security Broker) soll der gesicherte Zugang zu Cloud-Diensten sichergestellt werden. Hier entwickelt sich zunehmend ein eigener Markt.
"Sollte eine solche Anfrage bei uns eingehen, prüfen wir diese und informieren anschließend den Kunden", sagt Constantin Gonzalez. Allerdings räumt er ein, dass sich AWS gegen berechtigte Anfragen von Behörden nicht sperren könne. "Solche Anfragen treten jedoch höchst selten auf", so Gonzalez.
Eine vergleichbare Position nimmt der deutsche Software-Anbieter SAP ein. Das Unternehmen hat den Zug der Zeit erkannt und setzt verstärkt auf die Cloud, um seine Lösungen zu vermarkten. "SAP befolgt die rechtlichen Rahmenbedingungen in den Ländern, in denen das Unternehmen geschäftlich tätig ist. Ebenso wichtig sind für uns die Wünsche unserer Kunden. Für diese besteht deshalb - abhängig vom jeweiligen Cloud-Produkt - die Möglichkeit, sich für Cloud-Dienstleistungen zu entscheiden, die SAP innerhalb der EU betreibt", erläutert Hartmut Thomsen, Managing Director der SAP Deutschland. Darüber hinaus bietet SAP laut Thomsen sowohl im Cloud-Bereich als auch bei Supportleistungen für gekaufte Software ein Modell an, bei dem Zugriffe auf das Kundensystem, in dem personenbezogene Daten gespeichert sind, von SAP grundsätzlich nur aus den Mitgliedstaaten der Europäischen Union, des Europäischen Wirtschaftsraumes und der Schweiz erfolgen.
Microsoft als Vorkämpfer
Dennoch ist die Debatte um den DatenschutzDatenschutz in der Cloud in vollem Gange. Microsoft, Google, Amazon und andere Cloud-Service-Provider in den USA wehren sich derzeit gegen den Anspruch amerikanischer Gerichte und Behörden, auf Datenbestände zugreifen zu können, die in Rechenzentren von Cloud-Anbietern mit Hauptsitz in den Vereinigten Staaten lagern. Dieses Zugriffsrecht soll unabhängig davon gelten, in welchem Land und Rechtsraum sich ein solches Data Center befindet - in den USA, Deutschland, Irland oder den Niederlanden. Alles zu Datenschutz auf CIO.de
Mit Spannung erwarten Nutzer von Public-Cloud-Services, Rechtsexperten und die gesamte Anbieterszene von Cloud-Diensten daher den Ausgang eines Verfahrens, das derzeit Microsoft in den USA führt. Es geht um den Durchsuchungsbeschluss eines Bezirksgerichts in New York. Dieses hatte Ende 2013 von Microsoft die Herausgabe von E-Mails eines Kunden von Microsoft verlangt, die dieser in Microsofts Cloud-Data Center in Irland gespeichert hatte. Als sich Microsoft weigerte, wurde das Unternehmen zur Herausgabe der E-Mails des Beschuldigten verurteilt. Microsoft legte gegen die Entscheidung des Gerichts Berufung ein. Das Verfahren läuft gegenwärtig noch.
Es ist nicht verwunderlich, dass rund 30 IT-Firmen aus den USA Microsoft unterstützen, darunter Branchengrößen wie Amazon, Apple, Cisco, HP und Verizon. Denn ein Urteil, dass die Reichweite der amerikanischen Justiz auf Cloud-Rechenzentren von AWS, Microsoft und Co. in Europa ausdehnen würde, wäre schlecht für das Geschäft in dieser Region.