Deutsches Recht macht Cloud noch nicht sicher

Reicht schon der Hinweis auf den Datenschutz, um sich im globalen Cloud-Wettbewerb abzuheben? Thilo Weichert, Leiter des Unabhängigen Landeszentrums für Datenschutz in Schleswig-Holstein, bekannt als unnachgiebiger Verteidiger des Datenschutzes, schränkt ein: "Allein die Anwendbarkeit deutschen Rechts macht noch keine sichere Cloud.

Insofern ist das Marketing-Argument "Deutsche Cloud` für sich wenig wert. Es besagt nur, dass hinsichtlich staatlicher Zugriffe gesetzliche Regeln gelten, die das Grundrecht auf Datenschutz berücksichtigen, und dass es grundsätzlich eine funktionierende Datenschutzaufsicht gibt. Tatsächlich kann aber eine deutsche Cloud viel unsicherer sein als irgendwo in Europa oder in der Welt." Zum Beispiel dann, wenn der Betreiber eines Rechenzentrums und einer Cloud in puncto IT-Sicherheit nicht die notwendigen Vorkehrungen trifft.

Auch Telekom-Vorstand Clemens stellt dies nicht in Abrede. Jeder Anbieter müsse erheblichen Aufwand betreiben, um seine Rechenzentren und die Kundendaten gegen alle möglichen Cyber-Attacken zu schützen. "Das hat nichts mit Datenschutz zu tun und ist unabhängig vom Niveau der länderspezifischen Gesetzgebung. Hier sind umfassende, zunehmend komplexe und nicht gerade preiswerte IT-Sicherheitsmaßnahmen notwendig." So lassen sich technisch basierte Sicherheitskonzepte wie Firewalls, Virenscanner oder Identity- und Access-Lösungen durch ein spezielles Security Information and Event Management-Team (SIEM-Team) ergänzen. Dieser interne IT-Wachschutz entwickelt auf Basis von Echtzeitforensik, künstlicher Intelligenz und Data Mining vorbeugende Maßnahmen gegen Angriffsversuche.

In den USA verursachen die europäischen Cloud-Anbieter mit der Betonung des hohen Datenschutzniveaus inzwischen heftige Gegenwehr. Schon ist die Rede von Cloud-Protektionismus. Das findet Weichert unverständlich, denn "die Datenschutzanforderungen in Europa dienen nicht der Abschottung der Märkte, sondern dem Grundrechtsschutz. Wenn die USA so grundrechtsignorant bleiben wie bisher, müssen sie sich nicht beschweren, wenn es für sie Marktnachteile gibt."

Zankapfel ist der Patriot Act, der für US-amerikanische Ermittlungsbehörden quasi ein Freibrief für den Zugriff auf Daten in Rechenzentren sein soll. Zum Beispiel hat das FBI das Recht, Einsicht in die finanziellen Daten von Bankkunden zu nehmen, ohne dass Beweise für eine Straftat vorliegen müssen. Die Ermittlungsbehörde muss auch keine Durchsuchungsfreigabe durch ein Gericht erwirken, sondern kann selbst einen National Security Letter (NSL) erlassen. Die Zahl dieser NSLs liegt inzwischen deutlich höher als die Zahl der offiziellen Durchsuchungserlaubnisse durch ein Gericht.