Datenschutz versus Datensicherheit

Spionage im Cloud-Zeitalter

09.04.2015
René Büst ist Technology Analyst & Advisor mit dem Fokus auf Cloud Computing und IT-Infrastrukturen. Er ist Mitglied des weltweiten Gigaom Research Analyst Network und gehört weltweit zu den Top 50 Bloggern in diesem Bereich. Seit Ende der 90er Jahre konzentriert er sich auf den strategischen Einsatz der Informationstechnologie in Unternehmen.
Es bestehen viele Unklarheiten und Mythen wenn es um das Thema Datenschutz, Datensicherheit und Spionage geht. Insbesondere im Zusammenhang mit der Cloud werden tragischerweise immer wieder Unwahrheiten verbreitet. Die Unsicherheit auf Seiten der Kunden wird von den Anbietern schamlos ausgenutzt, um mit Fehlinformationen ihr Marketing zu betreiben.

Nebelaktionen und Falschmeldungen

Titel wie "Oracle investiert wegen der Datensicherheit in Deutschland" sind nur ein Beispiel für Informationen die von den Medien entweder falsch verstanden oder fehlinterpretiert werden. Diejenigen die es besser wissen müssten - die Anbieter - helfen allerdings auch nicht dabei für Klarheit zu sorgen. Im Gegenteil, die Furcht und Sorge der Anwender wird gnadenlos ausgenutzt, um Geschäft zu machen. So begründet Oracle Deutschlandchef Jürgen Kunz die beiden neuen Rechenzentren in Deutschland damit: "In Deutschland ist Datensicherheit ein besonders sensibles Thema …". Die NSA-Karte lässt sich heutzutage leicht ausspielen, um zu zeigen, "... dass Oracle als US-Unternehmen dem deutschen Markt verbunden bleibt."

Allerdings hat der Standort zunächst einmal nichts mit der Datensicherheit und dem NSA-Skandal zu tun. Ob ein Geheimdienst nun auf die Daten in einem Rechenzentrum in Deutschland, den USA, der Schweiz, Australien und so weiter zugreift, hat herzlich wenig mit dem Land zu tun. Hält sich der Anbieter an seine eigenen globalen Regelungen für die Rechenzentrumssicherheit auf physikalischer als auch virtueller Ebene, sollte ein Rechenzentrum, unabhängig von seinem Standort, überall dieselbe Sicherheit gewährleisten. Werden Daten in Deutschland gespeichert wird damit keine höhere Sicherheit garantiert. Denn ein Rechenzentrum in den USA, Großbritannien oder Spanien ist genau so sicher wie eines in Deutschland.

Die Krux: geht es um das Thema Sicherheit, werden leider immer wieder zwei Begriffe vermischt, die grundsätzlich unterschieden werden müssen: Die Datensicherheit und der Datenschutz.

Was ist Datensicherheit

Datensicherheit bedeutet die technischen und organisatorischen Maßnahmen umzusetzen, um Vertraulichkeit, Verfügbarkeit und Integrität der IT-Systeme sicherzustellen.

Public Cloud-Anbieter bieten weit mehr Sicherheit, als es sich ein deutsches mittelständisches Unternehmen leisten kann. Das hängt damit zusammen, dass Cloud-Anbieter gezielt in den Aufbau und die Wartung ihrer Cloud Infrastrukturen investieren und ebenfalls das dafür notwendige Personal beschäftigen und die entsprechenden organisatorischen Strukturen geschaffen haben. Hierzu werden jährlich Milliarden von US-Dollar in die Hand genommen. Es gibt nur wenige Unternehmen außerhalb der IT-Branche, die in ähnlicher Weise in IT-Sicherheit investieren können und wollen.

Was ist Datenschutz

Beim Datenschutz geht es um den Schutz der Persönlichkeitsrechte während der Datenverarbeitung und den Schutz der Privatsphäre.

Dieses Thema sorgt bei den meisten Unternehmen für die echten Kopfschmerzen. Denn beim Verstoß gegen das Bundesdatenschutzgesetz macht der Gesetzgeber kurzen Prozess. Es geht zunächst also darum, den Cloud-Anbieter für die Einhaltung der im §9 festgehaltenen Regeln im Bundesdatenschutzgesetz in die Verantwortung zu nehmen und dies selbst auf Basis von §11 zu überprüfen. Für die Erfüllung von §11 empfiehlt es sich auf die Gutachten von Wirtschaftsprüfern zurückzugreifen, da kein Anbieter jeden Kunden einzeln ein Audit durchführen lassen kann.

Der Datenschutz ist ein absolut wichtiges Thema, schließlich handelt es sich dabei unsensibles Datenmaterial. Es ist aber in erster Linie ein rechtliches Thema, was durch Maßnahmen der Datensicherheit gewährleistet werden muss.

Die NSA ist ein Vorwand. Spionage ist allgegenwärtig

Spioniert wird überall. Ja, sogar in Deutschland. Dabei sollte nicht vergessen werden, dass jedes Unternehmen einen potenziellen Edward Snowden in den eigenen Reihen sitzen hat. Noch fühlt sich der Mitarbeiter wohl. Doch was passiert, wenn ein attraktiveres Angebot lockt oder die Stimmung im Team oder gar dem Unternehmen umschlägt? Innentäter sorgen heute für eine viel größere Bedrohung als externe Angreifer oder Geheimdienste. Der ehemalige Hacker Kevin Mitnick beschreibt in seinem Buch "Die Kunst der Täuschung", wie er mit dem Durchstöbern der Mülltonen seiner Opfer und Social Engineering an die Informationen gelangen konnte, um seine Angriffe erfolgreich umzusetzen. Dabei ging es meistens weniger um das Kapern von IT-Systemen, sondern eher um die Manipulation von Menschen und eine intensive Recherche.

Rene Büst: "Unterm Strich müssen Geheimdienste nicht in die Rechenzentren der Anbieter. Es reicht, wenn sie in den Verbindungsknoten stecken beziehungsweise auf den Leitungen sitzen."
Rene Büst: "Unterm Strich müssen Geheimdienste nicht in die Rechenzentren der Anbieter. Es reicht, wenn sie in den Verbindungsknoten stecken beziehungsweise auf den Leitungen sitzen."
Foto: Rene Büst

Dass ein Rechenzentrum in Deutschland vor der Spionage befreundeter Staaten schützt, ist und bleibt ein Märchen. Denn wo ein Wille ist, da ist auch ein Weg. Sprich, wenn ein Angreifer an Daten gelangen möchte, dann hängt sein Erfolg von zwei Dingen ab: Zum einen die kriminelle Energie, die er bereit ist zu investieren und zum anderen die finanziellen Mittel, die ihm dafür zur Verfügung stehen. Sind die technischen Herausforderungen zu hoch, dann bleibt immer noch der Faktor Mensch als Option und der ist bekanntlich käuflich.

Die Cloud ist der Sündenbock!

Die Cloud ist nicht das Problem. Spionage als Ausrede zu nutzen, um keine Cloud Services einzusetzen, ist wie einem Kleinkind den Lutscher zu stehlen. Man macht es sich zu einfach. Fakt ist: in den Zeiten vor der Cloud, war es genau so möglich Spionage zu betreiben. Und diese wurde auch betrieben. Anbieter konnten ebenso, trotz ihrer Verträge mit den Anwendern, Daten heimlich an Geheimdienste weitergeben. Wäre Spionage im Zeitalter des Outsourcings genauso ins Fadenkreuz geraten wie heute, wäre wohl das Outsourcing verteufelt worden. Die heutige Diskussion ist maßgeblich ein Produkt der politischen Situation, in der ein Mangel von Vertrauen die Beziehung des ehemals engen Wirtschafts-, Militär- und Geheimdienstpartner prägt.

Die heutigen Cloud-Anbieter sind aufgrund der Datenberge die sie horten und auf einheitlichen Plattformen zusammenführen, allerdings deutlich attraktiver geworden. Aber sich Zutritt in die Rechenzentren zu verschaffen ist zu aufwändig. In seinem Buch "Tube: Behind The Scenes At The Internet" beschreibt Andrew Blum, dass einer der ersten Internet-Hubs "MAE-East" (1992) aufgrund seiner hohen Konnektivität in andere Länder (Daten von Tokyo nach Stockholm oder Daten von London nach Paris mussten jeweils über MAE-East) schnell zum Ziel der US-amerikanischen Spionage wurde. Kein Wunder, MAE-East war der de-facto Weg in das Internet. Unterm Strich müssen Geheimdienste nicht in die Rechenzentren der Anbieter. Es reicht, wenn sie in den Verbindungsknoten stecken beziehungsweise auf den Leitungen sitzen. Was scheinbarder Fall ist.

In diesem Zusammenhang wurde das sogenannte "Schengen-Routing" ins Gespräch gebracht. Dabei soll der Datenverkehr in Europa verbleiben, wenn die Daten nur innerhalb Europas ausgetauscht werden. Auf dem Papier sieht das theoretisch erst einmal gut aus. In der Praxis ist der Ansatz aber untauglich. Werden beispielsweise US-amerikanische Cloud-Services genutzt, dann werden die Daten zum größten Teil auch über deren Server in den USA gerouted. Wird eine E-Mail von einem Konto bei einem deutschen Anbieter an einen Geschäftspartner mit einem Konto bei einem US-Anbieter verschickt, dann muss der Datenverkehr ebenfalls Europa verlassen. Vergessen werden sollte ebenfalls nicht, dass wir seit Jahren in einer vernetzten Welt leben und Daten global ausgetauscht werden müssen.

Ein in diesem Zusammenhang viel gravierenderes Problem liegt in der Marktmacht und klaren Innovationsführerschaft der USA gegenüber Europa und Deutschland. Die Verfügbarkeit und Wettbewerbsfähigkeit deutscher und europäischer Cloud Services ist immer noch beschränkt. So greifen viele Unternehmen bei Cloud-Diensten auf die Angebote aus den USA zurück. Auf Netzwerkebene alleine wird sich also keine Lösung finden lassen, solange keine konkurrenzfähigen Cloud-Services, Infrastrukturen und Plattformen europäischer Anbieter vorhanden sind. Bis dato hilft nur die Verschlüsselung der Daten, um den Geheimdiensten und anderen Kriminellen Einhalt zu gebieten.

Europäische und deutsche Anbieter sind gefordert, innovative und attraktive Cloud-Services zu entwickeln und zu vermarkten. Denn ein deutsches Rechenzentrum alleine hat nichts mit einer höheren Datensicherheit zu tun, sondern bietet lediglich den Vorteil des deutschen Datenschutzniveaus, um damit die rechtlichen Rahmenbedingungen zu erfüllen. (bw)

 

Oliver Keizers

Wunderbarer Artikel, der schreit förmlich nach einem Kommentar. :-)

Ich stimme dem vollumfänglich zu, insbesondere, was die Frage nach der Sicherheit von Cloud Service Providern anbelangt. Und ob ich ein DC in Deutschland oder woanders habe ist nur bedingt relevant, da die Backup-DCs in anderen Ländern sind und in jedem Fall von Mitarbeitern weltweit gewartet werden und diese damit auch Zugriff auf die Daten haben.

Das Fazit, daß nur Verschlüsselung hilft ist jedoch nur die halbe Miete, da hierbei immer noch verschlüsselte Daten, die mathematisch reversibel sind, in der Cloud gespeichert werden. Wenn ich mir darum also Gedanken mache, daß die Daten in der Cloud landen, dann sollte ich sie nicht in die Cloud packen.

Ach halt, ich will ja Cloud Services nutzen... Nun denn, dann verweise ich auf § 3 (6a) Bundesdatenschutzgesetz und werfe Pseudonymisieren in die Runde. Wenn ich das auf Basis einer lokalen Lookup-Datenbank mache, dann landen die Token in der Cloud und die Klardaten in meiner Datenbank und ich muss mir keine Sorgen machen.

Und ja, das gibt es und das funktioniert bereits gut und sicher.

comments powered by Disqus