Viele US-Cloud-Provider sind sauer. Europäische Konkurrenten werben damit, ihre Angebote seien sicher vor dem Zugriff von US-Behörden.
Foto: wunschformat/Fotolia
Die US-Anbieter beklagen einen massiven Wettbewerbsnachteil. Ursache für die schlechte Stimmung ist der Patriot Act, der amerikanischen Behörden das Recht einräumt, unter bestimmten Umständen in der Cloud gespeicherte Kundendaten einsehen zu dürfen. Dieses Recht erstreckt sich auch auf die europäischen Tochtergesellschaften von US-Firmen. Entscheidend ist nicht der Speicherort, sondern der Sitz der Muttergesellschaft.
"Europäische Daten sind selbst dann nicht immer vor dem Zugriff amerikanischer Sicherheitsbehörden sicher, wenn sie gar nicht auf einem Server in den USA liegen", erläutert Michael Rath, Anwalt für IT-Recht bei der Kanzlei Luther Rechtsanwaltgesellschaft mbH in Köln. So konnte etwa die britische Microsoft-Dependance während der Office-365-Präsentation im Juni 2011 einen Zugriff der US-Behörden auf Kundendaten nicht ausschließen. Laut Ermittlungen des Unabhängigen Landeszentrums für Datenschutz Schleswig-Holstein (ULD) gehen die Zugriffsrechte der US-Behörden sogar noch weiter. Die Konzernmutter müsse keineswegs ihren Sitz in den USA haben, um den Bestimmungen des Patriot Acts zu unterliegen. Sobald eine irgendwie geartete Konzernverbindung in die USA bestehe, bestehe Auskunftspflicht.
Cloud-Zertifikate
Was taugen Cloud-Zertifikate? Bestehende Sicherheitsstandards wie SAS70 und ISO 27001 können dem Cloud Computing nicht uneingeschränkt gerecht werden, weil sie sich nicht den besonderen Risiken widmen, die sich durch die Cloud-Architektur ergeben. Um Transparenz zu schaffen und Bedenken potenzieller Kunden zu zerstreuen, streben die Cloud-Anbieter vermehrt eine Auditierung durch externe Wirtschaftsprüfungsunternehmen an. Hans Paulini, Architekt und Experte für das Thema Cloud bei Logica in Deutschland hat für uns einige Zertifkate unter die Lupe genommen. Anbei ein Überblick: <br /><br /> <a href="http://www.computerwoche.de/management/cloud-computing/2487626/" target="_blank"> hier geht es zum Beitrag "Was taugen Cloud-Zertifikate?"</a>
Das EuroCloud-Zertifikat EuroCloud ist ein Zusammenschluss europäischer Cloud-Anbieter. Der deutsche Ableger zertifiziert Unternehmen i nach dem Standard "Euro Cloud SaaS Star Audit". Der etwas sperrige Name beinhaltet eine anspruchsvolle Palette an Prüfungen, die ein Cloud-Anbieter durchlaufen muss. Hierbei wird anhand eines detaillierten Fragenkatalogs die Einhaltung von Sicherheitsrichtlinien bewertet. Das Zertifikat sieht maximal fünf Sterne vor. Wird die Höchstwertung erreicht, kann der Kunde von einem sehr vertrauenswürdigen Cloud-Anbieter ausgehen.
Zertifikat mit Tradition: ISO 27001 Die seit 2005 in der jetzigen Form angebotene Zertifizierung ISO 27001 wird vom Bundesamt für Sicherheit in der Informationstechnik (BSI) erteilt und ist eines der vertrauenswürdigsten Zertifikate im IT-Sektor. Das Audit besteht aus zwei Phasen: Zuerst wird anhand einer Dokumentenprüfung die grundsätzliche Eignung für die Zertifizierung festgestellt, danach folgt eine detaillierte Analyse der Sicherheitsprozesse. In der zweiten Phase werden Prozesse und sicherheitsrelevante Systeme vor Ort in Augenschein genommen. Diese Zertifizierung ist weltweit als Standard anerkannt und damit quasi auch ein Muss für alle Cloud-Anbieter.
In Europa weniger genutzt: SAS 70 vom AICPA Die Zertifizierung SAS 70 testiert die Kontrolle über die unternehmenseigenen Steuerungsprozesse nach den Vorgaben des American Institute of Certified Public Accountants (AICPA). Die SAS-70-Zertifizierung kann auf zwei Arten erfolgen. Während die Typ-1-Zertifizierung nur eine Beschreibung der Kontrollmechanismen verlangt, werden bei Typ 2 auch die tatsächliche Umsetzung und die Effizienz der Maßnahmen im Unternehmen kontrolliert. In Europa ist diese Art der Zertifizierung nicht sehr bekannt, jedoch können einige der amerikanischen Cloud-Anbieter diese Zertifizierung nachweisen. Der Nachteil von SAS 70 ist, dass die Zertifizierung weder auf IT-Prozesse noch auf die Cloud-Fragestellung ausgerichtet ist.
Nicht ausreichend: Safe Harbour Agreement Safe Harbour ist eine Datenschutzvereinbarung zwischen der EU und den Vereinigten Staaten, die es europäischen Unternehmen ermöglicht, personenbezogene Daten legal in die USA zu übermitteln. Europäische Rechtsstandards werden von Unternehmen, die sich nach der Safe-Harbour-Regelung zertifizieren, voll akzeptiert und respektiert. Die zugesicherten Rechte in der Praxis durchzusetzen, ist oft problematisch. Der Düsseldorfer Kreis empfiehlt daher eine zusätzliche Erklärung zwischen den Vertragspartnern. Außerdem sollen deutschen Firmen einige Mindestkriterien überprüfen, bevor sie Daten an Safe-Harbor-zertifizierte US-Firmen abgeben.
Der Patriot Act und der Cybersecurity Act Der Patriot Act erlaubt amerikanischen Geheimdiensten seit 2002 per Gerichtsbeschluss den Zugriff auf abschließend definierte Datenbestände. Seit dem ist immer wieder der Verdacht zu hören, die amerikanische Regierung könne problemlos auf vertrauliche Inhalte ausländischer Unternehmen zugreifen, die ihre Daten bei amerikanischen Cloud-Anbietern speichern oder verarbeiten lassen. Das geht zwar nicht ohne weiteres, zeigt aber ein gewisses Vertrauensproblem auf. Richtig ist, dass sich aufgrund des Patriot Acts der Zugang zu Cloud-Server und Daten nicht vollständig ausschließen lässt, wenn bestimmte Voraussetzungen erfüllt sind. <br /><br /> <a href="http://www.computerwoche.de/management/cloud-computing/2487626/" target="_blank"> hier geht es zum Beitrag "Was taugen Cloud-Zertifikate?"</a>
Das Antiterrorgesetz bremst die US-Anbieter aus, wenn Kunden europäische Datenschutzstandards verlangen und eigentlich Schutz vor dem Patriot Act meinen. "Offiziell wird das keiner sagen", räumte ein Mitarbeiter eines großen IT-Providers ein. "Aber kein Kunde wird seine Daten auf einem Server ablegen, der Schlupflöcher für Wirtschaftsspionage lässt."
Markenzeichen "Deutsche Cloud"
Zum Ärger der US-Provider spielt die europäische Konkurrenz den Datenschutz als Trumpfkarte gegenüber Kunden aus. Bereits vor zwei Jahren brachte T-Systems-Chef Reinhard Clemens die "Deutsche Cloud" ins Gespräch (siehe "Brauchen wir eine deutsche Cloud"), die mit einer Art Siegel hiesigen Datenschutz garantieren soll. Zudem preschen kleine Anbieter in sich öffnende Nischen vor: "Der Zugriff durch US-Behörden gemäß US Patriot Act ist ausgeschlossen", wirbt etwa Fabasoft für den Collaborations-Dienst "Folio Cloud". Der Nachrichtendienst Bloomberg meldete, T-Systems umwerbe Kunden mit Zugriffsschutz vor US-Behörden. "Wir agieren im europäischen Rechtsraum, und die US-Behörden können nicht einfach auf Daten unserer Kunden zugreifen", verteidigte Clemens daraufhin die Strategie.
Reinhard Clemens, CEO von T-Systems: "Wir agieren im europäischen Rechtsraum, und die US-Behörden können nicht einfach auf Daten unserer Kunden zugreifen." Foto: Reinhard Clemens
Der Druck der US-Industrie auf die eigene Regierung wächst. Inzwischen sahen sich zwei hochrangige US-Beamte veranlasst, die Branche zu beschwichtigen. Bruce Swartz, stellvertretender Generalstaatsanwalt im Justizministerium, und Philip Verveer, stellvertretender Staatssekretär für internationale Kommunikation im Außenministerium, betonten, die USA hätten ähnlich hohe Datenschutzstandards wie die EU. Allerdings machten weder Swartz noch Verveer den Anbietern Hoffnung auf Änderungen am Patriot Act.
Sie räumten ein, dass das Cloud Computing die Art und Weise verändert habe, wie Unternehmen Daten speichern und darauf zugreifen, betonten im gleichen Atemzug aber, dass die fundamentalen rechtlichen Schutzmechanismen für Auslandsgeschäfte unangetastet bestehen bleiben. "Jede Darstellung, die Vereinigten Staaten schätzen den Wert des Datenschutz nicht, ist falsch", sagte Swartz.
Datenschutz und Datensicherheit
Datenschutz und Datensicherheit Saugatuck hat einen Fragenkatalog zur Security im Cloud Computing zusammen gestellt, den Interessenten Ihrem potenziellen Cloud-Provider vorlegen sollten.
Fachliche Anforderungen Wie kann der Kunde auf seine Daten zugreifen oder diese wiederherzustellen?
Fachliche Anforderungen Wie wird Sicherung der Daten einschließlich Disaster Recovery gewährleistet?
Fachliche Anforderungen Wie, in welchem Format und nach welchen Umständen oder Bedingungen werden bei Vertragsende die Daten des Kunden an ihn übergeben?
Die Technik für Datenschutz und -sicherheit Sind die Rechenzentren uneingeschränkt, rund um die Uhr, physikalisch und auch nach Mehr-Personen-Prinzip gesichert?
Die Technik für Datenschutz und -sicherheit Ist es sichergestellt, dass das Personal des Providers weder Zugang zu den Benutzerpasswörtern und Berechtigungen des Anwenders hat noch diese einsehen kann?
Die Technik für Datenschutz und -sicherheit Werden die Vorschriften zu Passwortrichtlinien, Zugriffsbeschränkungen, Anmeldeprotokollierungen, Datenzugriffsmodellen sowie zum Feldebenenzugriff dokumentiert?
Die Technik für Datenschutz und -sicherheit Werden alle Passwörter verschlüsselt übertragen?
Die Technik für Datenschutz und -sicherheit Gibt es ein sicheres Session-Key-Management und besteht eine Multi-Tenant-Datenzugriffskontrolle?
Die Technik für Datenschutz und -sicherheit Werden Sicherheitsverstöße überwacht? Werden Eindringversuche (Intrusion Detection) und sicherheitsrelevante Vorfälle (Security-Event-Management) dokumentiert?
Transaktionen im Internet Gibt es eine 128-bit SSL-Verschlüsselung für jede Transaktion?
Transaktionen im Internet Liegen Verisign-Zertifikate vor?
Transaktionen im Internet Werden Perimeter und Firewalls ständig überwacht? Sind Intrusion Detection sowie vorausschauendes Log-File-Monitoring Standardverfahren?
Sicherheitsmonitoring Werden erfolgreiche und fehlgeschlagene Logins dokumentiert?
Sicherheitsmonitoring Werden Eindringversuche (Intrusion Detection) und sicherheitsrelevante Vorfälle (Security-Event-Management) dokumentiert?
Interoperabilität mit On-Premise-Anwendungen Welchen Einfluss haben Security-Architekturen und -Praktiken des Cloud-Providers auf die lokalen Installationen des Anwenders?
Interoperabilität mit On-Premise-Anwendungen Legt der Betreiber der Multi-Tenancy- und Cloud-Plattform die verwendeten Techniken und Abläufe für das Data-Partitioning offen und dokumentiert sie?
Gesetzliche Anforderungen Ist bei Speicherung von personenbezogenen Daten außerhalb der Grenzen des Europäischen Wirtschaftsraumes ein angemessenes Schutzniveau gewährleistet, wie es das Bundesdatenschutzgesetz vorschreibt (Paragraf 4b Absatz 2 Satz 2 BDSG)?
Gesetzliche Anforderungen Ist es sichergestellt, dass ausschließlich solche Anwender auf Anwendung und deren Daten zugreifen können, die auch dazu berechtigt sind?
Gesetzliche Anforderungen Können personenbezogenen Daten bei der Verarbeitung, Nutzung und nach Speicherung nicht unbefugt gelesen, kopiert, verändert oder entfernt werden?
Gesetzliche Anforderungen Lässt sich nachträglich prüfen und feststellen, ob und von wem personenbezogene Daten in Anwendungssystemen eingegeben, verändert oder entfernt worden sind?
Gesetzliche Anforderungen Können zu unterschiedlichen Zwecken erhobene personenbezogene Daten getrennt verarbeitet werden?
Philip Verveer, stellvertretender Staatssekretär im Außenministerium, hält die Kontroverse für aufgeblasen. Das Thema sei in Krisenzeiten auf die Agenda gerückt, weil das Cloud-Geschäft Wachstum verspreche. Er verwies auf Gartner-Zahlen, wonach im Jahr 2015 im westeuropäischen Cloud-Markt 47 Milliarden Dollar verteilt werden. "Es steht viel Geld auf dem Spiel", bringt es Verveer auf den Punkt.
Die Position des Bitkom
Der Bitkom muss die Interesse sowohl der IT-Firmen mit amerikanischen Wurzeln als auch die der heimischen Anbieter vertreten. Das ist angesichts des Trubels um den Patriot Act ein heikles Unterfangen. Der Verband antwortete auf eine CW-Anfrage zum Thema folgendermaßen:
"Für alle Unternehmen, die auf beiden Seiten des Atlantiks Daten verarbeiten, stellen die teils widersprechenden rechtlichen Verpflichtungen aus der amerikanischen und der europäischen Rechtsordnung eine erhebliche Rechtsunsicherheit dar. Der Bitkom schlägt Gespräche zwischen Europa und den USA zur Klärung der Voraussetzungen für einen staatlichen Zugriff auf personenbezogene Daten auch jenseits des staatlichen Hoheitsgebiets vor.
Es sollten schnellstmöglich ein gemeinsames Verständnis und ein in beiden Regionen gültiger Rechtsrahmen entwickelt und umgesetzt werden, unter welchen Voraussetzungen Unternehmen zur Herausgabe von personenbezogenen Daten verpflichtet werden können. Entsprechend sollten dann auch die Pflichten aus dem jeweiligen Datenschutzrecht im Sinne einer Harmonisierung auf hohem Datenschutzniveau angepasst werden."
Der Patriot Act
Der Patriot Act wurde im Oktober 2001 als Reaktion auf die Terroranschläge vom 11. September 2001 von der damaligen Bush-Administration auf den Weg gebracht. Es räumt den Ermittlungsbehörden weit reichende Befugnisse ein und schränkt amerikanische Bürgerrechte ein. So ist etwa die Telefon- und Internet-Überwachung ohne richterliche Kontrolle möglich. Die Behörden können unter bestimmten Umständen im Zuge des Patriot Acts auch Daten auf ausländischen Servern einsehen. Das Gesetz wurde von US-Präsident Barack Obama im Mai 2011 um vier Jahre verlängert.