Public Cloud, Safe Harbor und Datenschutz

Anwender wollen gar keine "deutsche Cloud"

31.01.2016
Von 
Bernd Reder ist freier Journalist und Autor mit den Schwerpunkten Technologien, Netzwerke und IT in München.

Verschlüsselung auf die harte Tour

Unternehmen oder öffentliche Einrichtungen, die den Zugriff Dritter auf ihre Daten in einer Public Cloud ausschließen wollen, können auf hardwaregestützte Verschlüsselungssysteme zurückgreifen. Solche Hardware Security Modules für den Einsatz bei Cloud-Service-Providern bieten beispielsweise Gemalto (SafeNet Luna SA) und Utimaco (Utimaco Security Server) an, zudem Thales. Solche Systeme ermöglichen es Nutzern von Cloud-Diensten, die komplette Kontrolle über die Verschlüsselung und vor allem die Verwaltung der Schlüssel zu übernehmen. Die Mitarbeiter des Service-Providers bleiben außen vor, das heißt, sie haben keinen Zugang zu den Verschlüsselungsinformationen des Nutzers. Das bedeutet jedoch umgekehrt, dass die IT-Fachleute des Users besonders sorgfältig mit diesen Informationen umgehen müssen.

Für die Verschlüsselung und Schlüsselverwaltung setzen Microsoft und andere Cloud-Service-Provider besonders sichere HSMs (Hardware Security Modules) ein. Microsoft nutzt bei Azure HSM-Systeme von Thales. Andere Anbieter von HSM, die in Cloud-Umgebungen zum Zuge kommen, sind Utimaco und Gemalto (SafeNet).
Für die Verschlüsselung und Schlüsselverwaltung setzen Microsoft und andere Cloud-Service-Provider besonders sichere HSMs (Hardware Security Modules) ein. Microsoft nutzt bei Azure HSM-Systeme von Thales. Andere Anbieter von HSM, die in Cloud-Umgebungen zum Zuge kommen, sind Utimaco und Gemalto (SafeNet).
Foto: Microsoft

Über HSM-Systeme, die für den Cloud-Einsatz konzipiert sind, kann ein Cloud-Service-Provider eine solche hardwarebasierte Verschlüsselung auch als Dienstleistung anbieten. In diesem Fall teilen sich mehrere Unternehmensabteilungen oder mehrere Firmen eine HSM-Appliance. Allerding sind die Cloud-Versionen dieser Systems so ausgelegt, dass jedem Anwender ein separates Verschlüsselungsmodul zur Verfügung steht. Nach Angaben der Anbieter besteht keine Gefahr, dass ein Nutzer Zugang zum Modul eines anderen Unternehmens erhält.

Die Rolle der Internetverbindung

"Ein Cloud-Rechenzentrum muss nicht unbedingt möglichst nahe beim Kunden angesiedelt sein. Wichtiger ist, welche Qualität die Netzwerkverbindungen zwischen Nutzer und Provider haben", so Paul Heywood, Managing Director EMEA von Dyn. Das Unternehmen hat sich auf Cloud-gestützte Testlösungen spezialisiert, mit denen sich die Qualität von IP- und Internet-Verbindungen ermitteln lässt. Heywood zufolge kann es durchaus sein, dass ein Unternehmen an einem Standort im Ausland nicht unbedingt auf einen Cloud-Service-Provider vor Ort zurückgreifen muss, zumindest nicht aus Gründen der vermeintlich besseren Performance.

Denkbar ist beispielsweise, dass die besagte Niederlassung von einem Cloud-Rechenzentrum mit Sitz in einem EU-Land aus mit IT-Diensten versorgt wird. Dies würde potenzielle Probleme mit Datenschutz- und Compliance-Regeln auf einfache Weise lösen. Denn nach Erfahrungswerten von Dyn ist eine gute Performance von Cloud-Applikationen nicht mit räumlicher Nähe zum Rechenzentrum des Cloud-Service-Providers gleichzusetzen. "Es kommt auf die Internet-Verbindung beziehungsweise die Route an, welche die Daten nehmen", so Paul Heywood.

Durch die Kombination von Anwendungs-, Netzwerk- und Internet-Analyse können Unternehmen außerdem einen Einblick gewinnen, wie ihre Cloud-Dienste laufen, wo Engpässe vorhanden sind und wie sich die Cloud-Anwendungen aus Sicht der Nutzer präsentieren. Allerdings ist klar, dass es gerade für international aktive Unternehmen wenig Sinn macht, über ein Cloud-Data-Center in Deutschland Niederlassungen in Korea oder China zu versorgen. In diesem Fall ist es besser, auf die Services eines international tätigen Cloud-Service-Providers wie AWS, Google, IBM oder Microsoft zurückzugreifen.

"Freier Datenfluss" in der EU

Ab 2016 will die Europäische Kommission Änderungen der rechtlichen Rahmenbedingungen für Cloud Computing erarbeiten. In einem Strategiepapier zur Schaffung eines digitalen Binnenmarkts vom Mai 2015 regt die Kommission die Schaffung einer europäischen Initiative zum "freien Datenfluss" an. Sie soll sich unter anderem mit "nicht gerechtfertigten Beschränkungen in Bezug auf den Speicher- und Verarbeitungsort der Daten" befassen. Ein Ziel der Initiative: Unternehmen und Service-Providers sollen künftig Daten, auch personenbezogene Informationen, in Rechenzentren ihrer Wahl speichern und bearbeiten können. Die Voraussetzung ist, dass sich diese Data Center in der EU befinden.

Damit sollen in Verbindung mit der EU-Datenschutz-Grundverordnung die Hürden beseitigt werden, die bislang die länderübergreifende Nutzung von Cloud-Services in der EU einschränken. Die Kommission möchte im kommenden Jahr zudem eine europäische Cloud-Initiative vorstellen, in der es unter anderem um die Zertifizierung von Cloud-Diensten, Musterverträge mit Service-Providern, den Wechsel des Cloud-Diensteanbieters und eine Forschungs-Cloud für die Wissenschaft geht. (sh)