Einige EU-Staaten gefährlicher als US-Regierung
CW: Sie sprechen die US-Regierung an. Inwiefern bereitet es Ihnen im Marketing Schwierigkeiten, dass diese durch den Patriot Act unter gegebenen Umständen Zugriff auf Cloud-Daten nehmen darf?
SCHMIDT: Es gibt viele Missverständnisse, was den Patriot Act angeht. Die Frage ist, ob unsere Kunden davon überhaupt betroffen sind. Wir betreuen Kunden in 190 Ländern und keiner von denen hat den Eindruck, dass der Patriot Act für ihn oder sie eine Gefahr darstellt. Ohne richterlichen Beschluss darf die US-Regierung nämlich nichts machen. Was viele immer nicht sehen, sind die umfassenden Zugriffsrechte auf IT-Systeme, die sich die Regierungen vieler anderer Länder abseits der USA einräumen lassen. So gibt es beispielsweise innerhalb der EU einige Staaten, in denen eine behördliche Anweisung ausreicht, damit auf Cloud-Daten und IT-Systeme zugegriffen werden darf. Es sind EU-Staaten, die die weltweit umfangreichsten Zugriffsrechte auf Cloud-Daten durch die Behörden gesetzlich verankert haben.
CW: Das EC3 (European Cybercrime Centre) hat in diesem Jahr unter dem Dach von Europol in Den Haag seinen Betrieb aufgenommen, um Cyberkriminalität länderübergreifend zu bekämpfen. Inwieweit arbeitet AWS mit dieser Behörde zusammen?
SCHMIDT: Wie viele andere Cloud-Provider auch werden wir den Strafverfolgern das nötige Wissen darüber zu vermitteln versuchen, wie Cloud Computing forensische Untersuchungen verändert. Bald können sie keine Festplatten mehr untersuchen, wie das bisher der Fall war. Deshalb haben wir einen forensischen Prozess etabliert, mit dem Strafverfolgungsbehörden Daten aus der Cloud erhalten können, wenn ein richterlicher Beschluss vorliegt und der sie zudem mit dem nötigen Basiswissen ausstattet, wie die Daten zu analysieren sind.
CW: Für wie sinnvoll und nachvollziehbar halten Sie die strengen EU-Datenschutzregeln allgemein?
SCHMIDT: Datenschutz an sich ist eine vernünftige Sache. Das Problem sind die von Land zu Land unterschiedlichen Auslegungen der Datenschutzgesetze. Als Service-Provider müssen wir sehr viel Zeit damit verbringen, diese zu analysieren und uns ihnen jeweils anzupassen. Deshalb wäre ein universell geltendes Datenschutzrecht natürlich schön.
Datenschutzgesetze jedem Staat selbst überlassen
CW: Wie bringen sie sich in die laufende Diskussion um die EU-Datenschutzreform ein?
SCHMIDT: Wir sind daran interessiert, dass sich Staaten bemühen, ihren Bürgern den Zugang zu Technologie zu erleichtern und deren Nutzung effizienter zu gestalten. Es liegt nicht an uns, zu entscheiden, wie die EU ihre Gesetze verfasst und die einzelnen Staaten sie umsetzen. Wir können Regierungen aber helfen, potenzielle Veränderungen zu begreifen, die die Fähigkeit ihrer Bürger beeinflusst, neue Technologien zu ihrem Vorteil nutzen zu können.
CW: Wer sind Ihre wichtigsten Wettbewerber?
SCHMIDT: Unsere Kunden, weil sie uns am stärksten fordern. Sie verlangen ständig nach neuen Features oder Benutzeroberflächen. Auf sie müssen wir als allererstes hören.
CW: In erster Linie wollen Ihre Kunden ihre Compliance-Vorgaben erfüllen. Wie unterstützen Sie sie im Auditing?
SCHMIDT: Unser Auditing-Prozess muss weltweit einsetzbar sein. Es gilt, diverse Standards zu erfüllen, die von Land zu Land unterschiedlich sind. In Europa geht es meist um ISO/IEC 27001 samt der ISO-27002-Kontrollmechanismen. In den USA sind es SSAE 16, SOC1 und SOC2, in Japan gibt es eine Serie von JAE-Standards und Singapur wiederum hat eigene Compliance-Regelungen. Wir bewahren sämtliche Standards in einer Art Master-Control-Set auf. Wenn ein Audit ansteht, suchen wir den jeweils zu erfüllenden Standard heraus und übergeben die dazu passenden Informationen und Belege an den Auditor, damit dieser die nötigen Tests vornehmen kann. Das Vorgehen und die Häufigkeit der Tests ist überall auf der Welt verschieden: Während eine Zertifizierung nach ISO 27001, die jeweils für drei Jahre gültig ist, einen Audit pro Jahr voraussetzt, gilt beim US-Standard SOC1 eine Testfrequenz von drei Monaten.
- Was taugen Cloud-Zertifikate?
Bestehende Sicherheitsstandards wie SAS70 und ISO 27001 können dem Cloud Computing nicht uneingeschränkt gerecht werden, weil sie sich nicht den besonderen Risiken widmen, die sich durch die Cloud-Architektur ergeben. Um Transparenz zu schaffen und Bedenken potenzieller Kunden zu zerstreuen, streben die Cloud-Anbieter vermehrt eine Auditierung durch externe Wirtschaftsprüfungsunternehmen an. Hans Paulini, Architekt und Experte für das Thema Cloud bei Logica in Deutschland hat für uns einige Zertifkate unter die Lupe genommen. Anbei ein Überblick: <br /><br /> <a href="http://www.computerwoche.de/management/cloud-computing/2487626/" target="_blank"> hier geht es zum Beitrag "Was taugen Cloud-Zertifikate?"</a> - Das EuroCloud-Zertifikat
EuroCloud ist ein Zusammenschluss europäischer Cloud-Anbieter. Der deutsche Ableger zertifiziert Unternehmen i nach dem Standard "Euro Cloud SaaS Star Audit". Der etwas sperrige Name beinhaltet eine anspruchsvolle Palette an Prüfungen, die ein Cloud-Anbieter durchlaufen muss. Hierbei wird anhand eines detaillierten Fragenkatalogs die Einhaltung von Sicherheitsrichtlinien bewertet. Das Zertifikat sieht maximal fünf Sterne vor. Wird die Höchstwertung erreicht, kann der Kunde von einem sehr vertrauenswürdigen Cloud-Anbieter ausgehen. - Zertifikat mit Tradition: ISO 27001
Die seit 2005 in der jetzigen Form angebotene Zertifizierung ISO 27001 wird vom Bundesamt für Sicherheit in der Informationstechnik (BSI) erteilt und ist eines der vertrauenswürdigsten Zertifikate im IT-Sektor. Das Audit besteht aus zwei Phasen: Zuerst wird anhand einer Dokumentenprüfung die grundsätzliche Eignung für die Zertifizierung festgestellt, danach folgt eine detaillierte Analyse der Sicherheitsprozesse. In der zweiten Phase werden Prozesse und sicherheitsrelevante Systeme vor Ort in Augenschein genommen. Diese Zertifizierung ist weltweit als Standard anerkannt und damit quasi auch ein Muss für alle Cloud-Anbieter. - In Europa weniger genutzt: SAS 70 vom AICPA
Die Zertifizierung SAS 70 testiert die Kontrolle über die unternehmenseigenen Steuerungsprozesse nach den Vorgaben des American Institute of Certified Public Accountants (AICPA). Die SAS-70-Zertifizierung kann auf zwei Arten erfolgen. Während die Typ-1-Zertifizierung nur eine Beschreibung der Kontrollmechanismen verlangt, werden bei Typ 2 auch die tatsächliche Umsetzung und die Effizienz der Maßnahmen im Unternehmen kontrolliert. In Europa ist diese Art der Zertifizierung nicht sehr bekannt, jedoch können einige der amerikanischen Cloud-Anbieter diese Zertifizierung nachweisen. Der Nachteil von SAS 70 ist, dass die Zertifizierung weder auf IT-Prozesse noch auf die Cloud-Fragestellung ausgerichtet ist. - Nicht ausreichend: Safe Harbour Agreement
Safe Harbour ist eine Datenschutzvereinbarung zwischen der EU und den Vereinigten Staaten, die es europäischen Unternehmen ermöglicht, personenbezogene Daten legal in die USA zu übermitteln. Europäische Rechtsstandards werden von Unternehmen, die sich nach der Safe-Harbour-Regelung zertifizieren, voll akzeptiert und respektiert. Die zugesicherten Rechte in der Praxis durchzusetzen, ist oft problematisch. Der Düsseldorfer Kreis empfiehlt daher eine zusätzliche Erklärung zwischen den Vertragspartnern. Außerdem sollen deutschen Firmen einige Mindestkriterien überprüfen, bevor sie Daten an Safe-Harbor-zertifizierte US-Firmen abgeben. - Der Patriot Act und der Cybersecurity Act
Der Patriot Act erlaubt amerikanischen Geheimdiensten seit 2002 per Gerichtsbeschluss den Zugriff auf abschließend definierte Datenbestände. Seit dem ist immer wieder der Verdacht zu hören, die amerikanische Regierung könne problemlos auf vertrauliche Inhalte ausländischer Unternehmen zugreifen, die ihre Daten bei amerikanischen Cloud-Anbietern speichern oder verarbeiten lassen. Das geht zwar nicht ohne weiteres, zeigt aber ein gewisses Vertrauensproblem auf. Richtig ist, dass sich aufgrund des Patriot Acts der Zugang zu Cloud-Server und Daten nicht vollständig ausschließen lässt, wenn bestimmte Voraussetzungen erfüllt sind. <br /><br /> <a href="http://www.computerwoche.de/management/cloud-computing/2487626/" target="_blank"> hier geht es zum Beitrag "Was taugen Cloud-Zertifikate?"</a>
CW: Wie fällt Ihr Vergleich zwischen europäischen und amerikanischen Standards aus?
SCHMIDT: ISO 27002 beispielsweise definiert ganz genau, welche Kontrollmechanismen bestehen müssen - alle haben sich daran zu halten. SSAE 16 ermöglicht es Service-Providers hingegen, ihre eigenen Kontrollmechanismen einzubringen. Da aber viele unserer Kunden nach ISO zertifizieren lassen, können wir uns das nicht aussuchen.