Cloud Computing (2011)

Cloud Computing ist das Schlagwort für eine Technologie, die es ermöglicht, Software-Anwendungen bzw. die zugrunde liegende Datenbanken ortsunabhängig zu speichern. Zugriffe der Benutzer werden stattdessen auf "Server-Farmen" geleitet. Das Cloud-System sorgt dann mittels automatischer Verfahren dafür, dass die Rechnerlast gleichmäßig auf die Server der Cloud verteilt werden. Weil sich mit diesem Verfahren gerade bei grenzüberschreitenden Cloud-Systemen nicht mehr eindeutig ermitteln lässt, auf welchem Rechner die Daten von Anwendungen gespeichert werden, sind datenschutzrechtliche Probleme vorprogrammiert. Aber nicht nur deshalb sollte der Einsatz von Cloud-Technologien im Unternehmen sorgsam abgewogen werden, wie unser folgendes Arbeitspapier darstellt.

A. Einführung

Unterschieden wird zunächst die Nutzung von „private clouds“ und „public (öffentlichen) clouds“:

Der Nutzen von Cloud-Anwendungen besteht zunächst in der hohen Skalierbarkeit der Anwendungen: Die Vervielfachung der Zahl der Anwender innerhalb kurzer Zeit ist kein Problem und kann rasch realisiert werden. Kostenvorteile entstehen ggf. dadurch, dass die Administration und Wartung der Systeme nicht durch die eigene IT, sondern durch den spezialisierten Cloud-Provider erfolgt, der seiner Größenvorteile und die Standardisierung (...zu Lasten einer individuellen Lösung für das Unternehmen...) seines Produktes ausnutzen kann. Ob dies tatsächlich der Fall ist, ist von Fall zu Fall zu überprüfen.

Obwohl sich datenschutzrechtliche Probleme auch bei private clouds stellen, so wiegen diese beim Einsatz von public clouds erheblich schwerer. Zum einen ist die Gefahr von (Hacker-)Angriffen vielfältiger und größer als bei lokalen Anwendungssystemen. Zum anderen sind datenschutzrechtliche Vorgaben schwer einzuhalten, insbesondere sind die vom Cloud-Provider getroffenen Schutzmaßnahmen nur schwer kontrollierbar und zu bewerten.

Die Öffnung von public clouds für weitere Nutzer sowie die Verwendung von Serversystemen über Landesgrenzen hinaus führt zu weiteren Problemen, die die unterschiedlichen nationalen Steuergesetzgebungen, die Lizenzpolitik sowie in besonderem Maße die Gefahr von Industriespionage betreffen. Zudem sind mögliche Performance-Probleme zu berücksichtigen, denn der Datenaustausch wird über störungsanfällige Internetverbindungen realisiert.

Dies führt zu der Bewertung, dass die Verwendung von Anwendungen, die sich auf public clouds stützen, an strenge Vorgaben auszurichten ist.

B. Offene Fragen

Know-How-Abfluß/ Industriespionage

Mehrere Staaten stehen in Verdacht, Industriespionage zu betreiben, u.a die Volksrepublik China1, aber auch die Vereinigten Staaten. Seit dem „patriot act“ sind amerikanische Unternehmen verpflichtet, Datenschnittstellen für amerikanische Behörden zur Verfügung zu stellen. Datenschutzrechtliche Verpflichtungserklärungen nach dem „Safe-Harbour-Agreement“ sind zudem stark umstritten und werden von Datenschutzexperten als „Freibrief“ tituliert. Das „Safe-Harbour-Abkommen“ wird wegen der großen Defizite deshalb in diesem Frühjahr erneut fachlich überprüft werden.3

Vertrauenswürdiges Personal

Der geringer Einfluss auf die Personalauswahl der Provider und deren Vorbehalt, Unterverträge mit weiteren Dienstleistern abzuschließen erhöht ebenfalls die Möglichkeit der Datenspionage, gerade bei sensiblen Daten, die möglicherweise auf dem „Schwarzmarkt“ oder an Wettbewerber verkauft werden können. Notwendig sind Informationen über die Auswahlkriterien der Einstellung, die Aufsicht über die Systemadministratoren und die Zugriffskontrolle.

Gefahren durch Hacker-Angriffe

Durch Konzeption der Cloud besteht zudem ein besonders großes Risiko, Opfer eines Hackerangriffs zu werden. Die Datenintegrität ist jedenfalls bereits dann in Frage zu stellen, wenn es Hackern gelungen ist, den Zugang eines anderen Kunden zu hacken. Die öffentliche Zugänglichkeit zu den Anwendungen über das Internet birgt die Gefahr, dass Sicherheitslücken in Browsern ausgenutzt werden können.

Selbst wenn sich das Unternehmen entscheidet, aus Sicherheitsgründen nur Anmeldungen zur Cloudanwendung zuzulassen, die aus dem eigenen Netz heraus erfolgen, erhöht dies die Sicherheit der Anwendung nur punktuell, denn andere Kunden auf denselben Servern können ggf. erheblich weichere Zugangsregeln konfiguriert haben, evtl. ist dort ein Zugriff aus dem Internetcafe odervom Mobiltelefon möglich.

Zudem ist zu klären, ob und wie der Kunde über erkannte Sicherheitslücken informiert wird. In der Regel ist nicht zu erwarten, dass ein Cloud-Provider Informationen hierüber weiter gibt.

Einhaltung von Datenschutzbestimmungen

Ein erhebliches Problem stellt die Pflicht des Unternehmens dar, die Einhaltung der geltenden Datenschutzbestimmungen zu erfüllen. Grundsätzlich sind die für die Auftragsdatenverarbeitung geltenden Regelungen einzuhalten, der Auftragsdatengeber ist dabei weiterhin datenschutzrechtlich verantwortlich.

Der Berliner Datenschutzbeauftragte weist in diesem Zusammenhang in seinem Tätigkeitsbericht 2008 darauf hin, dass die Nutzung von Cloud-Anwendung nur dann datenschutzkonform sein kann, wenn sich alle Cloud-Rechner physisch im Rechtsraum der EU bzw. Länder mit vergleichbarem Datenschutzniveau befinden.

UPDATE Oktober 2011: Mittlerweile muss man auch diese Empfehlung differenziert beurteilen: Mitte 2011 wurde Berichte öffentlich, nach denen Microsoft und andere US-amerikanische Cloud-Anbieter Daten auch dann an amerikanische Behörden übermitteln, wenn sich die Daten physisch auf Servern in EU-Ländern befinden. Dazu haben wir am Beispiel der Software MS Office 386 ein Arbeitspapier ins Netz gestellt.

Kontrolle des Cloud-Providers

Da eine direkte Kontrolle des Cloud-Providers in der Regel nicht möglich ist, müssen einschlägige Sicherheitszertifizierungen nachgewiesen werden. Ob ein erworbenes Zertifikat ausreichend ist, muss im Einzelfall überprüft werden. 5

Datenspeicherung

Eine Studie der Gartner-Group macht darauf aufmerksam, dass unbedingt zu ermitteln sei, wie die Daten von anderen Kunden getrennt werden. Die Effizienz von Verschlüsselungen sind zu hinterfragen, ebenso Fragen der Entschlüsselung im Backup-Verfahren.6 Außerdem ist zu klären, wie sicher gestellt wird, dass Daten auf dem System tatsächlich physisch gelöscht werden und nicht nur eine Löschmarkierung erhalten.
Zudem seien Disaster- und Insolvenz-Szenarien zu berücksichtigen.

Anwendungsgeschwindigkeit

Anwendungen, bei denen schnelle Reaktionsszeit und eine Hochverfügbarkeit des Dienstes zwingend erforderlich sind , sind als Cloud-Dienste nicht geeignet, da beides nicht gewährleistet werden kann, denn die Kommunikation findet über das – unkontrollierbare - Internet statt.

Compliance

Über die Datenschutz- und Sicherheitsaspekte hinaus, ist zu überprüfen, ob weitere gesetzliche bzw Unternehmens-Policies sowie bestehende Betriebsvereinbarungen berührt und eingehalten werden.

Erhöhte Abhängigkeit vom Anbieter beim Einsatz von Cloud-Computing

Mit Cloud-Computing begeben sich – stärker als bei gewöhnlichem Outsourcing - Unternehmen in die Abhängigkeit vom Cloud-Provider. Und Abhängigkeit macht erpressbar. Die Abhängigkeit entsteht, wenn die nach außen verlagerten Daten in keinem standardisierten, offenen Format gespeichert werden. In der Wolke wird diese Kontrolle über Daten und Software auf den Cloud-Anbieter verlagert. Die Folge kann sein, dass man als Kunde nicht mehr schnell und kostengünstig zu alternativen Anbietern wechseln kann. Man steckt fest und muss überhöhte Preise akzeptieren.

C. Fazit

Wegen der erheblichen und vielfältigen Risiken und den oft nicht zufriedenstellenden Lösungsansätzen zur Bewältigung der damit verbundenen Probleme, sollte die Nutzung von Public-Cloud-Diensten nur punktuell in Erwägung gezogen werden.


Dirk Hammann,
Dirk.Hammann@tse.de