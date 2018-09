In puncto Sicherheit auf einen Public Cloud Provider zu vertrauen, kann problematisch sein. Das wird am Beispiel von Microsoft deutlich. Ab 2019 bietet der Softwaregigant die Microsoft Cloud Deutschland nicht mehr an. Unternehmen, die den Service bereits einsetzen, können ihn zwar auch weiterhin nutzen und erhalten die nötigen Sicherheitsupdates. Es wird künftig jedoch keine neuen Dienste mehr für die deutsche Cloud geben. Microsoft hatte diese 2015 ins Leben gerufen, um den hohen Sicherheitsbedürfnissen von deutschen Unternehmen nachzukommen. Kundendaten werden dabei getrennt von der globalen Infrastruktur in einem separaten Netzwerk in Deutschland gespeichert und ein deutscher Treuhänder kontrolliert den Zugang zu diesen Daten. Ab 2019 können Neukunden nur noch die weltweite Azure Cloud nutzen.

Unternehmen, die sich für die Microsoft Cloud Deutschland entschieden hatten, stehen jetzt vor einem Dilemma. Entweder sie bleiben in der geschützten deutschen Cloud und verzichten auf Neuerungen. Oder sie wechseln zu Azure und vertrauen auf Microsofts Aussage, dass auch die globale Cloud die strengen Datenschutzrichtlinien der DSGVO einhält. Wer auf der sicheren Seite sein will, sollte einen dritten Weg wählen und sensible Daten in der Cloud mit einem externen Hardware-Sicherheitsmodul verschlüsseln. Dadurch übernehmen Unternehmen selbst die Kontrolle über den Schutz ihrer Daten – unabhängig davon, bei welchem Public Cloud Provider sie liegen.

Die unabhängige sichere Lösung: ein Cloud-HSM

Dies lässt sich komfortabel mit einem Hardware-Sicherheitsmodul (HSM) in der Cloud wie dem Utimaco CryptoServer Cloud bewerkstelligen. Unternehmen können damit die Funktionalität eines HSM als Service nutzen und dort zum Beispiel kryptographische Schlüssel und eigene Kryptographie-Funktionen sicher aufbewahren. Ein solches HSM-as-Service arbeitet mit den großen Public Clouds wie Microsoft Azure, der Google Cloud Platform oder Amazon Web Services zusammen, hält Schlüssel und Kryptographie-Funktionen jedoch sicher getrennt von der Infrastruktur des Public Cloud Providers. Nur der Kunde selbst hat Zugang zum virtuellen Schlüssel-Safe. Er genießt volle administrative Rechte auf das HSM und kann auch eigenen Code anwenden. Dadurch sind Unternehmen in der Lage, ihre Daten nach ihrem Ermessen zu schützen, ohne dass sie von den Datenschutzmaßnahmen des Providers abhängig sind.

Darüber hinaus eignet sich der Einsatz eines HSM in der Cloud auch hervorragend für Hybrid- und Multi-Cloud-Umgebungen. Immer mehr Unternehmen gehen dazu über, eine Private Cloud und Public Cloud Services verschiedener Provider zu kombinieren. Dadurch können sie die jeweils besten Angebote für ihren Bedarf auswählen und von deren Vorteilen profitieren. Auf der anderen Seite macht eine Multi Cloud jedoch die konsistente Umsetzung von Datenschutz und Compliance komplexer und unübersichtlicher, da jede Cloud ihr eigenes Sicherheitskonzept hat. Mit einem Cloud-HSM können Unternehmen diese Schwierigkeiten überwinden und für durchgängigen Datenschutz unabhängig vom Public Cloud Provider sorgen. Das ebnet den Weg für eine sichere Multi-Cloud-Umgebung.

Malte Pollmann, CEO der Utimaco GmbH

Wo sich EU- und US-Recht widersprechen – Die Cloud muss Grenzen kennen

Seit Mai 2018 gibt es einen Konflikt zwischen der Europäischen DSGVO und dem US-amerikanischen CLOUD Act. Was hinter der Regelung steckt und wie Mittelständler dem Konflikt aus dem Weg gehen können. Seit dem Frühjahr befinden sich das US-amerikanische und das europäische Datenschutzrecht auf Kollisionskurs. Viele mittelständische Unternehmen in Deutschland sollten sich der weitreichenden Auswirkungen bewusst sein, wenn sie über Softwarelösungen und Dienste aus der Cloud nachdenken. Seit März dieses Jahres steht der Begriff CLOUD als Abkürzung für »Clarifying Lawful Overseas Use of Data«, also die Klärung der gesetzmäßigen Verwendung ausländischer Daten. Das zugehörige US-Gesetz trägt den Titel CLOUD Act und steht aufgrund seiner Natur in Widerspruch zu europäischen Datenschutz- und Sicherheitsbestimmungen: Unternehmen, die ihren Firmensitz in den USA haben, sind nun nicht mehr nur im Rahmen des sogenannten Patriot Act zur Kooperation mit den Ermittlungsbehörden ihres Landes verpflichtet. Sie sind es auch dann, wenn sie Nutzungs- und Kundendaten auf Servern außerhalb der Vereinigten Staaten verarbeiten und selbst wenn sie eigene Rechenzentren in Deutschland oder im sonstigen Geltungsbereich europäischer Gesetze wie der DSGVO (Datenschutzgrundverordnung) unterhalten. Mit Inkrafttreten des CLOUD Act ist nun auch der Schlusspunkt unter ein Gerichtsverfahren gesetzt, das Microsoft jahrelang durch alle Instanzen verfolgt hatte: Das Unternehmen hatte sich gegen die Herausgabe von Daten auf ihren Servern in Irland gewehrt und bis zum obersten amerikanischen Gerichtshof geklagt. Angesichts der neuen gesetzlichen Bestimmungen sieht der Supreme Court jetzt jedoch keine Veranlassung mehr, sein ursprünglich für den Sommer angekündigtes Urteil zu fällen. Zugriff vs. Schutzanspruch Die spannende Frage für amerikanische Technologie-, Internet- und Cloud-Unternehmen ist, ob und in wieweit der CLOUD Act sie bei ihrem internationalen Geschäft beeinträchtigen kann. Transkontinentale Konflikte beim Datenschutz und der Konformität mit den Bestimmungen der europäischen Datenschutzgrundverordnung (DSGVO) scheinen kaum vermeidbar zu sein. Das gilt vor allem für den in der EU gültigen Anspruch auf Auskunft zum Umgang und zur Weiterverwendung personenbezogener Daten: Der CLOUD Act untersagt, Betroffene über Datenweitergaben zu informieren, die DSGVO hingegen beinhaltet die Auskunftspflicht. Nicht nur deshalb bezweifeln Juristen und Datenschützer auf beiden Seiten des Atlantiks, dass die aktuellen Rechtsgrundlagen für eine Umsetzung des US-Gesetzes auf europäischem Boden ausreichend sind. Laut DSGVO darf eine Offenlegung und Weitergabe von Nutzer- und Kundeninformationen an Behörden in »Drittländern« (also Staaten außerhalb der EU) nur dann erfolgen, wenn offizielle Rechtshilfeabkommen und verbindliche Übereinkunft mit dem jeweiligen Drittland bestehen. Als besonders kritisch in diesem Zusammenhang gilt daher die Abwesenheit gerichtlicher Kontrolle, die der CLOUD Act vorsieht. Demnach brauchen US-Behörden keine richterlichen Durchsuchungsbeschlüsse mehr und können ein langes Stück der aktuellen internationalen Rechtswege umgehen. Compliance als Konfliktfeld Für amerikanische Technik- und Internetkonzerne sind die neuen Bestimmungen ein zweischneidiges Schwert: Wenn sie US-Behörden Daten aushändigen, die auf ihren Servern in Europa gespeichert sind, könnte dies im Geltungsbereich der DVGSO als massiver Rechtsverstoß (etwa gegen Art. 48) betrachtet werden. Dieser Aspekt schmälert die Freude, mit der Unternehmen wie Amazon, Apple, Facebook, Google und selbst Microsoft den CLOUD Act im Frühjahr noch als vernünftige und zeitgemäße Leitlinie für den internationalen Datenaustausch begrüßt hatten. Vom US-Gesetz quasi verlangte Verstöße gegen die DSVGO und deren Ahndung mit Bußgeldern, die bis zu vier Prozent des –weltweiten—Jahresumsatzes oder 20 Millionen Euro betragen können, sind jedoch nur eine Seite der Medaille. Die andere heißt Kundenvertrauen. Digitalisierung braucht Vertrauen Für Unternehmen, die ihre Digitalisierung vorantreiben und sich bei der Nutzung von Public Clouds um die Vertraulichkeit sensibler Geschäftsinformationen ebenso sorgen wie um ihre Kundendaten und Gesetzeskonformität, gewinnt eine Frage an Bedeutung: Wo befindet sich der Firmensitz der Anbieter, dessen Lösungen und Cloud-Ressourcen wir nutzen? Der Grund: Anders als amerikanische Konzerne können regionale Anbieter nicht in die schwierige Lage kommen, Daten von europäischen Servern zwangsweise an US-Behörden weitergeben zu müssen. »Als deutsches Unternehmen unterliegen wir europäischem Recht und sorgen mit umfassenden Know-how für die Sicherheit der Anwendungen und Daten unserer Kunden«, berichtet Michael Padberg, Geschäftsführer der Professionals Telecom (www.PTC.de). Das Unternehmen aus Wörthsee bietet mittelständischen und Großunternehmen ganzheitliche Voice-, Video- und Web-Kommunikationsinfrastrukturen. Die Sicherheit der Daten ist bei den Gesprächen, die Michael Padberg mit seinen Kunden führt, ein wesentliches Thema. Er weist darauf hin, dass Unternehmen nicht notwendig darauf verzichten müssen, Technologie amerikanischer Anbieter zu nutzen: »Zu unseren Leistungen gehört selbstverständlich auch, dass wir die von Kunden genutzten Lösungen amerikanischer Hersteller quasi treuhänderisch betreuen und gegen unberechtigte Zugriffe schützen.« Allerdings bemerkt Padberg bei seinen Kunden auch einen klaren Trend hin zu Private-Cloud-Lösungen. Fazit Noch ist nicht abzusehen, ob und wie schnell neue bi-laterale Abkommen zum Datenzugriff- und Datenaustausch ausreichende Rechtssicherheit zwischen der EU und den USA schaffen werden. Entscheider in Unternehmen könnten es daher sinnvoller finden, sich von den Business-Plattformen amerikanischer Firmen zurückzuziehen beziehungsweise sich stattdessen von vorn herein regionalen Anbietern zuzuwenden – also Unternehmen mit Hauptsitz innerhalb der EU, die alle ihnen anvertrauten Daten und Anwendungen nach hiesigen Bestimmungen verwalten, speichern und sichern.

US-Cloud Act vs. EU-DSGVO – Steht unser Datenschutz auf dem Spiel?