Datensicherheit vs. Cloud: Bei Risiken und Nebenwirkungen fragen Sie…

Die Enthüllungen von Edward Snowden über die „Arbeitsweise“ des US-Geheimdienstes (und andere in- sowie ausländische Geheimdienste) ruft allgemein große Empörung hervor. Denn die Vorstellung, dass der US-Geheimdienst den Datentransfer aus sozialen Netzwerken, E-Mails oder Chatforen abschöpft, rückt die Diskussionen über den Datenschutz in ein ganz neues Licht.

Nicht nur Bürger sollen in ihrer Privatsphäre ausspioniert worden sein, auch große Teile der privaten Wirtschaft sollen von der Datenschnüffelei betroffen sein. Um Terrorabwehr allein geht es hier nicht mehr, sondern vielmehr um konkrete Wirtschaftsspionage. Und so beginnt sich durch diesen Fall in Unternehmenskreisen eine Bewegung zu bilden, die berechtigterweise die aktuellen Maßnahmen des Datenschutzes kritisch hinterfragt und anzweifelt.

In den letzten Jahren war Cloud Computing das Trendthema schlechthin. Unternehmen, die sich mit IT beschäftigen, kamen an diesem Begriff kaum vorbei. Mit Cloud Computing wird der Ansatz definiert, Teile der IT-Infrastruktur (beispielsweise Speicherkapazität, Rechenleistung oder Software-Anwendungen) dynamisch zur Verfügung zu stellen. Aus Nutzersicht erscheint die zu Verfügung gestellte IT fern und nicht einsehbar, wie in einer Wolke verhüllt. Als einer der Schwachpunkte dieses IT-Konzeptes wurden, schon lange vor der Aufdeckung des ehemaligen Mitarbeiters des amerikanischen Geheimdienstes Edward Snowden, stichhaltige Bedenken an der Vereinbarkeit von Cloud Computing und Datenschutz angeführt. Nach den gegenwärtigen Enthüllungen sind jedoch die Gegenstimmen wesentlich lauter geworden.

Gegen jede Regel

Mit besonderer Sorge sehen sich Unternehmen mit der Tatsache konfrontiert, dass im Auftrag eines demokratischen Rechtsstaates Datenspionage in dieser Größenordnung betrieben wird. Die hiesigen gesetzlichen Grundregeln des Datenschutzes und der -sicherheit, wie das deutsche Bundesdatenschutzgesetz und die EU-Datenschutzverordnung, sind nach neuesten Erkenntnissen komplett übergangen und missachtet worden. Beängstigend kommt hinzu, dass die weltweit größten Internetfirmen wie Google, Yahoo, Facebook und Microsoft einiges – in welcher Art und Weise ist noch nicht detailliert bekannt – dafür tun, dass der US-Geheimdienst an all diese Daten überhaupt gelangen kann. Folglich scheint es für Unternehmen an der Zeit zu sein, sich mit dieser harten Realität beschäftigen zu müssen und mögliche IT-Strategien des Datenschutzes sachlich und neu zu prüfen.

„Der Datenschutz und das Bewusstsein für Datensicherheit in Deutschland sind problematisch“, mahnt BITMi-Präsident Dr. Grün an. Damit thematisiert der Präsident des Bundesverbandes IT-Mittelstand e.V. einen Aspekt, der in der näheren Zukunft ganz weit oben auf der To-do-Liste von Unternehmen stehen sollte: der eigenverantwortliche und bewusste Umgang mit den Unternehmensdaten. Jedes Unternehmen hinterlässt im Internet Datenspuren, die z.B. durch Nutzung sozialer Netzwerke, E-Mails und vor allem Datenauslagerung in die Cloud entstehen. Zur Wirtschaftsspionage stellen solche Datenspuren übliche Angriffsquellen dar. Deswegen sollte jedes Unternehmen exakt unter die Lupe nehmen, mit welchen Firmeninformationen sie im Internet agieren und mit welchen besser nicht.

Cloud Computing: Daten in luftigen Weiten

Grundsätzlich muss zwischen zwei Cloud-Konzepten unterschieden werden: die Private Cloud und die Public Cloud. Auf die großen Cloud-Anbieter wie GMX, Google oder Amazon trifft die Beschreibung einer Public Cloud zu. Diese kann Kostenvorteile bringen, die durch Skaleneffekte entstehen – d.h. die ausgelagerten Teile der IT-Infrastruktur werden mehr als nur einem User angeboten. Ein weiterer Vorteil der Public Cloud ist, dass die IT nicht mehr beim Kunden direkt betrieben werden muss. Somit wird administrativer und physikalischer Aufwand eingespart. Der Nachteil daran ist, dass die Daten nicht mehr in physischer Greifbarkeit sind. Ein Schwachpunkt, der durch die aktuellen Enthüllungen über Datenspionage, eine besondere Gewichtung erhält. Denn die maximale Einflussnahme auf die Daten und die Hardware, die die Unternehmensdaten enthalten, ist durch eine Public Cloud nicht gegeben. Zudem stellt die große Ansammlung von Datenmengen in diesem Cloud-Konzept für Datenschnüffler ein interessantes Ziel dar, um schnellstmöglich an viele Informationen zu kommen und größtmöglichen Schaden anzurichten.

Die weitaus sichere Alternative ohne Grauzonen ist die Private Cloud. Die positiven Gesichtspunkte einer Public Cloud werden von der Private Cloud aufgegriffen und die negativen eliminiert. Mit einer Private Cloud wird ein Unternehmen selbst zum Betreiber eines Cloud-Dienstes für die eigenen Daten, weil die Daten exklusiv über ein firmeninternes System im Inland zur Verfügung gestellt werden. Funktionen, die normalerweise in einer Public Cloud große Serverfarmen leisten, werden in einer Private Cloud von einzelnen Geräten im Unternehmen übernommen. Dadurch wird ein erhöhtes Sicherheitslevel geschaffen und hundertprozentiger Datenzugriff ermöglicht. Im Vordergrund dieses IT-Konzeptes steht, dass sich sowohl Anbieter als auch Nutzer im selben Unternehmen befinden, wodurch sämtliche Probleme aus dem Bereich Datensicherheit mehr oder minder hinfällig werden.

Nicht nur aufgrund der Ausführungen Edward Snowdens, bleibt die Skepsis gegenüber dem technologischen Hype Cloud Computing angebracht und begründet. Die Entscheidung, wo und wie die eigenen unternehmensrelevanten Daten gespeichert und damit auch möglicherweise nach außen gelangen können, sollte sehr genau bedacht werden. Denn weder die Vogel-Strauß-Methode – Kopf in den Sand stecken und schauen was passiert – hilft dabei weiter, noch der Ansatz, dass eh jeder Datenhacker die eigenen Firmendaten abgreifen und man sowieso nichts dagegen unternehmen kann. Eine objektive Auseinandersetzung mit dem Thema Datensicherheit ist in diesem Fall die sinnvollste und erfolgversprechendste Lösung.

Quelle: netyard AG, Annabelle Althaus