Cloud Computing


NSA-Skandal

Deutsche Cloud-Anbieter punkten mit Datenschutz

07.03.2014
Von Ulrich Hottelet

Deutschland: Nachfrage steigt

Gesicherte Zahlen, inwieweit deutsche Cloud-Anbieter profitieren, gibt es indes nicht. In der Bitkom-Umfrage nannten die Unternehmen aber den Sitz der Rechenzentren und des Hauptsitzes des Anbieters in der EU als Top-Präferenzen bei ihrer Auswahl. T-Systems, einer der größten Anbieter in Deutschland, kann das bestätigen: "Wir stellen fest, dass seit Bekanntwerden der Ausspähaffäre die Nachfrage nach der ‚Cloud made in Germany‘ deutlich gestiegen ist. Unternehmenskunden sind sensibilisiert dafür, dass es nicht egal ist, wo ihre Daten in der Cloud gespeichert und verarbeitet werden. Es hat sich herumgesprochen, dass wir in Deutschland besonders strengen Richtlinien unterliegen in Sachen DatenschutzDatenschutz und Datensicherheit", teilte das Unternehmen mit. Ex-Telekom-Chef René Obermann forderte als Reaktion auf die Affäre, die Europäer müssten über eine "Schengen-Cloud" nachdenken. Alles zu Datenschutz auf CIO.de

Kritisch beurteilt Benedikt Heintel, Berater für IT-Sicherheit bei Altran, dennoch die Initiative "Cloud Services made in Germany" mehrerer Betreiber: "Sie hat für mich nur geringe Bedeutung, da die Unternehmen sich zwar verpflichten, ihren Hauptsitz in Deutschland zu haben und ausschließlich nach deutschem Recht zu agieren, andererseits aber nicht klar ist, welche Sicherheitsstandards sie einhalten. Wichtiger wäre, dass sich die Anbieter auditieren lassen und Standards wie beispielsweise die internationale IT-Sicherheitsnorm ISO 27001 erfüllen."

IT-Consultant Benedikt Heintel hält nicht besonders viel von der Initiative "Cloud Services made in Germany".
IT-Consultant Benedikt Heintel hält nicht besonders viel von der Initiative "Cloud Services made in Germany".
Foto: Altran

Vorsicht auch bei "Made in Germany"

Eine weitere Krux liegt darin, dass auch deutsche Anbieter nicht immer vor NSA und GCHQ sicher sind. Denn wenn sie in den USA Niederlassungen führen, unterliegen diese dem US-Recht. "Die NSA kann dann auch die Herausgabe von Daten fordern, wenn sie in Deutschland liegen. Das ist eine Zwickmühle für deutsche Anbieter, denn sie verstoßen in dem Fall entweder gegen deutsches oder amerikanisches Recht", erklärt Oliver Dehning, Geschäftsführer von Antispameurope, einem Anbieter von Sicherheitsdiensten aus der Cloud.

Auch das Gütezeichen "Made in Germany" ist nicht immer eindeutig. "Kunden sollten sich die ganze Lieferkette ansehen. Auch wenn der Software-Anbieter aus Deutschland kommt, hat er möglicherweise ausländische Partner. Ob das der Betreiber des Cloud-Data Centers ist, der Co-Locator, der die Rechenzentrums-Infrastruktur zur Verfügung stellt, oder der Internet Service Provider, der den Netzanschluss herstellt", so Bernd Becker, Vorstandssprecher von Eurocloud Deutschland und Präsident von Eurocloud Europa. Abgesehen vom Herkunftsland sollten Cloud-Interessenten auf Gütesiegel und Zertifizierung des Anbieters sowie die Einhaltung der Standards der ISO 27000-Reihe achten. Am wichtigsten ist die Ende-zu-Ende-Verschlüsselung, idealerweise schon bevor die Daten in die Cloud wandern und auch nach ihrem Abruf aus der Wolke.

Bernd Becker von Eurocloud empfiehlt Anwendern, sich auch bei deutschen Cloud-Service-Providern immer die komplette Lieferkette anzuschauen.
Bernd Becker von Eurocloud empfiehlt Anwendern, sich auch bei deutschen Cloud-Service-Providern immer die komplette Lieferkette anzuschauen.
Foto: Eurocloud

Forderungen an die Politik

Als politische Konsequenzen des NSA-Skandals fordert der Bitkom ein "No-spy-Abkommen" mit den USA und innerhalb der EU, international einheitliche Standards für die Herausgabe von Kundendaten an Behörden zur Bekämpfung schwerer Kriminalität, die Neuverhandlung des Safe-Harbor-Abkommens und den besseren Schutz vor Wirtschaftsspionage. Sehr kritisch bewertet auch Teletrust-Chef Mühlbauer die politische Reaktion Berlins auf die vielfältigen Ausspähaktionen der NSA und des britischen GCHQ: "Die Branche ist enttäuscht von der Untätigkeit der Bundesregierung." (sh)

Checkliste: Der richtige Cloud-Anbieter

  • In welchen Rechenzentren in welchem Land werden die Daten gespeichert?

  • Wird eine Ende-zu-Ende-Verschlüsselung der Daten unterstützt? Wie gut ist die Schlüsselstärke?

  • Ist die Authentifizierung stark?

  • Werden Verträge nach deutschem Recht angeboten?

  • Schließen Sie einen Vertrag mit klarem Service-Level Agreement (SLA) ab mit einer Vereinbarung zur Auftragsdatenverarbeitung gemäß dem Bundesdatenschutzgesetz!

  • Sind die Leistungsangaben im SLA klar und leicht auffindbar, beispielsweise hinsichtlich der Verfügbarkeit der Services?

  • Wird die Einhaltung von Datenschutzbestimmungen unabhängig mit Prüfzertifikat kontrolliert?

Quelle: Teletrust

Zur Startseite