Nebulose Datensicherheit in der Cloud

Arbeiten Sie auch mit Cloud-Diensten wie Dropbox , wo Sie Ihre Daten hochladen und von überall abrufen und bearbeiten oder Kollegen zugänglich machen können? Doch trotz Datenlecks und Geheimdienstaffären macht sich kaum jemand ernsthaft Sorgen darüber, was mit seinen Daten passieren könnte, wenn diese in der Cloud liegen.

Und zwar nicht nur im privaten Umfeld, sondern auch in vielen Unternehmen. Wer sollte sich schon für irgendeine PDF-Datei interessieren? Leider machen wir uns mit solchen Beruhigungsmantras etwas vor. Aber immerhin wächst langsam das Bewusstsein, dass sensible Daten keinesfalls über Server von US-Firmen laufen sollten, denn Datenschutz wird in den USA alles andere als großgeschrieben.

Bekannte Konzerne kooperieren häufig mit den Geheimdiensten, und selbst wenn sie das nicht aktiv tun, können sich die amerikanischen Behörden durch den Patriot Act leicht Zugang zu Daten verschaffen, auch wenn diese auf einem Server in Europa liegen, solange die Server von einer amerikanischen Firma oder einer europäischen Tochter eines US-Unternehmens verwaltet werden.

Da die meisten großen IT-Konzerne aus den USA kommen, wird vieles für den kritischen User tabu, darunter etwa die Cloud-Dienste Dropbox , Microsoft Azure und Amazon Drive Cloud , weiters die Angebote von Google wie Suchmaschine oder Kalender, Facebook, aber auch viele E-Mail-Dienste und Apps.

Die Lösung? Ein "Schengen für Daten", über das heuer bei den Wirtschaftsgesprächen in Alpbach diskutiert wird? Auf den privaten oder Unternehmeruser heruntergebrochen könnte man sagen: Wir vertrauen unsere Daten nur noch europäischen Unternehmen und Onlinediensten an, deren Server auf europäischem Boden liegen und die keinerlei Verflechtungen mit US-amerikanischen Firmen haben.

Helmut Fallmann, Fabasoft: "Unternehmen wollen die Gewissheit haben, wo ihre Daten sind und was damit passiert."Bild: © FORMAT Ian Ehm

Die Nachfrage nach solchen Alternativen nimmt zu. So bietet das österreichische Unternehmen Fabasoft jetzt einen eigenen Cloud-Dienst an. Die Kunden dürfen sogar aussuchen, in welchem der drei Datenzentren die eigenen Daten liegen sollen: in Österreich, konkret im T-Systems-Rechenzentrum, in Nürnberg oder in einem ehemaligen Kommandobunker der Schweizer Luftwaffe in Attinghausen. Fabasoft-Vorstandsmitglied Helmut Fallmann: "Wenn Sie wissen, Ihre Daten liegen auf der Krim, und die Krim wird annektiert, haben Sie Handlungsbedarf. Wenn Sie es aber nicht wissen, wissen Sie gar nicht, ob Sie Handlungsbedarf haben."

Zentrales Bedürfnis

Fallmann stellt ein Umdenken bei den Kunden fest: "Unternehmen wollen die Gewissheit haben, wo ihre Daten sind, mit wem sie zusammenarbeiten und was mit ihren Daten passiert." In Europa sei der Schutz der Daten in der Cloud ein zentrales Grundbedürfnis.

"Wir garantieren Datensicherheit, Zugriffssicherheit, Rechtssicherheit und zertifizierte Qualitätssicherheit nach europäischen Maßstäben", sagt Fallmann. Auf diese Weise will man sich bewusst vom amerikanischen und asiatischen Mitbewerb differenzieren. Die Nachfrage scheint groß zu sein. So zählen zu den Kunden der Fabasoft Cloud bisher etwa Spar, Austrian Airlines, Telekom Austria, Siemens und EADS.

Wichtig ist, dass der Zugriff nicht jedem erlaubt ist und Sicherheitsabstufungen vorgenommen werden. Als Standard wird bei der Fabasoft-Cloud eine Zwei-Faktor-Authentifizierung, zum Beispiel mit E-Mail-Adresse und Passwort, angeboten. Zusätzlich können zum Beispiel digitale Zertifikate vergeben und Firmen-Accounts auf Basis von Unternehmenszutrittskarten eingerichtet werden.

Sogar die Bürgerkarte kann für diese Zwecke verwendet werden. Es kann auch eingestellt werden, dass man bei jedem Anmeldevorgang ähnlich wie beim Onlinebanking eine SMS mit einem Code zugeschickt bekommt. Laut Fallmann beginnen die Unternehmen, Peers für die Daten zu bilden, also zu definieren, welche Daten wofür und für wen zugänglich sind, sodass zum Beispiel der Aufsichtsrat auf Infos zugreifen kann, die Mitarbeitern der Buchhaltung verwehrt bleiben.

Kontrollen ermöglichen

Ähnliche Alternativen aus Europa oder gar aus Österreich gibt es noch kaum. "Es gibt so gut wie keine Angebote in Europa, weil man sich um den Bereich sehr lange nicht gekümmert hat", sagt der Datenschutz- Experte Andreas Krisch. Lange Zeit habe man sich mit den amerikanischen Diensten zufrieden gegeben. Jetzt müsse die europäische Wirtschaft rasch Lösungen finden.

Für einen Schritt in die richtige Richtung hält Krisch die geplante neue Datenschutzgrundverordnung der EU, die heuer vom Europäischen Parlament abgesegnet wurde, jetzt noch im Rat diskutiert und voraussichtlich 2015 umgesetzt wird. Diese sieht strengere Strafen bei Verstößen und besseren Schutz der Privatsphäre vor.

Doch die eigentliche Herausforderung ist laut Krisch die Umsetzung in die Praxis, die es nur geben kann, wenn "ernstzunehmende Kontrollen" durchgeführt würden. Und da hat Österreich Nachholbedarf, denn der Datenschutzbehörde fehlt es an Ressourcen, wobei es laut Krisch nicht einmal um viel Geld gehe: Mit einer Million Euro wäre schon viel getan: "Wir brauchen eine deutliche Stärkung der Datenschutzbehörden, und es wird die eine oder andere Strafe für eine Signalwirkung brauchen." Außerdem müsste transparenter werden, was die Geheimdienstkontrollen tun.

Dass es bald mehr österreichische Alternativen geben wird, hält der Softwareentwickler und Verschlüsselungsexperte Pepi Zawodsky für unwahrscheinlich, weil die Rahmenbedingungen zum Gründen zwar gut seien, aber es Start-ups schwer gemacht werde, die ersten Jahre durchzuhalten. Hinzu komme, dass die Breitbandversorgung nicht gut genug sei.

Auch Zawodsky hält es prinzipiell für gut, einen österreichischen Anbieter zu wählen, weist aber auf die in der jetzigen Form sinnlose Datenschutzbehörde hin: "Diese Behörde ist eine Verarschung der Bevölkerung." Datenschutzvergehen, die bekannt würden, müsste man melden können. Zudem sei auch bei einem österreichischen Cloud-Anbieter schwer zu überprüfen, wo die Daten liegen. "Wo die Daten sind, muss ich dem Unternehmen glauben." Deshalb hält er es für Unternehmen am sichersten, eigene Server zu betreiben.

Am Ende geht es um Bequemlichkeit. Denn vieles, was einen hohen Grad an Sicherheit verspricht, ist noch mit großem Aufwand verbunden. Das zu vereinfachen, ist jetzt die Aufgabe der IT-Experten, und am besten im eigenen Land.