Warum Verschlüsselungstechnologien alleine keinen Datenschutz garantieren und was das alles mit der kaufmännischen Sorgfaltspflicht zu tun hat.
Die Gewährleistung eines umfassenden Schutzes für sensible Daten in der Cloud kann selbst mit modernster Verschlüsselungstechnik alleine nicht garantiert werden. Aus diesem Grund kommt der Cloud Lokation als physischem Ort der Datenspeicherung überragende Bedeutung zu. Dabei geht es natürlich nicht um die Abschottung von Daten innerhalb nationaler Grenzen, sondern vielmehr um die Gewissheit, wo das „Gold“ eines Unternehmens verwahrt ist.
Stellen Sie sich einfach folgendes Szenario vor: Der Automobilhersteller BMW entwickelt ein neues Fahrzeugkonzept und wendet für diese zukunftssichernde Innovationsleistung zig Millionen Euro auf. Würde der Weltkonzern im Zuge seines Forschungs- und Entwicklungsprozesses streng geheime Konstruktionsdaten nun einfach in die Wolke auslagern, ohne zu wissen wo der beauftragte Cloud-Provider diesen „Schatz“ einbunkert, bestünde ein hohes Risiko für die Sicherheit und Unversehrtheit dieser Daten. Wenn diese Daten aus Kostengründen nun z.B. in einem Rechenzentrum auf der Halbinsel Krim gelagert gewesen wären, wären sie jetzt wohl definitiv in russischer Hand!
Die Gewissheit der Kunden darüber, wo ihre Unternehmensdaten gelagert werden, bestimmt sich primär an der Wahlfreiheit der Benutzer eines neuen IT-Modells, die Cloud Lokation nach eigenen Security-Vorstellungen zu wählen und damit auch die für das Nutzungsszenario geeigneten Vertragsbedingungen in Anspruch nehmen zu können.
Freilich bedarf die Cloud Lokation auch flankierender technologischer Schutzmaßnahmen, um unautorisierte Zugriffe auf heikle Unternehmensdaten entlang der gesamten Infrastrukturkette des Cloud-Ecosystems zu verhindern: In der Wolke selbst, also auf den Servern des Providers, am Übertragungsweg und an den Eingangs-Gateways in die eigene Client-IT wie Routern, Switches und Modems. Hier sind hochleistungsfähige Verschlüsselungsverfahren, Firewalls oder Intrusion Detection Systeme gefordert.
Das aller Wichtigste in Fragen der Cloud Security ist jedoch, dass der Inhaber von kritischen und wichtigen Unternehmensdaten immer vollständige und alleinige Kontrolle über diese Assets hat. Der estnische Präsident Toomas Henrik Ilves hat sich dazu in seiner Funktion als Vorsitzender des Steering Boards der „European Cloud Partnership“ im Jänner 2014 wie folgt geäußert: „Die Auslagerung von Diensten und Bürgerdaten, für die unser Land eine vertrauensvolle Verantwortung übernommen hat, an Provider jenseits unserer Grenzen ist nicht gänzlich unmöglich. Entscheidend ist, dass die Daten in einem bestmöglich gesicherten Host lagern, der ohne die Erlaubnis des Dateninhabers für niemanden zugänglich ist und dafür auf Cloud Providerseite die erforderlichen technischen und rechtlichen Bedingungen implementiert sind.“
Das bei e-Identity-Konzepten Europa weit führende baltische Land hat gemeinsam mit Finnland ein grenzüberschreitendes Cloudprojekt für Mehrwertsteuer-Datenbanken etabliert. Seiner Meinung nach sollten alle Mitgliedsstaaten der Europäischen Union diesen Weg eines zusätzlichen Backups für wichtige Bürgerdaten jenseits der eigenen Grenzen einschlagen, weil nur durch diese Kooperationen wichtige Dienste und Daten katastrophenbeständig gesichert werden können.
Mit der Umsetzung einer gesamteuropäischen Cloud-Strategie, mit der harmonisierte technologische Standards, einheitliche Vertragsbedingungen und eine präkommerzielle Beschaffung und Validierung durch öffentliche Einrichtungen, also in Summe ein digitaler Binnenmarkt für Cloud Computing Wirklichkeit werden sollen, wird sich eine Überwindung von bislang hemmenden Protektionismen von alleine einstellen.
Bislang gänzlich unbeachtet blieb der Aspekt, dass auch die kaufmännische Sorgfaltspflicht eine sichere Cloud Lokation im Sinne eines geeigneten Risikomanagements verlangt.
So sehen die Bestimmungen des österreichischen Aktienrechts der §§ 81 ff sowie die Regel Nr. 9 des heimischen „Corporate Governance Kodex“ entsprechende Informationspflichten des Vorstandes gegenüber dem Aufsichtsrat vor, die auch eine Beurteilung der Risikolage und die Etablierung eines effizienten und effektiven Risikomanagements miteinschließen. Die Wahl der richtigen Cloud Lokation bei Auslagerung unternehmenskritischer Daten erfordert im Sinne dieser Bestimmungen von sorgfältigen Kaufleuten ein umfassendes „Risk Assessment“, mit dem alle Security-Auflagen für den Umgang mit vertraulichen Daten bewertet und eingelöst werden können.
Der europäische Markt für eigenständige Cloud-Lösungen wird sich daher an Gesamtsicherheitskonzepten orientieren. Dabei müssen für die Datenhaltung klare Richtlinien der Inhaberschaft gelten, Anbieter-neutrale Technologien zum Einsatz kommen, Übertragungsinfrastrukturen und Rechenzentren sicherheitstechnisch weiter aufgerüstet und harmonisierte Vertragsbedingungen geschaffen werden. Mit der Umsetzung der Vision eines digitalen Binnenmarktes werden auch die Chancen steigen, Europa bei der Produktion von Hard- und Software zurück auf die globale Marktbühne zu heben und den IKT-Standort Europa insgesamt zu stärken.
Dieser Beitrag wurde im April 2014 unter https://www.fabasoft.com/cloud/de-at/uce/heute-ukraine-morgen-russland-warum-verschluesselungstechnologien-alleine-keinen-datenschutz veröffentlicht.