Virtual Security: Neue Konzepte für virtuelle Welten

12. März 2013

Virtual Security: Neue Konzepte für virtuelle Welten Cloud Computing: legaler Zugriff auf geheime Daten. US-Behörden können sich völlig legal Zugriff auf Daten europäischer Nutzer verschaffen,warnt die vom EU-Parlament beauftragte Studie «Fighting Cyber Crime and Protecting Privacy in the Cloud» Ende 2012. Wie kommt es dazu?

Dynamische Skalierbarkeit, hohe Verfügbarkeit und geringere Kosten gegenüber dem klassischen IT-Betrieb sind die Treiber des Cloud-Computing-Ansatzes.

Diese Schlagworte sind nicht so einfach zu negieren, denn viele Entscheidungsträger kennen die Vorzüge von Cloud-Diensten aus eigener Erfahrung im privaten Bereich, zum Beispiel den Upload von Dateien auf Dropbox oder die Nutzung der Dienste von Google.

Genauso wie für EU-Firmen hat die Sache aber auch für CH-Firmen einen Haken: Sobald die Daten den Weg in die Cloud gefunden haben, verlieren die Unternehmen die Kontrolle über deren Speicherort.

Gesetzlicher Rahmen
Welche Auswirkungen dieser Umstand in der Unternehmenspraxis tatsächlich hat, ist nicht auf den ersten Blick ersichtlich. Das Schweizerische Datenschutzgesetz (DSG) besagt vereinfacht, dass insbesondere Personendaten nicht im Ausland bekannt gemacht  werden dürfen, wenn dadurch die Persönlichkeit der betroffenen Person schwerwiegend gefährdet würde - namentlich, weil im Empfängerland eine Gesetzgebung fehlt, die einen angemessenen Schutz gewährleistet.

Massgeblich für das geltende Datenschutzrecht, insbesondere im Hinblick auf juristische Zugriffsund Auswertungsbefugnisse, ist der Sitz des Cloud-Anbieters. Aufgrund besonderer nationaler Gesetze können Behörden und staatliche Institutionen Zugriff auf Daten erlangen, obwohl dieser durch die vertraglichen Vereinbarungen zwischen Cloud-Nutzer und Cloud-Anbieter eigentlich ausgeschlossen sein sollte. Ein Beispiel für ein solches nationales Gesetz ist der in der EU-Studie u.a. genannte US-amerikanische «Patriot Act». Das Gesetz erlaubt staatlichen US-Behörden nicht nur, auf Cloud-Daten zuzugreifen, die in den USA gespeichert und/oder verarbeitet werden, sondern auch auf Daten, die ausschliesslich auf europäischen Datenspeichern liegen. Voraussetzung hierfür ist, dass der Cloud-Anbieter seinen Sitz in den USA hat. Dies gilt auch für rechtlich eigenständige Tochterunternehmen, die selbst keine Niederlassung in den USA haben.

Neben allen eventuellen technischen und betriebswirtschaftlichen Vorzügen der Nutzung von Cloud-Diensten darf daher eine Frage nicht vergessen werden: Wo und von wem werden Ihre Daten gespeichert?

Alles zum Thema Cloud
Ist diese Frage erst einmal beantwortet, gilt es noch, viele weitere technische Aspekte vor der Nutzung von Cloud-Dienstleistungen abzuwägen. Mehr zu diesen spannenden Themen erfahren Sie an der Tagung des ICMF/ITS sowie im Whitepaper «Cloud Security» der In&Out AG: www.inout.ch/new

Dieser Beitrag von Martin Zwyssig, Vorstandsmitglied ICMF/ITS und CEO In&Out AG erschien in der Fachzeitschrift COMPUTERWORLD vom 8. März 2013.