Keine Bange, hier kommt nun keine Werbung, nur eine Warnung. Jüngst stolperte ich wieder über einen Artikel – diesmal in der Channelpartner – in dem die wunderbaren Dienstleistungen von „Cloud“-Anbietern aus den USA gepriesen werden. Auch geht hier zum Beispiel Amazon voll auf einen Aspekt in Sachen Datensicherheit ein:
Amazon weiß indes ganz genau, dass der Erfolg im B2B-Geschäft mit der Sicherheit der Daten steht und fällt. AWS-Chef-Vordenker Werner Vogels betonte in seiner Eröffnungsrede mehrfach und ausführlich, wie wichtig es der Company ist, dass Kundendaten vor fremden Zugriffen geschützt sind. Dazu hat der Betreiber in den AWS-Diensten mehrere Security-Schranken etwa zur Verschlüsselung eingebaut. Die Betonung der Datensicherheit zielte eindeutig auf die Befindlichkeiten der deutschen Anwender, die durch die Snowden-Enthüllungen in ihrer Skepsis bestätigt wurde. „Wir waren nie Teil von PRISM“, versuchte Vogels das deutsche Publikum zu beruhigen.
Problematisch ist nur: Selbst ohne NSA und Prism, sind deutsche Daten bei Amazon & Co nicht sicher. Schon vor 3 Jahren konnte man auf ZDNET lesen, dass nicht nur die NSA – ohne richterlichen Beschluss – Zugriff auf jegliche Daten erlangen kann:
At the Office 365 launch, Microsoft U.K.’s managing director Gordon Frazer, gave the first admission that cloud data, regardless of where it is in the world, is not protected against the Patriot Act Act.
Für deutsche Unternehmen heißt dies: Finger weg von Datenservices von US-Unternehmen. Es ist egal, ob der Server in Deutschland, Irland oder Kalifornien steht. US-Behörden haben über die US-Mutter immer Zugriff auf die Daten. Dabei muss man nicht einmal an das Bundesdatenschutzgesetz denken. Noch bedenklich sollte für Unternehmen die Möglichkeit der Wirtschaftsspionage sein. Denn gerade im Bereich Mittelstand gibt es sicher viele schützenswerte kleine Schmankerl der Ingenieurkunst. Aber auch auf internationalem Märkten agierende Firmen sollten sich in Acht nehmen, denn nur zu schnell ist nach einem kurzen Blick auf das Angebot eine etwas günstigeres Wettbewerbsangebot eines US-Unternehmens vorgelegt..
Interessant ist die Frage, wie es um deutsche Unternehmen steht, die eine US-Niederlassung haben. Ich würde z.B. zu gern erfahren, wie die T-Mobile USA sich verhält, wenn dort US-Behörden versuchen Zugang zu Daten auf deutschen Servern zu erzwingen. Sind Daten auf deutschen Telekom-Servern dann wirklich noch vor dem Zugriff sicher?
Was also sollte man beachten, wenn man Daten wirklich vor dem Zugriff vor US-Behörden verarbeiten möchte?
- Keine Daten bei US-Unternehmen hosten (auch wenn der Server in Wuppertal steht)
- Sicherheitshalber auch sehr genau überdenken, ob man seine Daten bei deutschen Firmen mit US-Töchtern verarbeiten lässt.
Immer dran denken: Wenn die Daten erstmal draußen sind, bekommt man sie nie wieder rein. Und auf die deutsche Politik kann man sich leider nicht verlassen.
Hier wird ein heikler Punkt angesprochen, der leider immer noch von kleinen Unternehmen oder auch gestandenen Mittelständlern sehr unterschätzt wird. So war ich beim Besuch einer Veranstaltungsreihe zum Thema IT und Innovatiosnfreude sehr überrascht , wie wenig Beachtung der Punkt Datensicherheit unter Spionageabwehrgesichtspunkten unter den Entscheidern eingenommen hat. Da ist noch reichlich Aufklärungsarbeit notwendig, damit das Kleingedruckte Beachtung findet und nicht mehr der Preis bei Wahl eines Cloud Services ausschlaggebend ist.