Überwachung der Cloud

Heimische Wolken bieten wenig Schutz

07.08.2013

Von

Christoph Lixenfeld, seit 25 Jahren Journalist und Autor, vorher hat er Publizistik, Romanistik, Politikwissenschaft und Geschichte studiert.

1994 gründete er mit drei Kollegen das Journalistenbüro druckreif in Hamburg, schrieb seitdem für die Süddeutsche Zeitung, den Spiegel, Focus, den Tagesspiegel, das Handelsblatt, die Wirtschaftswoche und viele andere.

Außerdem macht er Hörfunk, vor allem für DeutschlandRadio, und produziert TV-Beiträge, zum Beispiel für die ARD-Magazine Panorama und PlusMinus.

Inhaltlich geht es in seiner Arbeit häufig um die Themen Wirtschaft und IT, aber nicht nur. So beschäftigt er sich seit mehr als 15 Jahren auch mit unseren Sozialsystemen. 2008 erschien im Econ-Verlag sein Buch "Niemand muss ins Heim".

Christoph Lixenfeld schreibt aber nicht nur, sondern er setzt auch journalistische Produkte ganzheitlich um. Im Rahmen einer Kooperation zwischen Süddeutscher Zeitung und Computerwoche produzierte er so komplette Zeitungsbeilagen zu den Themen Internet und Web Economy inklusive Konzept, Themenplan, Autorenbriefing und Redaktion.

Alle Posts des Autors Email: Connect:

Eingriffe gibt es überall

Wo die Daten phyisch gelagert sind, spielt nach Ansicht vieler Experten für die Sicherheit keine so große Rolle.
Foto: SAP AG

Überaus erhellend ist in diesem Zusammenhang eine Untersuchung, die die Amerikanisch-Britische Wirtschaftskanzlei Hogan Lovells bereits im Mai 2012 vorstellte, also etwa ein Jahr vor dem Auffliegen der PRISM-Affäre. Der Titel: "Eine globale Realität: Regierungsamtlicher Zugriff auf Daten in der Cloud." Die Anwälte untersuchten rechtliche Rahmenbedingungen und Realitäten in zehn Ländern, unter ihnen die USA, Deutschland und Frankreich. Natürlich fanden sich dabei diverse Unterschiede, darüber hinaus vermittelt die Untersuchung aber eine recht einheitliche Botschaft, die an Klarheit wenig zu Wünschen übrig lässt.

Zitat: "Es gibt sehr viele falsche Vorstellungen darüber, was Gesetze im eigenen Land und in anderen Ländern erlauben. Diese Missverständnisse schüren das Gerücht, der Zugriff von Behörden auf Daten in der Cloud sei in einigen Ländern grundsätzlich wahrscheinlicher als in anderen, und Firmen könnten sich davor schützen, indem sie Service Provider nutzen, die nur in sogenannten sicheren Ländern operieren....Nach unseren Erkenntnissen ist das aber nicht möglich. Die Frage, ob staatliche Stellen auf Daten zugreifen können, hängt nicht direkt davon ab, in welchem Land der betreffende Serviceprovider beziehungsweise seine Infrastruktur zu Hause sind. Die Fähigkeit von Regierungen, auf Cloud-Daten zuzugreifen, überwindet Grenzen. Es gibt keinen Grund, anzunehmen, dass die Regierung der USA mehr Zugriff auf solche Daten hat als die Regierungen anderer Länder."

Unter diese Länder fällt auch Deutschland, mit dessen Situation sich die Hogan Lovells-Autoren intensiv beschäftigt haben. Prinzipiell gibt es auch in Deutschland mehrere Wege, auf denen Behörden Einblick in Cloud-Dateien nehmen können. Der erste ist der des Audits, also zur Kontrolle der Einhaltung der Datenschutzbestimmungen. Zweitens können staatliche Stellen Metadaten anfordern, also Telefonnummern, Adressen und Geburtsdaten, mit der Begründung, diese Infors seien Notwendig, um Verbrechen aufzuklären oder generell Gefahren für die öffentliche Sicherheit abzuwehren.

Es geht auch ohne richterliche Anordnung

Eine Mitteilung an die Betroffenen ist zwar theoretisch vorgesehen, kann aber aus verschiedenen Gründen unterbleiben, einer davon ist die Gefahr eines terroristischen Angriffs. Insgesamt verschafft das sogenannte G 10-Gesetz von 1968, das die Verletzung des Post- und Fernmelde- beziehungsweise Telekommunikationsgeheimnisses durch staatliche Stellen in besonderen Fällen erlaubt, den Behörden große Zugriffsmöglichkeiten auf Datenbestände, die in Deutschland gelagert sind. Eine richterliche Anordnung ist dazu nicht unbedingt notwendig.

Dass es Vereinbarungen über die Zusammenarbeit zwischen dem Bundesnachrichtendienst und amerikanischen Geheimdiensten gibt, hat die Bundesregierung mittlerweile offiziell bestätigt. Details sind geheim....Wenn aber deutsche Stellen ohne Kenntnis der Unternehmen, um deren Daten es geht, Einblick nehmen können, und andere deutsche Stellen mit US-Geheimdiensten kooperieren, dann folgt daraus, dass auch in Deutschland in der Cloud gelagerte Daten nicht völlig sicher sein können vor dem Zugriff von wem auch immer.

Priorisieren und verschlüsseln

Microsoft - hier der Campus in Redmond - steht im Verdacht, besonders intensiv mit Geheimdiensten zu kooperieren.
Foto: Microsoft

Stellt sich die Frage, ob sich Firmen in Deutschland gar nicht vor dem Datenklau schützen können? Sie können zumindest die Risiken senken, und zwar mit einer abgestuften Vorgehensweise. Erstens sollten sie, analog zu Backup- and Recovery, Daten priorisieren. Jedes Unternehmen arbeitet mit vielen Informationen, bei denen es unkritisch ist, wenn Dritte mitlesen und die deshalb auch gefahrlos in die Cloud verlagert werden können.

Zweitens ist es sinnvoll, potentiellen Spionen das Leben so schwer wie möglich zu machen, zum Beispiel indem übermittelte Daten verschlüsselt werden. Drittens schließlich ist es (vermutlich) sinnvoll, als Cloud Provider nicht ausgerechnet Größen wie Amazon, Google oder Microsoft zu wählen. 100-Prozentige Sicherheit bietet das zwar aus den genannten Gründen nicht, aber es erschwert amerikanischen Schnüfflern die Arbeit. Denn die Großen werden von der US-Regierung offensichtlich als erstes dazu genötigt, grundsätzliche Vereinbarungen über die Weitergabe von Daten einzugehen und sich von diesen Partner sogar technisch beim Ausspähen unterstützen zu lassen. Das zeigt die offenbar recht weitreichende Zusammenarbeit von Microsoft mit den US-Geheimdiensten.

Und wie lautete doch die Begründung des Unternehmens für die Unterstützung? Man kooperiere mit den Behörden nur in den Fällen, in denen das gesetzlich vorgeschrieben sei. Wen das beruhigt, der hat nichts begriffen.

Aktuelle IDG-Studien

An der Cloud Readiness und Bereitschaft zum Wandel der Unternehmen hierzulande gibt es keine Zweifel mehr. Die Transformation ist in vollem Gange.

Mehr zur Studie erfahren
Der Schutz vor Ransomware hat hohe Priorität, doch die ergriffenen Maßnahmen greifen zu kurz. Alles dazu in unserer Studie.

Mehr zur Studie erfahren
Das Gros der ERP-Anwender setzt mittlerweile auf SAP S/4HANA, um digital zu transformieren und Wettbewerbsvorteile zu erschließen. Mehr in der Studie.

Mehr zur Studie erfahren
Seit der Einführung von ChatGPT beherrscht kein anderes IT-Thema so die Schlagzeilen wie (generative) künstliche Intelligenz. Wir schauen auf Einsatzszenarien, Hintergründe und Folgen.

Mehr zur Studie erfahren
Der Einsatz von No-/Low-Code boomt. Lange dauert es wohl nicht mehr, bis Software-Entwicklung und Prozessmodellierung via grafischer UI das klassische Coding überholen. Mehr in der Studie.

Mehr zur Studie erfahren
Unternehmen rüsten auf: Je komplexer die Gefährdungslage, desto stärker der Bedarf an Security Services. Dazu alles zu Cyberattacken und Gegenmaßnahmen.

Mehr zur Studie erfahren
Hybrid Work: Wer als Arbeitgeber für die jungen Generationen interessant und attraktiv sein will, darf nicht auf eine moderne IT-Infrastruktur und -Arbeitsumgebung verzichten. Mehr in der Studie.

Mehr zur Studie erfahren
Das datengesteurte Unternehmen - Realität oder Hirngespinst? Erst wenige Firmen schaffen es, mithilfe von Daten-Insights neue Geschäftsmodelle auf die Beine zu stellen. Mehr in der Studie.

Mehr zur Studie erfahren
Für knapp neun von zehn Unternehmen kommt künftig eine Migration in die Cloud ohne strategischen Ansatz nicht infrage. Trends und Zahlen rund ums Thema in unserer Studie.

Mehr zur Studie erfahren
Unternehmen wollen energieeffizienter und nachhaltiger werden. Dazu müssen sie aber noch ihre IT-Strategien anpassen und die notwendige Datenbasis schaffen. Mehr dazu in der Studie.

Mehr zur Studie erfahren