Spionage im Cloud-Zeitalter
Es bestehen viele Unklarheiten und Mythen wenn es um das Thema Datenschutz, Datensicherheit und Spionage geht. Insbesondere im Zusammenhang mit der Cloud werden tragischerweise immer wieder Unwahrheiten verbreitet. Die Unsicherheit auf Seiten der Kunden wird von den Anbietern schamlos ausgenutzt, um mit Fehlinformationen ihr Marketing zu betreiben.
Nebelaktionen und Falschmeldungen
Titel wie “Oracle investiert wegen der Datensicherheit in Deutschland” sind nur ein Beispiel für Informationen die von den Medien entweder falsch verstanden oder fehlinterpretiert werden. Diejenigen die es besser wissen müssten – die Anbieter – helfen allerdings auch nicht dabei für Klarheit zu sorgen. Im Gegenteil, die Furcht und Sorge der Anwender wird gnadenlos ausgenutzt, um Geschäft zu machen. So begründet Oracle Deutschlandchef Jürgen Kunz die beiden neuen Rechenzentren in Deutschland damit: „In Deutschland ist Datensicherheit ein besonders sensibles Thema […]”. Die NSA-Karte lässt sich heutzutage leicht ausspielen, um zu zeigen, “[…] dass Oracle als US-Unternehmen dem deutschen Markt verbunden bleibt.”
Allerdings hat der Standort zunächst einmal nichts mit der Datensicherheit und dem NSA-Skandal zu tun. Ob ein Geheimdienst nun auf die Daten in einem Rechenzentrum in Deutschland, den USA, der Schweiz, Australien und so weiter zugreift, hat herzlich wenig mit dem Land zu tun. Hält sich der Anbieter an seine eigenen globalen Regelungen für die Rechenzentrumssicherheit auf physikalischer als auch virtueller Ebene, sollte ein Rechenzentrum, unabhängig von seinem Standort, überall dieselbe Sicherheit gewährleisten. Werden Daten in Deutschland gespeichert wird damit keine höhere Sicherheit garantiert. Denn ein Rechenzentrum in den USA, Großbritannien oder Spanien ist genau so sicher wie eines in Deutschland.
Die Krux, geht es um das Thema Sicherheit, werden leider immer wieder zwei Begriffe vermischt, die grundsätzlich unterschieden werden müssen: Die Datensicherheit und der Datenschutz.
Was ist Datensicherheit
Datensicherheit bedeutet die technischen und organisatorischen Maßnahmen umzusetzen, um Vertraulichkeit, Verfügbarkeit und Integrität der IT-Systeme sicherzustellen.
Public Cloud-Anbieter bieten weit mehr Sicherheit, als es sich ein deutsches mittelständisches Unternehmen leisten kann. Das hängt damit zusammen, dass Cloud-Anbieter gezielt in den Aufbau und die Wartung ihrer Cloud Infrastrukturen investieren und ebenfalls das dafür notwendige Personal beschäftigen und die entsprechenden organisatorischen Strukturen geschaffen haben. Hierzu werden jährlich Milliarden von US-Dollar in die Hand genommen. Es gibt nur wenige Unternehmen außerhalb der IT-Branche, die in ähnlicher Weise in IT-Sicherheit investieren können und wollen.
Was ist Datenschutz
Beim Datenschutz geht es um den Schutz der Persönlichkeitsrechte während der Datenverarbeitung und den Schutz der Privatsphäre.
Dieses Thema sorgt bei den meisten Unternehmen für die echten Kopfschmerzen. Denn beim Verstoß gegen das Bundesdatenschutzgesetz macht der Gesetzgeber kurzen Prozess. Es geht zunächst also darum, den Cloud-Anbieter für die Einhaltung der im §9 festgehaltenen Regeln im Bundesdatenschutzgesetz in die Verantwortung zu nehmen und dies selbst auf Basis von §11 zu überprüfen. Für die Erfüllung von §11 empfiehlt es sich auf die Gutachten von Wirtschaftsprüfern zurückzugreifen, da kein Anbieter jeden Kunden einzeln ein Audit durchführen lassen kann.
Der Datenschutz ist ein absolut wichtiges Thema, schließlich handelt es sich dabei um sensibles Datenmaterial. Es ist aber in erster Linie ein rechtliches Thema, was durch Maßnahmen der Datensicherheit gewährleistet werden muss.
Die NSA ist ein Vorwand. Spionage ist allgegenwärtig
Spioniert wird überall. Ja, sogar in Deutschland. Dabei sollte nicht vergessen werden, dass jedes Unternehmen einen potentiellen Edward Snowden in den eigenen Reihen sitzen hat. Noch fühlt sich der Mitarbeiter wohl. Doch was passiert, wenn ein attraktiveres Angebot lockt oder die Stimmung im Team oder gar dem Unternehmen umschlägt? Innentäter sorgen heute für eine viel größere Bedrohung als externe Angreifer oder Geheimdienste. Der ehemalige Hacker Kevin Mitnick beschreibt in seinem Buch “Die Kunst der Täuschung”, wie er mit dem Durchstöbern der Mülltonnen seiner Opfer und Social Engineering an die Informationen gelangen konnte, um seine Angriffe erfolgreich umzusetzen. Dabei ging es meistens weniger um das Kapern von IT-Systemen, sondern eher um die Manipulation von Menschen und eine intensive Recherche.
Dass ein Rechenzentrum in Deutschland vor der Spionage befreundeter Staaten schützt ist und bleibt ein Märchen. Denn wo ein Wille ist, da ist auch ein Weg. Sprich, wenn ein Angreifer an Daten gelangen möchte, dann ist dies einzig und alleine mit der kriminellen Energie verbunden, die er bereit ist, zu unternehmen und die finanziellen Mittel, die ihm dafür zur Verfügung stehen. Sind die technischen Herausforderungen zu hoch, dann bleibt immer noch der Faktor Mensch als Option und der ist bekanntlich käuflich.
Die Cloud ist der Sündenbock!
Die Cloud ist nicht das Problem. Spionage als Ausrede zu nutzen um keine Cloud Services einzusetzen ist, wie einem Kleinkind den Lutscher zu stehlen. Man macht es sich zu einfach. Fakt ist, in den Zeiten vor der Cloud, dem Outsourcing-Zeitalter, war es genau so möglich Spionage zu betreiben. Und diese wurde auch betrieben! Anbieter konnten ebenso, trotz ihrer Verträge mit den Anwendern, Daten heimlich an Geheimdienste weitergeben. Wäre Spionage im Zeitalter des Outsourcings genau so ins Fadenkreuz geraten wie heute, wäre wohl das Outsourcing verteufelt worden. Die heutige Diskussion ist maßgeblich ein Produkt der politischen Situation, in der ein Mangel von Vertrauen die Beziehung des ehemals engen Wirtschafts-, Militär- und Geheimdienstpartner prägt.
Die heutigen Cloud-Anbieter sind, auf Grund der Datenberge die sie horten und auf einheitlichen Plattformen zusammenführen, allerdings deutlich attraktiver geworden. Aber sich Zutritt in die Rechenzentren zu verschaffen ist zu aufwendig. In seinem Buch „Tube: Behind The Scenes At The Internet“ beschreibt Andrew Blum, dass einer der ersten Internet-Hubs “MAE-East” (1992) auf Grund seiner hohen Konnektivität in andere Länder (Daten von Tokyo nach Stockholm oder Daten von London nach Paris mussten jeweils über MAE-East) schnell zum Ziel der US-amerikanischen Spionage wurde. Kein Wunder, MAE-East war der de-facto Weg in das Internet. Unterm Strich müssen Geheimdienste nicht in die Rechenzentren der Anbieter. Es reicht, wenn sie in den Verbindungsknoten stecken bzw. auf den Leitungen sitzen. Was scheinbar der Fall ist.
In diesem Zusammenhang wurde das sogenannte “Schengen-Routing” ins Gespräch gebracht. Dabei soll der Datenverkehr in Europa verbleiben, wenn die Daten nur innerhalb Europas ausgetauscht werden. Auf dem Papier sieht das theoretisch erst einmal gut aus. In der Praxis ist der Ansatz aber untauglich. Werden beispielsweise US-amerikanische Cloud-Services genutzt, dann werden die Daten zum größten Teil auch über deren Server in den USA gerouted. Wird eine E-Mail von einem Konto bei einem deutschen Anbieter an einen Geschäftspartner mit einem Konto bei einem US-Anbieter verschickt, dann muss der Datenverkehr ebenfalls Europa verlassen. Vergessen werden sollte ebenfalls nicht, dass wir seit Jahren in einer vernetzten Welt leben und Daten global ausgetauscht werden müssen.
Ein in diesem Zusammenhang viel gravierenderes Problem liegt in der Marktmacht und klaren Innovationsführerschaft der USA gegenüber Europa und Deutschland. Die Verfügbarkeit und Wettbewerbsfähigkeit deutscher und europäischer Cloud Services ist immer noch beschränkt. So greifen viele Unternehmen bei Cloud-Diensten auf die Angebote aus den USA zurück. Auf Netzwerkebene alleine wird sich also keine Lösung finden lassen, solange keine konkurrenzfähigen Cloud-Services, Infrastrukturen und Plattformen europäischer Anbieter vorhanden sind. Bis dato hilft nur die Verschlüsselung der Daten, um den Geheimdiensten und anderen Kriminellen Einhalt zu gebieten.
Europäische und deutsche Anbieter sind gefordert, innovative und attraktive Cloud-Services zu entwickeln und zu vermarkten. Denn ein deutsches Rechenzentrum alleine hat nichts mit einer höheren Datensicherheit zu tun, sondern bietet lediglich den Vorteil des deutschen Datenschutzniveaus, um damit die rechtlichen Rahmenbedingungen zu erfüllen.