“Nicht die volle Garantie” – Reaktionen auf SAPs Zusammenarbeit mit der NSA
SAP erklärt, keine Einfluss auf die Verwendung von Datenbank- und Analyse-Technologien zu haben. Die Anwender-Vereinigung DSAG hingegen nutzt die Steilvorlage eines Berichtes über die Lieferung von SAP-Technologien an die NSA und stellt die Frage: “Wie sicher sind Daten in der SAP-Cloud?”
Ein Fernsehbericht hat thematisiert, was eigentlich kein Geheimnis sein dürfte: SAP beliefert US-Behörden und damit auch die NSA. Der Bericht (Link zur Mediathek) schlägt er derzeit hohe Wellen. Was bisher hierzulande eher unbekannt war ist die Tatsache, dass SAP mit dem rein amerikanischen Tochterunternehmen NS2 in den USA gezielt diesen Markt adressiert.
Nun erklärt ein Unternehmenssprecher gegenüber der Wirtschaftswoche, dass zahlreiche öffentliche Organe in den USA die Technologien aus Walldorf verwenden: “Was unsere Kunden genau mit der SAP-Software anstellen – ob sie etwa Datenanalysen für militärische Zwecke oder zum Spionieren durchführen – obliegt nicht unserer Kontrolle.” Weiter erklärt der Sprecher, dass beispielsweise Microsoft kein Unterstützer von Terrorismus sei, wenn ein Terrorist auf seinem Laptop Office verwende. Genauso gut könne man auch hervorheben, so der Sprecher weiter, dass der Bundesnachrichtendienst Oracle verwende.
Tatsächlich dürfte die Liste der Software- und IT-Hersteller, die umstrittene Organisationen wie die NSA beliefern und die auch von Deutschen Unternehmen genutzt werden, ziemlich lang sein.
Der Sprecher widerspricht auch der Darstellung des Fakt-Berichtes vom Dienstagabend, dass SAP Sybase hauptsächlich deswegen Übernommen habe, weil das Unternehmen die NSA als Datenbank-Kunden hätte. Vielmehr habe das damals bereits sehr ausgereifte Enterprise Mobility Management des Herstellers den Ausschlag für die Übernahme gegeben, die auch heute noch die Grundlage für das SAP-Mobility-Portfolio bildet.
Aus Sicht von SAP mag das zutreffen. Abseits der aktuellen Diskussion sehen sich offenbar nach wie vor viele Anwender mit unbeantworteten Fragen und aufgrund von Berichten über staatliche Massenüberwachung mit einem erheblichen Unbehagen zurückgelassen. Das zeigt sich auch in der Stellungnahme des Vorstandsvorsitzenden der Deutschsprachigen SAP Anwendergruppe DSAG, Marco Lenck anlässlich zur neu angefachten Diskussion über IT-Anbieter und Geheimdienste: “Die aktuelle Diskussion der Geschäftsbeziehungen zwischen SAP und dem amerikanischen Geheimdienst ist im Zusammenhang mit der Frage zur Sicherheit von Geschäftsdaten in der Cloud zu betrachten. Natürlich soll SAP ihre Produkte, darunter auch die HANA-Datenbank, an nahezu jedes Unternehmen dieser Welt verkaufen, auch an die NSA.”
Doch für Lenck ist das Thema damit nicht beendet: “Hier schließt sich jedoch die berechtigte Frage der SAP-Anwender an: Wirkt sich diese Kooperation auch auf meine Kundendaten in einer SAP Cloud aus? Die aktuelle Diskussion rückt ein ungelöstes Thema erneut ganz stark in den Mittelpunkt: Kunden haben Bedenken, wie sicher ihre Daten in der SAP-Cloud sind.”
Noch vor wenigen Monaten hatten SAP-Manager erklärt, dass aus aller Welt Unternehmen an SAP herantreten, weil das Unternehmen deutschem Datenschutz unterliege und damit einen Wettbewerbsvorteil vor anderen international agierenden Anwendern genieße. Sogar der Bau eines Rechenzentrums in Australien – das ein so genannter Five Eyes Staat ist – wurde damit begründet.
Doch daran scheinen Anwender nach wie vor zu zweifeln. Lenck weiter: “Der derzeit bestehende Schutz von Know-how und geistigem Eigentum gibt Unternehmern nicht die volle Garantie und das Vertrauen, um Cloud-Lösungen, egal von welchem Anbieter, kompromisslos mitzutragen.”
Letzlich tragen Gesetzgeber, Provider und Unternehmen die Verantwortung für die ausgelagerten Daten. Lenck fordert daher aber auch konsequentere Gesetze, “um Firmen effektive Sicherheit zu geben”. Anbieter wie SAP müssten Dienste nachvollziehbar darstellen und Klarheit darüber zu schaffen, ob die nötigen Sicherheitsanforderungen erfüllt werden können und wo die Daten liegen.
Letztlich, so Lenck, sei ein Anwenderunternehmen immer für die Sicherheit der Daten verantwortlich, auch wenn diese in die Cloud ausgelagert würden, was einen Kontrollverlust zur Folge hat: “Ihre Pflicht ist es, gewissenhaft mit ihrem geistigen Eigentum umzugehen und Sorge dafür zu tragen, dass unternehmenskritische Daten gar nicht erst in einer Cloud landen.”
Tipp: Wissen Sie alles über Edward Snowden und die NSA? Überprüfen Sie Ihr Wissen – mit 15 Fragen auf silicon.de