Markenzeichen "Deutsche Cloud"
Zum Ärger der US-Provider spielt die europäische Konkurrenz den Datenschutz als Trumpfkarte gegenüber Kunden aus. Bereits vor zwei Jahren brachte T-Systems-Chef Reinhard Clemens die "Deutsche Cloud" ins Gespräch (siehe "Brauchen wir eine deutsche Cloud"), die mit einer Art Siegel hiesigen Datenschutz garantieren soll. Zudem preschen kleine Anbieter in sich öffnende Nischen vor: "Der Zugriff durch US-Behörden gemäß US Patriot Act ist ausgeschlossen", wirbt etwa Fabasoft für den Collaborations-Dienst "Folio Cloud". Der Nachrichtendienst Bloomberg meldete, T-Systems umwerbe Kunden mit Zugriffsschutz vor US-Behörden. "Wir agieren im europäischen Rechtsraum, und die US-Behörden können nicht einfach auf Daten unserer Kunden zugreifen", verteidigte Clemens daraufhin die Strategie.
Foto: Reinhard Clemens
Der Druck der US-Industrie auf die eigene Regierung wächst. Inzwischen sahen sich zwei hochrangige US-Beamte veranlasst, die Branche zu beschwichtigen. Bruce Swartz, stellvertretender Generalstaatsanwalt im Justizministerium, und Philip Verveer, stellvertretender Staatssekretär für internationale Kommunikation im Außenministerium, betonten, die USA hätten ähnlich hohe Datenschutzstandards wie die EU. Allerdings machten weder Swartz noch Verveer den Anbietern Hoffnung auf Änderungen am Patriot Act.
Sie räumten ein, dass das Cloud Computing die Art und Weise verändert habe, wie Unternehmen Daten speichern und darauf zugreifen, betonten im gleichen Atemzug aber, dass die fundamentalen rechtlichen Schutzmechanismen für Auslandsgeschäfte unangetastet bestehen bleiben. "Jede Darstellung, die Vereinigten Staaten schätzen den Wert des Datenschutz nicht, ist falsch", sagte Swartz.
- Datenschutz und Datensicherheit
Saugatuck hat einen Fragenkatalog zur Security im Cloud Computing zusammen gestellt, den Interessenten Ihrem potenziellen Cloud-Provider vorlegen sollten. - Fachliche Anforderungen
Wie kann der Kunde auf seine Daten zugreifen oder diese wiederherzustellen? - Fachliche Anforderungen
Wie wird Sicherung der Daten einschließlich Disaster Recovery gewährleistet? - Fachliche Anforderungen
Wie, in welchem Format und nach welchen Umständen oder Bedingungen werden bei Vertragsende die Daten des Kunden an ihn übergeben? - Die Technik für Datenschutz und -sicherheit
Sind die Rechenzentren uneingeschränkt, rund um die Uhr, physikalisch und auch nach Mehr-Personen-Prinzip gesichert? - Die Technik für Datenschutz und -sicherheit
Ist es sichergestellt, dass das Personal des Providers weder Zugang zu den Benutzerpasswörtern und Berechtigungen des Anwenders hat noch diese einsehen kann? - Die Technik für Datenschutz und -sicherheit
Werden die Vorschriften zu Passwortrichtlinien, Zugriffsbeschränkungen, Anmeldeprotokollierungen, Datenzugriffsmodellen sowie zum Feldebenenzugriff dokumentiert? - Die Technik für Datenschutz und -sicherheit
Werden alle Passwörter verschlüsselt übertragen? - Die Technik für Datenschutz und -sicherheit
Gibt es ein sicheres Session-Key-Management und besteht eine Multi-Tenant-Datenzugriffskontrolle? - Die Technik für Datenschutz und -sicherheit
Werden Sicherheitsverstöße überwacht? Werden Eindringversuche (Intrusion Detection) und sicherheitsrelevante Vorfälle (Security-Event-Management) dokumentiert? - Transaktionen im Internet
Gibt es eine 128-bit SSL-Verschlüsselung für jede Transaktion? - Transaktionen im Internet
Liegen Verisign-Zertifikate vor? - Transaktionen im Internet
Werden Perimeter und Firewalls ständig überwacht? Sind Intrusion Detection sowie vorausschauendes Log-File-Monitoring Standardverfahren? - Sicherheitsmonitoring
Werden erfolgreiche und fehlgeschlagene Logins dokumentiert? - Sicherheitsmonitoring
Werden Eindringversuche (Intrusion Detection) und sicherheitsrelevante Vorfälle (Security-Event-Management) dokumentiert? - Interoperabilität mit On-Premise-Anwendungen
Welchen Einfluss haben Security-Architekturen und -Praktiken des Cloud-Providers auf die lokalen Installationen des Anwenders? - Interoperabilität mit On-Premise-Anwendungen
Legt der Betreiber der Multi-Tenancy- und Cloud-Plattform die verwendeten Techniken und Abläufe für das Data-Partitioning offen und dokumentiert sie? - Gesetzliche Anforderungen
Ist bei Speicherung von personenbezogenen Daten außerhalb der Grenzen des Europäischen Wirtschaftsraumes ein angemessenes Schutzniveau gewährleistet, wie es das Bundesdatenschutzgesetz vorschreibt (Paragraf 4b Absatz 2 Satz 2 BDSG)? - Gesetzliche Anforderungen
Ist es sichergestellt, dass ausschließlich solche Anwender auf Anwendung und deren Daten zugreifen können, die auch dazu berechtigt sind? - Gesetzliche Anforderungen
Können personenbezogenen Daten bei der Verarbeitung, Nutzung und nach Speicherung nicht unbefugt gelesen, kopiert, verändert oder entfernt werden? - Gesetzliche Anforderungen
Lässt sich nachträglich prüfen und feststellen, ob und von wem personenbezogene Daten in Anwendungssystemen eingegeben, verändert oder entfernt worden sind? - Gesetzliche Anforderungen
Können zu unterschiedlichen Zwecken erhobene personenbezogene Daten getrennt verarbeitet werden?
Die US-Presse greift derweil die EU an: "Die zynische Kampagne der EU gegen amerikanische Cloud-Provider" überschreibt etwa David Linthicum seinen Kommentar in der CW-Schwesterpublikation Infoworld und fragt: "Macht die EU die US-Cloud-Provider schlecht, um Raum für europäische Cloud-Companies zu schaffen?" Der Online-Dienst gigaom.com schimpft: "Anschnallen für die nächste Welle des Cloud-Protektionismus."
Philip Verveer, stellvertretender Staatssekretär im Außenministerium, hält die Kontroverse für aufgeblasen. Das Thema sei in Krisenzeiten auf die Agenda gerückt, weil das Cloud-Geschäft Wachstum verspreche. Er verwies auf Gartner-Zahlen, wonach im Jahr 2015 im westeuropäischen Cloud-Markt 47 Milliarden Dollar verteilt werden. "Es steht viel Geld auf dem Spiel", bringt es Verveer auf den Punkt.