Gemeinsame Standards für Wettbewerbsfähigkeit und Rechtssicherheit
Experten-Interview: Datenschutz und Datensicherheit in der Microsoft Cloud
Rainer Stropek ist IT-Unternehmer, Softwareentwickler, Trainer, Autor und Vortragender im Microsoft-Umfeld. Er ist seit 2010 MVP für Windows Azure und entwickelt mit seinem Team die Zeiterfassung für Dienstleistungsprofis time cockpit (www.timecockpit.com). Unsere Redakteurin Rebecca Schickel befragt ihn im Experten-Interview zum Thema Datenschutz und Datensicherheit in der Microsoft Cloud und besonders Windows Azure.
Rebecca Schickel: Herr Stropek, das Thema "Cloud Computing" beherrscht seit einiger Zeit den IT-Markt. Könnten Sie uns bitte kurz die Vor- und auch Nachteile dieser Technologie beschreiben?
Rainer Stropek: Es gibt eine Reihe von Aspekten, die Cloud Computing für Unternehmen interessant macht. Der Kostenfaktor ist natürlich nicht unbedeutend, meiner Erfahrung nach jedoch nicht das entscheidende Argument. Für kleine Unternehmen oder Startups bedeutet die Cloud vor allem eine Reduktion der notwendigen Startinvestitionen. In der Cloud können solche Firmen eine professionelle Infrastruktur verwenden, deren Anschaffung und Betrieb im eigenen Haus nicht finanzierbar wäre. Mittlere und große Firmen schätzen die Flexibilität, die die Cloud bringt. Bei großer Last können kurzfristig Serverressourcen hinzugefügt werden. Die Kosten bleiben dabei variabel. Wenn die Ressourcen nicht mehr benötigt werden, kann man sie zurückgeben und spart dadurch Geld.
Der wichtigste Nachteil, der in Verbindung mit Cloud meistens genannt wird, ist der Verlust eines gewissen Maßes an Kontrolle. Speziell bei sogenannten PaaS-Systemen, also "Platform as a Service", kann nicht auf jede noch so kleine Systemeinstellung Einfluss genommen werden. Dazu kommt, dass die Daten zwar weiterhin mir gehören, sie aber aus meinem physischen Einflussbereich entfernt werden.
Rebecca Schickel: Worauf muss ich als Kunde achten, um meine Daten in der Cloud zu schützen?
Rainer Stropek: Ich denke, es ist wichtig, zwischen Datenschutz und Datensicherheit zu unterscheiden. Datensicherheit umfasst Themen wie Integrität und Verfügbarkeit. Was Letzteres betrifft bieten die Rechenzentren der globalen Cloud-Computing-Anbieter wie Microsoft oder Amazon ein Niveau an Sicherheit, das mittlere oder kleine Firmen im eigenen Haus oft aus wirtschaftlichen Gründen nicht erreichen können. Ich bin selbst Mitgründer und Geschäftsführer eines kleinen Softwarehauses und für uns bringt die Cloud per se bereits eine Verbesserung der Datensicherheit.
Den Datenschutz muss man getrennt davon betrachten. Dabei geht es um den Schutz persönlicher Daten vor Missbrauch. Entscheidend ist hier die Frage, wem ich vertraue. Vertraue ich einem Cloud-Anbieter wie Microsoft? Wer kann Microsoft dazu zwingen, meine Daten herauszugeben? Als Benutzer in der Cloud muss ich mir die Frage stellen, welche Daten aus inhaltlichen oder rechtlichen Gründen speziell schützenswert sind. Diese Daten gehören entweder nicht in die Cloud oder müssen mit Hilfe von Verschlüsselungstechnologien geschützt werden.
Rebecca Schickel: Gibt es spezielle Gütesiegel, auf die ich mich als Kunde verlassen kann?
Rainer Stropek: Wie schon zuvor muss ich auf die Trennung zwischen Datenschutz und Datensicherheit verweisen. In Sachen Datensicherheit gibt es eine Reihe von Standards, die Orientierungshilfe bieten. Speziell erwähnenswert ist die ISO-Norm 27001:2055. Microsoft hat beispielsweise im September 2011 dieses Zertifikat für einen großen Teil ihrer Cloud Services erhalten. Amazon ist ebenfalls ISO 27001 zertifiziert und widmet dem Thema Zertifizierungen und Zulassungen sogar einen umfangreichen Bereich auf der AWS Webseite, der auch in Deutsch zur Verfügung steht. Für Microsoft Office 365 steht mittlerweile sogar eine eigene Webseite zur Verfügung, das "Office 365 Trust Center". Mit seiner Hilfe finden Kunden der Office 365 Plattform an einer Stelle alle relevanten Informationen über Datenschutz, Datensicherheit und Zertifizierungen.
Rebecca Schickel: Oft ist die Technologie weiter als die Politik. Wie ist es im Fall der Cloud? Gibt es Gesetze in Europa oder Deutschland, die für den Schutz von Kundendaten in der Cloud sorgen?
Rainer Stropek: In Europa gibt es sowohl auf EU- als auch auf nationaler Ebene Datenschutzbestimmungen, die einzuhalten sind. Ich bin kein Jurist und kann daher keine genauen inhaltlichen Aussagen dazu machen. Aus Sicht eines Projektleiters beziehungsweise IT-Unternehmers kann ich jedoch nur dazu raten, sich bei Cloud-Projekten, bei denen personenbezogene Daten gespeichert oder verarbeitet werden, juristischen Rat zu holen. Eine Website, die von Natur aus für die Öffentlichkeit bestimmt ist, ist in der Cloud mit großer Wahrscheinlichkeit kein Problem. Eine Webseite, auf der persönliche Daten gesammelt werden, könnte jedoch spezielle Schutzmaßnahmen erfordern. Ich sehe sowohl in Deutschland als auch in Österreich vermehrt Juristen, die sich auf Fragestellungen rund um Datenschutz in der Cloud spezialisieren.
Gerade im Moment werden Neuerungen des Datenschutzes auf europäischer Ebene diskutiert. Mein Hauptkritikpunkt ist, dass diese bei Inkrafttreten dem technisch Machbaren und der gängigen Praxis bereits Jahre hinterherhinken werden.
Rebecca Schickel: Über 90 % der Infrastruktur des Cloud Computing befinden sich in den USA. Auch Microsoft ist ein amerikanisches Unternehmen. Eine deutsche Datenschutzrichtlinie verbietet es jedoch, personenbezogene Daten aus EG-Mitgliedsstaaten in Staaten zu übertragen, die nicht über ein dem EG-Recht vergleichbares Datenschutzniveau verfügen - so wie z. B. in die USA. Wie können US-Clouds mit deutschen Daten dann überhaupt funktionieren?
Rainer Stropek: Sowohl Microsoft als auch Amazon AWS erlauben es, festzulegen, in welcher Region Daten gespeichert und verarbeitet werden. Beide Anbieter decken mit mehreren Rechenzentren die EU ab. Es ist aber keine Frage, dass das Verhältnis der EU zu den USA in Sachen Datenschutz problematisch ist. Es gibt sich widersprechende Regelungen und speziell die europäischen Unternehmen haben dadurch einen echten Wettbewerbsnachteil. Aus meiner Sicht ist es dringend notwendig, dass sich die legislativen Organe der EU und der USA auf gemeinsame Standards einigen, damit Unternehmen in der EU nicht ständig die Wahl zwischen Wettbewerbsfähigkeit und Rechtssicherheit haben.
Die Cloud kann aber schon auf Basis heutiger Gesetze funktionieren. Es gibt natürlich Bereiche, in denen der Gesetzgeber Grenzen setzt oder Einschränkungen definiert - man denke nur an steuerlich relevante Daten. Was soll aber dagegensprechen, dass beispielsweise ein Unternehmen seinen Webshop in der Cloud betreibt? In Sachen personenbezogener Daten müssen zwar spezielle Schutzmaßnahmen wie Verschlüsselung getroffen werden, der Wert der Cloud wird in solchen Einsatzszenarien aber dadurch nicht wesentlich geschmälert.
Rebecca Schickel: Ein deutsches Unternehmen ist an deutsches Datenschutzrecht gebunden. Werden personenbezogene Daten von Mitarbeitern, Kunden oder Lieferanten in der Cloud gespeichert, so gilt dafür das Bundesdatenschutzgesetz. Wie können deutsche Unternehmen die Einhaltung des Bundesdatenschutzgesetzes ihren Kunden gegenüber garantieren, wenn sie diese in US-Clouds abspeichern, für die ja die US-Gesetze gelten?
Rainer Stropek: Verschlüsselung und hybride Lösung können ein Ausweg sein. Die Cloud kann verwendet werden, um verschlüsselte Daten auszutauschen oder zu speichern. Natürlich bringt Verschlüsselung ohne Speicherung von Schlüsseln in der Cloud auch Nachteile und Schwierigkeiten mit sich: Die Daten können in der Cloud nicht verarbeitet werden, es fehlt dort ja der Schlüssel. Die Verschlüsselungsmechanismen dürfen auch nicht trivial sein und einen Rückschluss auf die konkreten Personen zum Beispiel über Kombination von Daten aus mehreren Quellen erlauben. Das klingt schwieriger als es ist. Softwareentwicklungs-Frameworks wie das .NET Framework enthalten fertige Verschlüsselungsalgorithmen und die Windows Azure-Plattform bietet integrierte Mechanismen zum Verteilen von beispielsweise Zertifikaten.
Hybride Lösungen, die gewisse Teile der Infrastruktur in die Cloud legen und andere Teile lokal belassen, bieten ebenfalls Abhilfe. Personenbezogene Daten werden lokal gespeichert und verarbeitet; öffentliche Daten, die nicht dieses Maß an Schutz brauchen, sind vollständig in der Cloud. Sowohl Microsoft als auch Amazon bieten vorgefertigte Komponenten, um solche hybriden Szenarien mit recht wenig Aufwand und geringen Kosten aufbauen zu können. Die Lösung liegt oft im kreativen Kombinieren von Möglichkeiten.
Rebecca Schickel: Wie steht es mit dem Patriot Act der USA? US-Behörden dürfen doch auf Basis dieses Anti-Terror-Gesetzes jederzeit auf Daten von Europäern zugreifen, richtig?
Rainer Stropek: Von "jederzeit" und "einfach zugreifen" kann man aus meiner Sicht nicht sprechen. Auch die USA sind in Sachen Datenschutz kein rechtsfreier Raum oder "Wilder Westen". Es ist aber richtig, dass es in Europa und den USA unterschiedliche Auffassungen im Bereich Datenschutz gibt und der Patriot Act die Zugriffsmöglichkeiten der US-Behörden auf Daten von Unternehmen, deren Sitz in den USA ist, erweitert hat. Microsoft hat beispielsweise für Windows Azure klare Aussagen gemacht, wie mit dem Zugriff von Behördenseite auf Daten umgegangen wird und zu diesem Thema auch ein ausführliches White Paper veröffentlicht.
Es muss aber jedem Unternehmen klar sein, dass das nicht etwas Neues ist, das mit Cloud Computing gekommen ist. Der Patriot Act gilt für alle Unternehmen mit Sitz in den USA. Ich finde es beispielsweise grotesk, wenn mir potentielle Kunden sagen, unsere SaaS-Lösung in der Cloud nicht einsetzen zu wollen, weil sie keine Daten außer Haus geben. Gleichzeitig erzählen sie mir, dass die zentralisierten Installationen ihrer Business Software zu einem weltweit tätigen IT-Outsourcer aus den USA ausgelagert wurden.
Rebecca Schickel: Was tut Microsoft für die Sicherheit der Daten seiner Kunden in der Cloud?
Rainer Stropek: Während sich bei lokalen Installationen zum überwiegenden Teil nur große Unternehmen in besonders kritischen Bereichen der Infrastruktur hochverfügbare Clusterlösungen leisten, ist in der Microsoft-Cloud Windows Azure der Clusterbetrieb Standard. In einem Cluster arbeiten mehrere Server, die sogenannten Cluster-Knoten, zusammen. Egal ob Webserver, Datenbank oder andere Komponenten – durch Ausfall eines Knotens kommt ein System nicht zum Stillstand, da immer mindestens ein anderer da ist, der die Aufgabe übernehmen kann. Selbst Betriebs¬system-Updates oder neue Versionen einer Anwendungssoftware bedeuten nicht zwingend ein Wartungsfenster. Azure geht aber noch weit darüber hinaus. Daten, die in einem zweiten Rechenzentrum der gleichen Region gespiegelt werden, garantierte Servicelevels, durch die ich Geld zurück bekomme, wenn es zu einem Systemausfall kommt – all das sind Dinge, die bei Unternehmen in der Vergangenheit wegen zu hoher Kosten oft schweren Herzens gestrichen wurden. In Azure sind sie Standard, müssen vom Kunden weder installiert noch gewartet werden und sind im Preismodell von Azure bereits berücksichtigt. Diese positiven Beiträge zum Thema Datensicherheit, die die Cloud bringt, werden manchmal vergessen.
Rebecca Schickel: Sagen Sie, dass ich als Kunde meine Anwendungen nur in die Cloud verlegen muss und es ist automatisch Schluss mit Systemausfällen?
Rainer Stropek: Nein, diese Aussage vereinfacht zu stark. Anwendungsprogramme mit schlechter Systemarchitektur, menschliche Fehler und große Katastrophen, die ganze Cloud-Rechenzentren ausschalten, müssen weiterhin berücksichtigt werden. Als Betreiber einer Software werden mir viele Risiken abgenommen – aber nicht alle. Was würde mir beispielsweise ein Datenbankcluster helfen, wenn ein Administrator unabsichtlich eine Tabelle löscht? Was hilft es mir, einen Teil meiner Cloud-Kosten zurückzubekommen, wenn während des Weihnachtsgeschäfts halb Irland durch einen Stromausfall lahmgelegt wird und die Rechenzentren mehrerer Cloud-Anbieter dort stunden-, vielleicht sogar tagelang nicht erreichbar sind? Diese Dinge sind in der Vergangenheit bereits geschehen. Die gute Nachricht ist jedoch, dass die Cloud wiederum speziell für kleine und mittlere Firmen ein bisher unerreichbares Niveau an Ausfallssicherheit erschwinglich macht. Lastverteilung mit Hilfe von zwei verteilten Rechenzentren in verschiedenen EU-Ländern, mit Synchronisation der Daten und Vorkehrungen für den Ausfall eines Rechenzentrums – das ist beispielsweise in Azure bereits heute zu sehr überschaubaren monatlichen Kosten machbar. Es gilt auch hier die Regel der variablen Kosten: Man kann solche ausfallssicheren Systeme für ein paar Wochen im Jahr aufbauen, danach wieder auf ein Clustersystem an einem Standort herunterfahren und bezahlt nur für die genutzte Zeit.
Rebecca Schickel: Welche Möglichkeiten sehen Sie für die Zukunft, um die Datenspeicherung in der Cloud noch sicherer zu machen?
Rainer Stropek: Man kann die Cloud momentan auf jeden Fall als Hype bezeichnen. Viele wollen in die Cloud, alle Systemanbieter zieht es in die Cloud, die Cloud ist modern. Es entsteht ein Druck, den Zug nicht verpassen zu wollen und in der Eile geschehen Fehler. Systeme, die nie für eine Betriebsumgebung wie die Cloud gestaltet wurden, sind oft leichte Angriffsziele, sie nutzen die gebotenen Datensicherheitsmechanismen der Cloud nicht. Die Entscheidung für oder gegen Cloud wird zu einer fast schon religiösen Alles-oder-Nichts-Frage erklärt, anstatt eine sachliche Analyse von Anwendungsszenarien und notwendigen Schutzmaßnahmen durchzuführen. Die Cloud ist ein Phänomen, das nicht mehr verschwinden wird. Firmen sollten beginnen, sich damit auseinanderzusetzen und Erfahrungen zu sammeln. Bei der Auswahl von Softwarelösungen sollte die Eignung für die Cloud speziell in Hinblick auf Datensicherheit und Datenschutz ein wichtiger Faktor werden. Gehören alle Daten in die Cloud? Auf keinen Fall! Die Cloud kann jedoch bei richtigem Einsatz einen echten Wettbewerbsvorteil für die passenden Szenarien darstellen.
Vielen Dank für das Gespräch, Herr Stropek!
Rainer Stropek
Rainer Stropek ist IT-Unternehmer, Softwareentwickler, Trainer, Autor und Vortragender im Microsoft-Umfeld. Er ist seit 2010 MVP für Windows Azure und entwickelt mit seinem Team die Zeiterfassung für Dienstleistungsprofis time cockpit.
Kontakt: rainer@software-architects.at
Website: time cockpit
Weitere ausführliche Informationen zu Rainer Stropek finden Sie im MVP-Profil:
