Handelsblatt

MenüZurück
Wird geladen.

13.07.2011

09:35 Uhr

Patriot Act

Wie gefährlich das Cloud Computing ist

VonArnd Böken

Ein Microsoft-Manager sorgt für Wirbel: US-Geheimdienste haben Zugriff auf die Microsoft-Cloud, gab er zu. Was das für die Praxis in Deutschland bedeutet, erklärt der Rechtsanwalt Arnd Böken in einem Gastbeitrag.

Microsoft beschwört das Cloud Computing als Zukunft der IT. Quelle: dapd

Microsoft beschwört das Cloud Computing als Zukunft der IT.

BerlinGordon Frazer, Managing Director von Microsoft Großbritannien, hat viel Aufregung ausgelöst. Bei der Vorstellung von Microsofts Cloud Lösung Office 365 erklärte er, Microsoft und andere US-Cloud-Anbieter müssten unter Umständen Kundendaten an das FBI und andere US-Behörden weitergeben, auch wenn die Daten in europäischen Rechenzentren liegen.   Ein Dokument im Microsoft „Trust Center“ weist ebenfalls auf die Möglichkeit einer Datenweitergabe hin. Grundlage dafür ist vor allem der USA Patriot Act.

Die Äußerung von Microsoft wurde von Abgeordneten des EU-Parlaments und von einem deutschen Datenschutzbeauftragten heftig kritisiert. Angesichts einer drohenden Datenweitergabe bestünden Zweifel an der Vertraulichkeit und damit der Rechtmäßigkeit einer Datenverarbeitung durch diese Anbieter in Europa.

Microsoft: US-Behörden haben Zugriff auf europäische Cloud

Microsoft

CIA hat Zugriff auf europäische Cloud

Wer bei US-Unternehmen Daten in der Cloud abspeichert, ist nirgends vor dem Zugriff der US-Geheimdienste sicher. Das hat ein hochrangiger Microsoft-Manager bei der Vorstellung von Office 365 eingestanden.

Viele deutsche Unternehmen nutzen bereits Clouds von US-Anbietern oder planen deren Nutzung. Sie stehen jetzt vor der Frage, ob sie Cloud-Anbieter aus den USA überhaupt beauftragen dürfen, wenn auf Grundlage des USA Patriot Acts Zugriffe auf Daten drohen. Weiter stellt sich die Frage, ob bestehende Verträge möglicherweise angepasst werden müssen.

Der Patriot Act

Der USA Patriot Act ist Teil einer Gesetzgebung, mit der die USA auf den Anschlag vom 11. September 2001 reagiert haben. Das Gesetz gibt dem FBI und anderen US-Behörden weitreichende Befugnisse im Rahmen der Terrorabwehr und der Verfolgung anderer Straftaten. US-Unternehmen sind unter bestimmten Umständen verpflichtet, Informationen über ihre Kunden weiterzugeben, auch wenn die Kunden ihren Sitz im Ausland haben. Die US-Behörden können in einem sogenannten National Security Letter (NSL) sogar anordnen, dass der Empfänger der Aufforderung darüber Stillschweigen zu bewahren hat.

FAQ: Was ist Cloud Computing?

Virtualisierung

Die Virtualisierung von Servern ist bereits seit vielen Jahren ein anhaltender Trend, auf den heute kaum ein Unternehmen bei der Nutzung seiner IT verzichten möchte. Virtualisierung erlaubt eine deutlich flexiblere Nutzung der Hardware: Ein Server wird dabei aufgeteilt in beliebig viele virtuelle Server. Unter dem Betriebssystem Linux wird dabei vor allem auf die bekannten Virtualisierungs-Lösungen Xen und KVM zurückgegriffen. Virtualisierung ist eine wichtige technologische Voraussetzung für das Cloud Computing – doch nicht dasselbe. Beim Cloud Computing geht es um den gesamten Prozess des flexiblen Bereitstellens von Rechenressourcen, Daten und Anwendungen über eine standardisierte Schnittstelle.


Cloud Computing

Eine einheitliche Definition des Begriffs gibt es nicht. Cloud Computing beschreibt kein komplett neues Prinzip, sondern den technologischen Trend, IT-Ressourcen nur dann auf Bedarf über ein Netzwerk bereitzustellen und abzurechnen, wenn sie wirklich gebraucht werden. Die eigentliche Arbeit läuft auf den Servern, Endgeräte können auch Smartphones oder Netbooks sein, die selbst nur über vergleichsweise geringe Prozessor- und Speicherausstattung verfügen.

Um die IT-Ressourcen dynamisch - also je nach Bedarf - anzubieten, werden sie per Software abstrahiert. Statt eines echten Servers mietet man beispielsweise eine sogenannte virtuelle Maschine, deren Speicher- und Prozessorausstattung sich dynamisch den Anforderungen entsprechend vergrößert oder verkleinert. Rechenkraft aus der Cloud ist damit deutlich skalierbarer, als eine herkömmliche IT-Infrastruktur: Bei Spitzenlasten stehen Ressourcen sofort zur Verfügung, werden die Ressourcen nicht benötigt, müssen sie auch nicht bezahlt werden.

Aus dieser Abstraktion leitet sich wohl auch der Begriff ab: So wurden in Powerpoint-Präsentationen abstrahierte Netzwerke aus Computern häufig schwammig als Wolke dargestellt, um sich die Details des Netzwerks zu sparen - ebenso, wie ein Cloud-Kunde sich nicht mehr um die Details seiner IT-Infrastruktur kümmern muss.

Bei der Cloud gibt es alles "as a Service", also auf Abruf - Rechenkraft und Speicher (Infrastructure as a Service), Plattformen samt Programmierumgebung (Platform as a Service) und Software (Software as a Service). Die genannten Ansätze bestehen auch parallel zum Cloud Computing - die Cloud vereint sie alle.

Infrastructure as a Service (IaaS)

Infrastructure as a Service ist die "nackteste" Form des Cloud Computings: Gemietet werden nur reine Rechenkraft und Datenspeicher nach Bedarf. Dazu werden die Server beim Cloud-Anbieter virtualisiert: Statt physikalisch vorhandener Einzelserver mietet der Kunde eine oder viele virtualisierte Umgebungen, die je nach Bedarf mehr oder weniger Speicher und Prozessorleistung zugeteilt bekommen.

Platform as a Service (PaaS)

Bei der Platform as a Service (PaaS) mietet der Kunde mehr als nur die nackte Rechenkraft mit Betriebssystem - es ist bereits eine Laufzeitumgebung wie Microsofts Azure-Plattform oder Googles Programmierschnittstelle vorhanden.

Software as a Service (SaaS)

Software as a Service (SaaS) bezeichnet die Bereitstellung von Software, die auf Servern ausgeführt wird. Je nach verwendeter Technologie kommen dabei verschiedene Konzepte zum Einsatz. Für Adobes Programmiersprache AIR muss beispielsweise ein spezielles Programm auf den Endgeräten ausgeführt werden, das für Windows, Linux und Mac OS X verfügbar ist.

Meist aber werden Anwendungen über das Web angeboten - können also auf jedem Gerät ausgeführt werden, auf dem ein Browser installiert ist. Dazu gehören beispielsweise Googles Webapps, die mit der Google App Engine erstellt wurden.

Private Cloud und Public Cloud

Neben der reinen Form der Cloud - der Bereitstellung von IT-Ressourcen über das Internet - gibt es auch die private Cloud. Dabei wird die Cloud-Technologie dazu genutzt, eine Cloud im eigenen Unternehmen aufzubauen. Das kann Vorteile für die Datensicherheit und Compliance bieten - auch wenn inzwischen fast alle Public-Cloud-Anbieter ihre Dienste nach EU-konformer Regulierung anbieten. Oft wird eine private Cloud mit dem zusätzlichen Mieten einer Public-Cloud-Dienstleistung kombiniert - die dann beispielsweise bei Belastungsspitzen oder dem Ausfall von Teilen der eigenen IT-Infrastruktur einspringt. Man spricht dann von einer Hybrid Cloud.

Europäische Clouds

Wenn ein deutsches Unternehmen personenbezogene Daten wie beispielsweise Mitarbeiter-, Kunden- oder Lieferantendaten, in der Cloud verarbeiten will, so hat es das deutsche Datenschutzrecht zu beachten. Verarbeitet das Unternehmen die Daten in einer Private Cloud, so behält es die vollständige Kontrolle darüber. Das Unternehmen kann aber auch IT-Dienste aus Public Clouds beziehen, beispielsweise virtuelle Server anmieten (Infrastructure-as-a-Service) oder Software nutzen, die in einem Rechenzentrum läuft, in dem die Daten verarbeitet und gespeichert werden (Software-as-a-Service).

In der Praxis vereinbaren das Unternehmen und der Cloud-Anbieter häufig Auftragsdatenverarbeitung. Herr der Datenverarbeitung bleibt dann das Unternehmen, der Cloud-Anbieter wird nur im Auftrag und auf Weisung tätig. Zulässig ist diese Auftragsdatenverarbeitung nach deutschem Recht nur, wenn die Daten ausschließlich innerhalb des Europäischen Wirtschaftsraums (EWR) verarbeitet werden, das sind die EU-Staaten sowie Island, Liechtenstein und Norwegen. Daher bieten die meisten europäischen Cloud-Provider solche EU/EWR-Clouds an. Auch einige amerikanische Cloud-Provider bieten reine EU/EWR-Clouds an.

Kommentare (8)

Selber kommentieren? Hier zur klassischen Webseite wechseln.  Selber kommentieren? Hier zur klassischen Webseite wechseln.

intrinsisch

13.07.2011, 12:28 Uhr

Zu "An diesen Vertrag muss sich der Cloud-Anbieter halten. Verfügt das deutsche Unternehmen über einen solchen Vertrag, ist eine Weitergabe von Daten durch den Cloud-Provider an US-Behörden ausgeschlossen. Wollen die US-Behörden auf die Daten zugreifen, dann geht das nur im Wege der Rechtshilfe über eine europäische Behörde."

Sehr interessantes Rechtsverständnis des Kollegen. Dass sich US Behörden durch vertragliche Vereinbarungen zwischen privaten Unternehmen beschränkt sehen, wage ich zu bezweifeln.

zarakthuul

13.07.2011, 13:42 Uhr

Typische Sicht eines Anwalts, aber in der Praxis sollten europäische Unternehmen die Dienste von US-Firmen meiden. Werr Herr über seine Daten bleiben will, der sollte sie auch im Unternehmen belassen und nicht in einer "Cloud"! Entwicklungsrechner und Kundendaten kommen bei mir nicht ins I-net!

salesforce.com-Nutzer

13.07.2011, 15:58 Uhr

Auch Microsoft ist Ihrer Auffassung. Zitat:
"Microsoft kann diese Garantie nicht gewährleisten. Das kann auch kein anderes Unternehmen."

Direkt vom Startbildschirm zu Handelsblatt.com

Auf tippen, dann auf „Zum Home-Bildschirm“ hinzufügen.

Auf tippen, dann „Zum Startbildschirm“ hinzufügen.

×