Sicherheit in der Cloud: Gefahrenpotenzial gleichgeblieben

Das Thema Schutz und Sicherheit von Daten hat angesichts der Skandale um die Methoden von National Security Agency (NSA) und UK Gouvernement Communications Headquarters (GHCQ) in Deutschland Hochkonjunktur: Unternehmen wie Privatpersonen fragen sich zurecht, wie sicher Services aus dem Internet noch sind. Die aktuelle Mediendiskussion vermischt vor diesem Hintergrund allerdings zwei wesentliche Bereiche: den Datenschutz und die Daten- oder Informationssicherheit. Und diese Unterscheidung ist für die ganzheitliche Betrachtung von sicheren Cloud-Services wesentlich. Datenschutz ist in Deutschland gesetzlich geregelt und bezieht sich allein auf den Schutz personenbezogener Daten. Datensicherheit schützt Unternehmensinformationen präventiv und setzt ihren Fokus auf kritische Geschäftsprozesse.

Datenschutz in Deutschland und der EU

Im Zentrum des Bundesdatenschutzgesetzes (BDSG) stehen Daten, die Rückschlüsse auf eine Person erlauben. In Paragraph 3 definiert es den Begriff der personenbezogenen Daten genau: „Personenbezogene Daten sind Einzelangaben über persönliche oder sachliche Verhältnisse einer bestimmten oder bestimmbaren natürlichen Person.“

Deutsche Unternehmen sind an deutsches Recht gebunden, ganz unabhängig davon, ob sie eine Private Cloud oder die Services eines Providers nutzen. Da bei Provider Services allerdings nicht immer ersichtlich ist, wo die Daten verarbeitet werden, müssen Unternehmen bei der Provider-Wahl genau hinschauen. Gesetzeskonform agieren Unternehmen immer dann, wenn sie die Auftragsdatenverarbeitung innerhalb einer so genannten EU/EWR-Cloud nutzen. Diese Form der Cloud ist konform mit den EU-weiten Datenschutzbestimmungen. Das BDSG erlaubt dementsprechend auch die Verarbeitung von Daten in der EU. Hier verarbeitet der Provider Daten nur im Auftrag und auf Weisung des Unternehmens, das für die Datenverarbeitung verantwortlich bleibt. Voraussetzung dafür ist allerdings ein schriftlicher Vertrag, der zahlreiche Aspekte einschließt. Der Cloud-Anbieter muss darin gewährleisten, dass die Daten den Europäischen Wirtschaftsraum (EWR) nicht verlassen. Provider in Deutschland können diese Garantie also problemlos geben.

Datenschutz weltweit unterschiedlich

Ganz anders ist dies in den USA: Hier gibt es kaum gesetzliche Regelungen zum Datenschutz, lediglich zu Teilbereichen wie Krankenversicherung sowie Kinder- und Jugendschutz. Daher sind Datenschutzverstöße nur im Rahmen einer vorher geschlossenen unternehmenseigenen Policy zu ahnden. Die EU-Datenschutzrichtlinie 95/46 EG verbietet die Übermittlung personenbezogener Daten aus der EU in die USA, da die dortigen gesetzlichen Standards zum Datenschutz nicht dem EU-Niveau entsprechen. Die Ausnahme bildet das so genannte „Safe-Harbor-Abkommen“: Es wurde unter anderem zwischen der EU und den USA der 1990-Jahre geschlossen, damit der Handelsverkehr nicht komplett zum Erliegen kommt. US-Unternehmen, die sich selbst zum Safe-Harbor-Prinzip verpflichtet haben, können sich in eine Liste des US-Handelsministeriums eintragen lassen. Für diese Unternehmen erkennt die EU an, dass ein ausreichender Datenschutz besteht. Vor dem Hintergrund des Patriot Act und der damit verbundenen Terrorismusbekämpfung ist die Verlässlichkeit dieses Abkommens allerdings in Zweifel geraten. Hier sollten Unternehmen besser darauf achten, dass ein US-Anbieter vertraglich garantiert, dass die Daten den Europäischen Wirtschaftsraum nicht verlassen.

Schaut man in andere Weltregionen, verbessert sich die Datenschutzlage nicht: China, Russland und Indien verfügen zwar rudimentär über Datenschutzbestimmungen, doch die Transparenz und Kontrolle ist hier kaum gegeben. Nicht zuletzt deshalb werden zunehmend Forderungen nach einer UN-Datenschutzrichtlinie laut. Diese dürfte allerdings noch in weiter Ferne liegen.

Im Zweifel sollten deutsche Unternehmen, die international agieren, ihre Datenverarbeitung lieber „zu Hause“ lassen. Deutsche Provider sind gesetzlich verpflichtet,  ihre Systeme so auszulegen, dass sie den deutschen Bestimmungen entsprechen. Das muss auch jeder Provider für seine Leistungen im Inland garantieren. Darüber hinaus muss nach einer neuen EU-Verordnung jeder Provider seit Ende August innerhalb von 24 Stunden Verlust oder Diebstahl personenbezogener Kommunikationsdaten in der EU bei den zuständigen nationalen Behörden melden.

Datensicherheit für Cloud-Nutzung ebenso relevant

Der zweite wichtige Aspekt der Cloud-Nutzung ist im nationalen wie im internationalen Kontext immer die Daten- und Informationssicherheit. Das Ausspähen im Netz ist so alt wie das Internet selbst: Schon von Beginn an waren Hacker wie Geheimdienste daran interessiert, an möglichst wertvolle Daten heranzukommen. Und so verwerflich das für den Privatmenschen im ersten Augenblick klingen mag, viele Geheimdienste handeln für ihr Land mit einem legalen staatlichen Auftrag. In der britischen Gesetzgebung ist Wirtschaftsspionage im Ausland genauso legitim wie in Ländern wie Frankreich, Luxemburg oder den Niederlanden. Man muss also gar nicht bis in die USA oder nach China blicken, um auf Spionageabsichten zu stoßen.

Spionage so alt wie die Menschheit

Was den NSA-Skandal so ungeheuerlich macht, ist eher das Ausmaß für den Privatnutzer. Nach und nach wird immer klarer: NSA und GHCQ haben ihre Kompetenzen weit überschritten, indem sie flächendeckend und verdachtsunabhängig Daten gesammelt haben. Die Kontrolle über das Tun dieser Geheimdienste ist somit kaum noch gegeben. Und der Kontrollverlust geht noch weiter: Niemand kann Aussagen über die Korrektheit und Integrität der Datenverarbeitung auf Seiten der Geheimdienste machen. Missbrauch und Manipulation stehen also Tür und Tor offen. Vor diesem Szenario kann sich niemand schützen, denn die gesetzliche Grundlage für dieses Tun ist von vornherein verletzt worden.

Eine ganz andere Dimension hat der derzeitige Spionage-Skandal für Unternehmen: Wie schon erwähnt, sind Unternehmen auf der ganzen Welt Wirtschaftsspionage seitens staatlicher wie privater Stellen ausgesetzt. Das war vor dem NSA-Skandal so und hat sich danach auch nicht geändert. Das Ausmaß der Bedrohung ist gleich geblieben, auch wenn die Medien immer wieder Hiobsbotschaften melden und damit nicht selten die Situation verzerren. So berichteten führende deutsche Nachrichtenmagazine Anfang September auf ihren Internetseiten, dass SSL, Voice over IP und VPN geknackt seien. Eine Unschärfe, denn VPNs und VoIP sind per se nicht verschlüsselt, während unsichere SSL-Zertifikate (Secure Sockets Layer) schon vor Jahren für Schlagzeilen sorgten.

Die Methoden sind gleich geblieben

Das Problem von SSL liegt – wie in den vergangenen Jahren auch – meist in gefälschten Zertifikat-Autoritäten, nicht in der geknackten Technologie. SSL-Zertifikate erfüllen zweierlei Aufgaben: Auf Webservern installiert, liefern sie einerseits das nötige Schlüsselmaterial, damit Besucher der Webseiten überhaupt verschlüsselte Verbindungen zu dieser Seite aufbauen können. Zum anderen bieten sie den Nutzern einer Webseite die Möglichkeit zu überprüfen, ob es sich bei der besuchten Seite tatsächlich um den entsprechenden Anbieter handelt. Sie schützen so beispielsweise vor Phishing-Angriffen oder vor Betrug. Die in den Browsern hinterlegten Certificate Authorities (CA) stellen solche Zertifikate an die Betreiber von Webseiten nur dann aus, wenn die Identität des Anbieters überprüft wurde.

Eines der Probleme ist, dass die Integrität einer CA nicht überprüfbar ist. Hat jemand Zugriff auf eine der weltweit etwa 600 öffentlichen CAs und dort gefälschte Zertifikate ausgestellt, werden diese ohne Warnung akzeptiert. Entsprechende Vorfälle hat es im Zusammenhang mit Phishing-Angriffen auch im Kontext mit Spionage bereits gegeben.

Wenn niemand mitlesen soll, hilft nur Verschlüsselung. Das betrifft E-Mails genauso wie VPNs oder Datenspeicher. Allerdings unterscheidet sich die Sicherheit der Verfahren wesentlich. Während symmetrische Verfahren in der Regel schneller sind, erhöhen viel aufwendigere, asymmetrische Verfahren abhängig von Algorithmus und Schlüssellänge die Sicherheit deutlich (siehe Bild 2). Wichtige Verfahren zur E-Mail-Verschlüsselung basieren darauf genauso wie IPSec.

Schutz über Ländergrenzen hinweg schwer sicherzustellen

Generell unterliegt der Datenverkehr immer den Datenschutzbestimmungen des jeweiligen Landes, durch den er gerade fließt. Gleichzeitig ist für den Nutzer in der Regel nicht ersichtlich, welche Strecke die gesendeten Datenpakete nehmen. Telefonieren zwei Geschäftspartner beispielsweise via VoIP zwischen München und Frankfurt, kann es gut sein, dass dieses Gespräch über Großbritannien oder die USA läuft. Diese Datenführung liegt in der Natur des Internets. Generell weiß man im Internet in der Regel nicht, welchen Weg die Kommunikation geht und welche Gesetzgebungen für die jeweilige Route gelten.

Im Inland ist die Bedrohung also weniger durch einen Datenschutz-Wirrwarr gegeben als durch unrechtmäßige Zugriffe und Hacker-Angriffe. Letztlich helfen nur Verschlüsselungen, um Inhalte zu schützen. Ein weiterer Knackpunkt, denn längst nicht alle Staaten erlauben verschlüsselten Datenverkehr. Einige lassen auch nur ganz bestimmte Algorithmen zu. Den Schutz von Verbindungsdaten in jedem Fall zu gewährleisten, bleibt eine Utopie.

Internationale Cloud-Nutzung braucht Vorsichtsmaßnahmen

Unternehmen, die mit internationalen Standorten kommunizieren oder internationale Cloud Services nutzen wollen, sollten sich im Vorfeld genau informieren, auf welche Datenschutzbestimmungen sie treffen und die Risiken abwägen. Nützlich ist es in diesem Zusammenhang, die Daten zu klassifizieren: Normale E-Mail-Kommunikation hat beispielsweise eine ganz andere Sicherheitsstufe als vertrauliche Baupläne oder Konstruktionszeichnungen. Je nach Datenart sind dann auch die Transferwege und Speicherorte zu bestimmen. Das bedeutet im Zweifel: Personenbezogene Daten in jedem Fall bei sich behalten und nicht nach außen oder in die Cloud geben. Aus Sicherheitsaspekten sollten vertrauliche Dokumente verschlüsselt transportiert und gespeichert werden.

Seine Informationen so teuer wie möglich machen

In Anbetracht dessen, dass technologiegetriebene Konzerne in Deutschland tagtäglich von Hackern angegriffen werden, scheint die Tragweite des NSA-Skandals für Unternehmen eher nebensächlich. Das Positive am derzeitigen Skandal ist, dass die Themen Informationssicherheit und Datenschutz bei IT-Verantwortlichen so präsent sind wie nie. Das Internet birgt eine Vielzahl an Gefahren, die im Business-Kontext sehr großen Schaden anrichten können, angefangen bei Datendiebstahl über Betrug bis zur Erpressung. Die Gegner sind rivalisierende Länder genauso wie Cyberkriminelle oder konkurrierende Unternehmen. Der einzige Unterschied im „Club der Bösewichte“ sind die Möglichkeiten: Staatlich getriebene Aktionen verfügen selbstverständlich über viel größere Ressourcen als Hacker-Angriffe.

Absolute Sicherheit lässt sich niemals darstellen. Je wertvoller die Information, desto begehrter ist sie auch bei Cyber-Kriminellen. Es geht vielmehr darum, die Sicherheitshürden so hoch zu schrauben, dass der Beschaffungsaufwand den Wert der Information übersteigt. Hier können Cloud Services mit höheren Sicherheitsmechanismen unter Umständen sogar helfen, wenn sie von deutschen Unternehmen im Bundesgebiet betrieben werden. (ak)

Frank Hoffmann ist Datenschutzbeauftragter beim Cloud Service Provider BCC Business Communication Company GmbH.