Cloud Computing ist stark vereinfacht gesagt: Das geräteunabhängige Teilen von Computerressourcen über das Internet. Hierzu zählen insbesondere das Vorhalten von Cloud Speicher, das Filesharing und Tools zum kollaborativen Arbeiten.
Cloud – Oder auch: „Der Computer von anderen“
Eines sollte man sich vor Augen führen. Wer eine Cloud nicht selbst administriert und hostet, nutzt die Infrastruktur von anderen. Daten, die nicht Ende-zu-Ende verschlüsselt sind, können von den Anbietern jederzeit gesichtet, gescannt und somit letztlich auch missbraucht werden. Dies sollte man immer im Hinterkopf behalten, wenn man bereit ist, Daten auf fremden Servern zu speichern.
Wie sieht die derzeitige Situation aus?
Die bekanntesten und größten Cloud-Anbieter haben erstmal eines gemeinsam. Es sind amerikanische Unternehmen und für sie gelten in erster Linie auch amerikanische Gesetze.
Apple kam zuletzt in die Kritik, da das Unternehmen angekündigt hat, die Bilder, die in Apples Cloud-Service (iCloud) hochgeladen werden, nach Missbrauchsfotos von Kindern zu scannen. In Amerika werden Cloud-Anbieter dazu angehalten, Bilder, die sich auf deren Cloud-Lösungen befinden, gegen eine Datenbank des NCEMC (National Center for Missing & Exploited Children) abzugleichen. Die anderen großen amerikanischen Anbieter, die auch in Deutschland sehr beliebt sind, tun dies bereits seit Jahren. Google, Amazon, Microsoft, Dropbox etc..
Das Gleiche gilt übrigens zum Teil auch für E-Mail-Anbieter, Content Delivery Networks (CDN’s) oder andere Cloud-Lösungen wie bspw. die mittlerweile cloudbasierte Adobe Suite. Das NCEMC bezeichnet die Verwendung von „Ende-zu-Ende-Verschlüsselungen“ als ein Problem und kommentiert das auch so auf seiner Webseite.
Dem automatisierten Scannen der Bilder und Texte auf vielen Cloud-Anwendungen sind sich viele Nutzer, wie es erscheint, nicht bewusst. Anders lässt sich der Sturm der Entrüstung auf die Ankündigung von Apple nicht erklären. Bei Apple kommt aber natürlich noch hinzu, dass sie sich in ihrem Selbstverständnis als das einzige „Big Tech“-Unternehmen darstellen, welches das Thema Privacy respektiert.
Generell verlagern viele Anbieter immer mehr Services in die Cloud. Insbesondere Microsoft mit seiner Office-/Kollaborations-Anwendung Microsoft 365, zeigt, wohin die Reise für viele digitale Dienstleistungen vermutlich gehen wird. Für Unternehmen stellen solche Angebote eine große Herausforderung bezüglich der Wahrung von Vertrautheit und Sicherheit der dort verarbeiteten Daten dar. Weil dort ein Datenzugriff des US-Unternehmens und somit auch der US-Regierung nicht ausgeschlossen werden kann, hatte die Datenschutzkonferenz im letzten Jahr befunden, dass Microsoft hier den DSGVO-Ansprüchen an Auftragsverarbeiter nicht genüge.
Also, wir halten fest: Die Daten, die auf den bekannten Cloud-Lösungen gespeichert sind, liegen dort standardmäßig unverschlüsselt und können in der Theorie jederzeit von den Anbietern eingesehen und somit auch missbraucht werden.
Es gibt auch Lösungen, die eine Ende-zu-Ende-Verschlüsselung versprechen
Ja, die gibt es. Sie wollen genau die Personen ansprechen, die diese Problematik sehen und nach einer Lösung für ein sicheres Speichern ihrer Daten suchen.
Das Problem hierbei ist aber, dass, selbst wenn ein Anbieter eine vollständige Verschlüsselung ab Werk verspricht, diese nur schwer zu belegen ist. Wenn der Quelltext nicht Open Source ist, kann er nicht von den Nutzern überprüft werden. Oftmals lassen Anbieter auch ein Sicherheitsaudit von Drittfirmen anfertigen. Dies ist sicher richtig und wichtig. Das Vertrauen, dass das Audit vollständig und unabhängig durchgeführt wurde, müssen die Kunden aber dennoch haben.
Anbieter, die Ende-zu-Ende-Verschlüsselung versprechen, können oftmals nicht mit der Usability und den Features der Marktführer mithalten. Zudem sind die Lösungen, die man als seriös bezeichnen kann, in der Regel teurer und auch das Thema Auftragsverarbeitung ist häufig ein Problem.
Cloud Infrastruktur – Ein europäisches Problem
Neben den Anbietern auf Seiten der Software gibt es für europäische Cloud-Lösungen ein noch weitreichenderes Problem. Es fehlt im Vergleich zur Konkurrenz einfach an Rechenzentren.
Insbesondere Microsoft und Amazon haben hier in den letzten Jahren eine Infrastruktur aufgebaut, die mittelfristig nur schwer einholbar zu sein scheint. Auch viele kleinere Anbieter von Cloud-Lösungen nutzen eine der beiden Infrastrukturen.
Um die europäische Zukunft unabhängiger gestalten zu können, wurde im Jahr 2020 die internationale Non-Profit-Organisation GAIA-X gegründet. Ziel ist der Aufbau einer unabhängigen europäischen Dateninfrastruktur.
Zu ihren Mitgliedern zählen namhafte, aber auch mittelständische Unternehmen aus ganz Europa und teilweise auch darüber hinaus. Ob das Projekt erfolgreich sein wird und ob man es schafft sich dem Einfluss der Big Tech-Unternehmen entziehen zu können, wird die Zukunft zeigen. Bestrebungen eine europäische Unabhängigkeit zu erreichen ist gewiss ein wichtiger Schritt. Das Bundesministerium für Wirtschaft und Energie stellt eine Publikation als PDF bereit, die das Projekt GAIA-X vorstellt.
Wie geht man nun am besten vor, wenn man die Vorteile von Cloud-Umgebungen nutzen will?
Wie gesagt, es geht in erster Linie um Vertrauen. Wer seine Cloud-Lösung nicht selbst hostet und administriert, sollte sich vorab mit dem potenziellen Anbieter beschäftigen. Es ist generell eine gute Idee nicht auf Anbieter außerhalb der Europäischen Union oder Länder, die über kein vergleichbares Datenschutzniveau verfügen, zu setzen. Das hat schon allein mit der EU-Datenschutz Grundverordnung zu tun. Aber auch die nationalen Gesetze des Anbieters können problematisch sein.
Das beste Beispiel sind die USA mit ihren Marktführern. Die amerikanische Regierung räumt sich mit dem sogenannten CLOUD Act weitreichende Rechte zur Strafverfolgung ein.
Der CLOUD Act habe klarstellen sollen, dass ein dem US-Recht unterfallendes Unternehmen einem Herausgabeverlangen bezüglich elektronischer Beweismittel in Strafverfahren nachkommen müsse, gleich wo sich die Daten befänden.
Wissenschaftliche Dienste des Deutschen Bundestags: US-Datenrecht – Zugriff US-amerikanischer Behörden auf Daten
Dies ist auch dem Bundestag bekannt. Für amerikanische Anbieter bedeutet dieses Gesetz somit: Sie können/müssen sich aussuchen, welches Recht sie verletzen wollen. Da es Unternehmen durch die DSGVO nicht ohne hohe Hürden (Artikel 44 ff. DSGVO) erlaubt ist, Daten von EU-Bürgern auf Servern innerhalb der EU an ausländische Behörden oder sonstige Institute zu übermitteln, kollidiert das Gesetz mit dem CLOUD Act, der wie oben zitiert genau das fordert.
Eine quelloffene Möglichkeit seine eigene Cloud-/Kollaborationsplattform zu hosten und zu administrieren bietet beispielsweise Nextcloud.
Ansonsten gibt es natürlich auch noch die Möglichkeit, die Daten vor dem Upload zu verschlüsseln. Dies beeinträchtigt aber oftmals die Usability und Benutzerfreundlichkeit. Zudem erfordert eine zuverlässige Verschlüsselung informationstechnische (Grund-)Kenntnisse. Tools, die für die Verschlüsselung von Dateien in Cloud-Umgebungen verwendet werden können, sind beispielsweise:
Cryptomator oder Boxcryptor
Fazit
Sind also in der Cloud unsere Daten bereits geklaut? Nein. Wenn die Daten allerdings nicht verschlüsselt sind, haben Nutzer jedoch keine Kontrolle darüber, ob auf Daten innerhalb externen Infrastrukturen zugegriffen wird.
Somit sollte sich jeder, der cloud-basierte Dienste nutzt, immer die Frage stellen: „Vertraue ich diesem Anbieter und vertraue ich bei ausländischen Angeboten letztlich auch der Jurisdiktion, die der Dienstleister untersteht?“
—
Pyngu Digital
