Drücke die Tasten ◄ ► für weitere Artikel  

Eine Lehre aus dem PRISM-Skandal: Du bestimmst, wo dein Cloud-Rechenzentrum steht

Die Cloud ist wie eine Immobilie, die Lage ist entscheidend. Wo du deine Daten hosten lässt und wie sicher diese damit sind, bestimmst du. Ein Gastbeitrag von Amy Armitage und Timo Mankartz.

Eine Lehre aus dem PRISM-Skandal: Du bestimmst, wo dein Cloud-Rechenzentrum steht

In früheren Zeiten der Computergeschichte gab es noch den Trend, Daten lokal zu halten – auf sicheren isolierten Systemen. Mit dem Trend der oder auch so genannter Software-as-a-Service-Angeboten (SaaS) bewegen sich der Markt und vor allem der Kundenwunsch immer weiter in Richtung Access Anywhere – Zugriff zu jeder Zeit und von überall auf der Welt. Kostengünstige On-Demand-Dienste sind jetzt Mainstream. Tatsächlich befindet sich die Zukunft der IT in der Cloud.

Cloud-Computing setzt sich durch und tausende Dienste und Services sprießen überall auf der Welt aus dem Boden, eine wichtige Frage bleibt dabei meist vom Nutzer unbeachtet – die geografische Lage der Daten.

Der aktuelle PRISM-NSA-Skandal und auch die Überwachung des eigenen Landes mittels Drohnen in den USA befeuern dieses brisante Thema der Überwachung und macht die Standortfrage der Cloud zu einem elementaren Bestandteil der Diskussionen. Endlich sind ist eine echte Diskussionen in der Off- und Online-Welt zum Thema Sicherheit und Standort entbrannt.

Entfernung kann das Risiko erhöhen

Die Zukunft der IT befindet sich in der Cloud. (Foto: iStockfoto)
Die Zukunft der IT befindet sich in der Cloud. (Foto: iStockfoto)

Auf der untersten Ebene, der Netzwerk-Ebene, wird der Cloud-Anbieter oft aufgrund von Performance und Latenzen ausgewählt. Für Nutzer, die Wert auf Performance und Latenz legen, kommen Anbieter auf anderen Kontinenten oft nicht in die engere Auswahl. „Risikominimierung oder Preis?“ ist oft die Entscheidende Frage. Fischkutter oder Naturereignisse wie Erdbeben führen jedes Jahr zu mehr als 50 Ausfällen bei den Atlantik-Unterseekabeln. Derart starke Abhängigkeiten von weit entfernten Cloud-Anbietern können für Unternehmen ein nicht abschätzbares Risiko bedeuten und führen oft zu Unterbrechungen der Services und damit zu finanziellen Schäden.

Traditionen und lokale Kultur nicht außer Acht lassen

Jedes Land hat seine eigenen Traditionen und Unternehmenskultur, die sich für ausländische Kunden oft nur schwer begreifen lassen. Ein gutes Beispiel dafür sind die häufig auftretenden gegenseitigen Missverständnisse zwischen amerikanischen Unternehmen und japanischen Kunden.

So ist es nur logisch, dass Kunden aus der ganzen Welt am liebsten in der gleichen Kultur, Zeitzone und eigenen Sprache sowie zu bekannten lokalen Gegebenheiten handeln wollen. Zudem kann ein weit entferntes Support- oder Sales-Team, das zusätzlich oft nur virtuell zur Verfügung steht, nicht mit dem lokalen Team des ortsansässigen Cloud-Anbieters konkurrieren.

Die rechtlichen Aspekte und Auswirkungen der Cloud

Die wohl wichtigste Frage bei der Auswahl des Cloud-Anbieters ist: Welche rechtliche Auswirkungen hat der Standort der Cloud? Datenschutzgesetze variieren von Land zu Land.

Wenn der Cloud-Anbieter seinen Firmensitz in Deutschland hat, die Daten aber in den USA speichert, gelten die dort vorherrschenden Datenschutzgesetze. Aus diesem Grund sind die deutschen Kunden bei dieser Frage sehr sensibel und bevorzugen zu 99 Prozent Cloud-Anbieter, bei denen die Daten das deutsche Hoheitsgebiet nicht verlassen. Das US-Recht ermöglicht Geheimdiensten den Zugriff auf alle Daten, die in den USA gespeichert werden – somit auch auf die Daten ausländischer Kunden. Im europäischen Datenschutzgesetz gibt es daher per se schon ein Verbot für die Speicherung von bestimmten Daten außerhalb Europas.

Eine verbindliche Regelung zur Auftragsdatenverarbeitung ist für deutsche Unternehmen, die den Schritt in die Cloud wagen, unverzichtbar. In manchen Ländern gibt es so gut wie gar keinen Datenschutz oder verbindliche Aussagen seitens der Anbieter, wie es die Regelung zur Auftragsdatenverarbeitung vorschreibt.

Einige der weltweit größten Cloud-Anbietern wie zum Beispiel OpenShift oder Heroku verlassen sich noch immer ausschließlich auf den Rechenzentrumsstandort USA. Heroku hat erste Schritte unternommen und vor kurzem die Beta für die erste Europa-Region in der Amazon-Cloud gestartet, um hier einer Zertifizierung in Richtung Safe-Harbor-Abkommen näher zu kommen.

Zum jetzigen Zeitpunkt ist jedoch keines der oben genannten Unternehmen Teil des Safe-Harbor-Programms. Safe Harbor ist eine besondere Datenschutz-Vereinbarung zwischen der Europäischen Union und den Vereinigten Staaten, die es europäischen Unternehmen ermöglicht, personenbezogene Daten legal in die USA zu übermitteln.

Jetzt müssen wir weiter beobachten welche Folgen sich aus dem PRISM-Skandal für unser Business ergeben und was noch alles zu Tage gefördert wird. Tatsache ist jedoch, dass viele große Cloud-Anbieter schon jetzt damit beginnen, neue Rechenzentren außerhalb der USA zu eröffnen – und das aus gutem Grund: Insbesondere Amazon geht hier mit großen Schritten voran und betreibt mittlerweile acht Standorte außerhalb der USA in Europa. Microsoft Windows Azure hat vier Rechenzentren in den USA, eines in Ostasien, eines in Süd-Ost-Asien und zwei in Europa.

Da kommt mehr und mehr die Frage auf, ob dieser Skandal nur den Kunden schadet, die Cloud-Dienste in den USA nutzen, oder auch und verstärkt der eigenen amerikanische Wirtschaft?

Der PaaS-Anbieter Jelastic ist anders aufgestellt und eine Alternative zu Anbietern wie Amazon, Heroku oder OpenShift [Disclosure: Die Autorin ist Director of Strategic Partner Development bei Jelastic, der Autor verantwortet als Geschäftsführer das operative Geschäft des Jelastic-Partners dogado]. Jelastic wird heute von vielen lokalen Providern unter Berücksichtigung lokaler und kultureller Gegebenheiten angeboten. Jelastic Services sind in den folgenden Ländern verfügbar: USA (ServInt), Deutschland (dogado in Kooperation mit Host Europe), Russland (Rusonyx), UK (Layershift), Japan (Tsukaero), Finnland (Planeetta Internet), Brasilien (Websolute), Schweden (Elastx), Niederlande (Info.NL) und Schweiz (Flow).

Gerade aus der Perspektive deutscher Kunden ist die Standortfrage, was die Datenspeicherung angeht, ein kritischer Punkt. Fragt euren Cloud-Anbieter nach seinem Dokument zur Auftragsdatenverarbeitung, im Sinne des Bundesdatenschutzgesetzes. Hier sollten neben der Erhebung, Verarbeitung oder Nutzung von personenbezogenen Daten durch den Cloud-Anbieter auch Details zu Themen wie Rechten, Pflichten und Maßnahmen in Bezug auf die Speicherung Ihrer Daten beschrieben sein.

Deutschland erreicht im Ranking der sichersten Rechenzentren Platz 4

Anhand von 13 Kriterien wird der „Datacenter Risk Index“ durch die Beratungshäuser Hurleypalmerflatt, Cushman & Wakefield und Source8 erstellt. Kriterien wie Energiekosten, internationale Bandbreite und die Möglichkeit, störungsfrei Geschäfte zu machen, wurden dabei am höchsten gewichtet. Sieben weitere Kriterien, die weniger stark gewichtet wurden, sind: Unternehmensbesteuerung, Arbeitskosten, politische Stabilität, Nachhaltigkeit, Naturkatstrophen, Bildungsniveau und Energiesicherheit. Am wenigsten Beachtung fanden die Kriterien Bruttoinlandsprodukt pro Kopf, Inflationsrate und Verfügbarkeit von Wasser.

Gesetzgebung und Datenschutz in den einzelnen Ländern wurden durch die Beratungshäuser für das Ranking gar nicht berücksichtigt – hier wird man nacharbeiten müssen, um diesen kritischen Faktor in Zukunft zu berücksichtigen und entsprechend zu bewerten.

PRISM könnte die Cloud für immer verändern

Der PRISM-Skandal könnte die Cloud und den Markt für immer verändern. Wie eine Naturkatastrophe verbreitete sich die Information über den wohl größten Abhörskandal der IT Geschichte. Viele Cloud-Anbieter arbeiten an neuen, international einheitlichen Standards für die Cloud. Interoperabilität, Vendor-LockIn und Schnittstellen sind nur einige Begriffe, an denen in der Branche übergreifend gearbeitet und geforscht wird. Weiterhin ist der rechtliche Aspekt in einer so stark international vernetzen Welt noch immer unklar und nur in kleinen Schritten geregelt – Stichwort: Safe Harbor.

Australische Oppositionspolitiker wollen untersuchen lassen, ob australische Bürger von dem jüngst aufgedeckten US-Überwachungsprogramm betroffen sind. Es ist nur eine Frage der Zeit, bis andere Regierungen ebenfalls weitere Untersuchungen in dieser Richtung anstellen werden.

Über die Autoren

Amy Armitage (amy.armitage@hivext.net) ist Director of Strategic Partner Development bei Jelastic. Jelastic, ein amerikanisch-ukrainisch-russisch geprägtes Unternehmen, konzipiert Lösungen für Java- und PHP-Entwickler. Jelastic ist in der Lage, Java/PHP-Anwendungen automatisch zu skalieren und benötigte Serverressourcen bereitzustellen sowie anzupassen.

Timo Mankartz (tm@dogado.de) verantwortet als Geschäftsführer das operative Geschäft der dogado Internet GmbH, einem Managed Service Provider mit Sitz in Dortmund. Nach siebenjähriger Tätigkeit bei einem weltweit agierenden Kommunikationskonzern übernahm Timo Mankartz Anfang 2007 die Position des Geschäftsführers und Gesellschafters von dogado.

Weiterführende Links

Bildnachweis für die Newsübersicht: © iStockphoto / Nikada

112 Shares bis jetzt – Dankeschön!

Bewerten
VN:F [1.9.22_1171]
18 Antworten
  1. von tim am 08.07.2013 (14:11Uhr)

    "Aus diesem Grund sind die deutschen Kunden bei dieser Frage sehr sensibel und bevorzugen zu 99 Prozent Cloud-Anbieter, bei denen die Daten das deutsche Hoheitsgebiet nicht verlassen." Beleg??
    Irgendwie ein trauriger Beitrag... scheinbar haben die Autoren das Problem mit Prism noch nicht verstanden. Wird ein wichtiger Internetknotenpunkt angezapft, ist es egal, wo die entsprechenden Server stehen. Das Routing im Internet ist explizit darauf ausgelegt, NICHT immer die gleiche (= kürzeste) Route für den Datenverkehr zu verwenden. Was bringt es mir also, wenn ich ein Rechenzentrum in Deutschland stehen habe, wenn meine Daten trotzdem an einem angezapften Knotenpunkt vorbeikommen?

  2. von Niko Ing via facebook am 08.07.2013 (14:31Uhr)

    Da hat jemand die Prism Problematik nicht verstanden. Die Lage des Anbieters ist irrelevant, vor Allem nach der jüngsten Stellungnahme Schäubles.

  3. von Panagiotis Bobolakis via facebook am 08.07.2013 (14:50Uhr)

    Leute, es ist doch völlig egal, wo man seine Sachen gespeichert hat.
    Das Internet weiß alles über uns. Unsere Leichtsinnigkeit in der Vergangenheit ist nicht zuletzt daran Schuld.
    Egal was man jetzt versucht zu machen, game over.
    Außerdem: Wenn wir wirklich glauben frei im Web zu sein, dann irren wir uns und das gewaltig.
    Wir müssen nun damit leben.
    Ich für meinen Part habe - um es mal auffällig zu formulieren - kein Problem damit. Zu behaupten es war mir klar, dass sowas vorkommt, ist eine Lüge, hingegen zu behaupten, dass ich nie damit gerechnet habe ist eine noch größere Lüge. Zusammenfassend: Es stört mich nicht, solange es zu Sicherheitszwecken gemacht wird, ergo solange ich nicht als Individuum am Leben gestört werde.PS: Es kann nicht etwas ohne regelungen Existieren. Im realen Leben haben wir die Polizei und im Internet den BND, NSA, etc.
    Wirbel um eine Sache, die nicht so verwunderlich ist.

  4. von Olaf Barheine am 08.07.2013 (15:14Uhr)

    Meine persönliche Lehre: Ich werde auch in Zukunft keine sensiblen Projektdaten im Netz speichern. Nicht dass mich die Machenschaften der Geheimdienste irgendwie überraschen würden. Das Ausmaß allerdings schon. Auch hätte ich die nach meinem Gusto ein wenig zu neugierigen Schlapphüte eher in Fernost erwartet.

  5. von Snowden, Edward am 08.07.2013 (15:27Uhr)

    Da kann ich nur mit dem Kopf schütteln. Ne Ne Ne

  6. von Peter Hadorn am 09.07.2013 (09:42Uhr)

    Ich trau keiner Cloud, egal wo der Rechner steht... Und mit einem Schutz vor PRISM & Co hat das leider gar nix zu tun! Dies ist ein schwacher PR Artikel, zum Glück sind wir von t3n Besseres gewohnt :)

  7. von Facepalm am 09.07.2013 (10:23Uhr)

    Leute, so ganz richtig verstanden habt ihr es auch nicht!

    Es macht sehr wohl einen Unterschied, wo die Daten liegen! Würde eure Pornosammlung in den USA liegen, könnte die NSA direkt drauf zugreifen - der Provider möchte ja nicht als unamerikanisch oder gar als Terrorhelfer gelten - während Daten woanders abgegriffen werden müssten. Das kann durchaus "dauern", weil nur tatsächlich transferierte Daten abgegriffen werden können. Zumal sich das mit einer (Übertragungs-)Verschlüsselung auch noch deutlich schwieriger gestalten würde. Somit birgt der direkte Zugriff in einer US-Cloud deutlich mehr (unkalkulierbare) Risiken. Rein rechtlich betrachtet wäre es vermutlich schon als "fahrlässig" zu werten, wenn man sensible Daten (Unternehmens- oder Kundendaten) absichtlich "wider besseren Wissens" bei einem Provider lagert, wo Dritte (nach unserem Recht unbefugten) Zugriff drauf haben.

    Viel schlimmer ist doch, dass der Artikel lediglich eine plumpe Werbung für Dogado und Co ist, verkleidet als Artikel.

  8. von Peter Hadorn am 09.07.2013 (10:46Uhr)

    Facepalm, Du hast bestimmt Recht dass US-Clouds noch grössere Risiken beinhalten. Aber woher weisst Du, dass der BND keinen Zugriff auf deutsche Clouds hat?

  9. von tim am 09.07.2013 (11:03Uhr)

    @Facepalm: Das würde voraussetzen, dass die NSA direkt im Rechenzentrum einen Zugang hat. Ich weiß nicht, ob das wirklich so praktikabel für die wäre... einen Internet-Knotenpunkt anzuzapfen hätte dem gegenüber einige Vorteile.

  10. von Marc J. Schmidt via facebook am 09.07.2013 (11:04Uhr)

    Was interessiert mich der Lagerort, wenn man alle Straßen abhören kann, die dort angebunden sind.

  11. von PRISM Break: Diese Tools und Dienste sch… am 09.07.2013 (11:10Uhr)

    [...] Eine Lehre aus dem PRISM-Skandal: Du bestimmst, wo dein Cloud-Rechenzentrum steht – t3n News [...]

  12. von Facepalm am 09.07.2013 (15:35Uhr)

    @Peter:
    Es geht um andere Sachen als "welcher Geheimdienst hat wo Zugriffsrechte". Es geht auch um rein rechtliche Fakten. Ob NSA/CIA/FBI nun "direkten Zugriff auf Alles" hat, lässt sich schwer sagen, aber das amerikanische Gebahren ist durchaus schroffer als hier.
    Es geht aber auch um Wirtschaftsspionage. Das mag für den normalen Mittelständler nur bedingt ein Thema sein, aber wenn ein Unternehmen zB Patente hält, könnte es durchaus interessant werden "da mal reinzuschauen". Für den BND wäre es uninteressant.
    Nicht vergessen sollte man, dass sich deutsche Behörden auch im Falle einer Straftat Zugriff zu Servern verschaffen können. Umso wichtiger, dass zB Daten verschlüsselt auf dem Server liegen.
    Und gerade bei solchen Aktionen können spezialisierte (deutsche) Firmen weiterhelfen, um Begriffe wie "Cloud" und "Verschlüsselung" zusammen zu bringen. Das sind natürlich etwas speziellere Lösungen, und nix von der Stange.

    Aber gerade damit hat man doch bekannte Gefahren gebannt:
    * Daten laufen nicht aus Europa raus (in der Praxis läuft kaum eine Route mit Start und Ziel in Deutschland aus Deutschland raus) und können so nicht an einem Glasfaserkabel abgeschöpft werden
    * Sollte die _Verbindung_ verschlüsselt sein, wären mitgeschnittene Datenströme relativ nutzlos
    * Sind die Daten in der Cloud verschlüsselt, hilft auch kein physischer Zugang (ohne Passwort zum Entschlüsseln)

    Daraus resultiert die höchst*mögliche* Sicherheit für Unternehmen, wenn es um Cloud (-datenspeicherung) geht. Das ist dann rechtlich auch datenschutzkonform (Achtung: keine Rechtsberatung hier!).

    Nur wäre das bei einer Speicherung in einer US Cloud eben fragwürdig. Ich möchte keine Antwort auf die Frage "Sie wussten doch, dass Kommunikationsströme in Richtung USA abgehört werden! Warum haben Sie das Risiko bewusst in Kauf genommen?" eines Richters geben müssen ;)

  13. von Heml.is: Abhörsicherer Messenger vom Pi… am 12.07.2013 (07:49Uhr)

    [...] Eine Lehre aus dem PRISM-Skandal: Du bestimmst, wo dein Cloud-Rechenzentrum steht – t3n News [...]

  14. von Private Cloud mit NAS: So wirst du dein… am 21.07.2013 (16:31Uhr)

    [...] und Facebook haben – und damit auch auf Unmengen privater Nutzerdaten. Sicherlich kann man, statt eine Private Cloud aufzusetzen, auch Cloud-Anbieter aus anderen Ländern nutzen, aber damit ist noch lange nicht sichergestellt, dass nicht doch irgendein Geheimdienst oder [...]

  15. von Cloud-Speicher: Stiftung Warentest rät… am 30.07.2013 (17:11Uhr)

    [...] Eine Lehre aus dem PRISM-Skandal: Du bestimmst, wo dein Cloud-Rechenzentrum steht – t3n News [...]

  16. von Die Wirtschaft der Vereinigten Staaten:… am 10.10.2013 (22:21Uhr)

    […] Eine Lehre aus dem PRISM-Skandal: Du bestimmst, wo dein Cloud … […]

Deine Meinung

Bitte melde dich an!

Du musst angemeldet sein, um einen Kommentar schreiben zu können.

Jetzt anmelden

Mehr zum Thema Cloud Computing
5 Cloud-Storage-Giganten im Vergleich: Das sind die Ergebnisse des Hasso-Plattner-Instituts
5 Cloud-Storage-Giganten im Vergleich: Das sind die Ergebnisse des Hasso-Plattner-Instituts

Das Hasso-Plattner-Institut hat einen Vergleich der fünf größten Cloud-Speicherdienste vorgelegt. Eine eindeutige Empfehlung sprechen die Wissenschaftler allerdings nicht aus. » weiterlesen

ownCloud 6: Selbst gehostete Cloud-Lösung unterstützt Dokumentenbearbeitung wie bei Google Drive
ownCloud 6: Selbst gehostete Cloud-Lösung unterstützt Dokumentenbearbeitung wie bei Google Drive

ownCloud 6 wurde veröffentlicht. Die neue Version der Cloud-Lösung zum selbst Hosten bietet jetzt auch eine Möglichkeit, um Dokumente gemeinsam zu bearbeiten. » weiterlesen

Private Cloud mit NAS: So wirst du dein eigener Hoster (Teil 1)
Private Cloud mit NAS: So wirst du dein eigener Hoster (Teil 1)

Dropbox, Google Mail oder iCloud: Spätestens, seit Prism durch die Medien geistert, sehen viele Unternehmen und Privatpersonen die viel gehypte Cloud skeptisch. Eine Lösung hierfür ist das... » weiterlesen

Kennst Du schon unser t3n Magazin?

t3n 35 jetzt kostenfrei probelesen! Alle Inhalte des t3n Magazins Diesen Hinweis verbergen