Vorheriger Artikel Nächster Artikel

Eine Lehre aus dem PRISM-Skandal: Du bestimmst, wo dein Cloud-Rechenzentrum steht

Die ist wie eine Immobilie, die Lage ist entscheidend. Wo du deine Daten hosten lässt und wie sicher diese damit sind, bestimmst du. Ein Gastbeitrag von Amy Armitage und Timo Mankartz.

Eine Lehre aus dem PRISM-Skandal: Du bestimmst, wo dein Cloud-Rechenzentrum steht

In früheren Zeiten der Computergeschichte gab es noch den Trend, Daten lokal zu halten – auf sicheren isolierten Systemen. Mit dem Trend der Cloud oder auch so genannter Software-as-a-Service-Angeboten (SaaS) bewegen sich der Markt und vor allem der Kundenwunsch immer weiter in Richtung Access Anywhere – Zugriff zu jeder Zeit und von überall auf der Welt. Kostengünstige On-Demand-Dienste sind jetzt Mainstream. Tatsächlich befindet sich die Zukunft der IT in der Cloud.

Cloud-Computing setzt sich durch und tausende Dienste und Services sprießen überall auf der Welt aus dem Boden, eine wichtige Frage bleibt dabei meist vom Nutzer unbeachtet – die geografische Lage der Daten.

Der aktuelle PRISM-NSA-Skandal und auch die Überwachung des eigenen Landes mittels Drohnen in den USA befeuern dieses brisante Thema der Überwachung und macht die Standortfrage der Cloud zu einem elementaren Bestandteil der Diskussionen. Endlich sind ist eine echte Diskussionen in der Off- und Online-Welt zum Thema Sicherheit und Standort entbrannt.

Entfernung kann das Risiko erhöhen

Die Zukunft der IT befindet sich in der Cloud. (Foto: iStockfoto)
Die Zukunft der IT befindet sich in der Cloud. (Foto: iStockfoto)

Auf der untersten Ebene, der Netzwerk-Ebene, wird der Cloud-Anbieter oft aufgrund von Performance und Latenzen ausgewählt. Für Nutzer, die Wert auf Performance und Latenz legen, kommen Anbieter auf anderen Kontinenten oft nicht in die engere Auswahl. „Risikominimierung oder Preis?“ ist oft die Entscheidende Frage. Fischkutter oder Naturereignisse wie Erdbeben führen jedes Jahr zu mehr als 50 Ausfällen bei den Atlantik-Unterseekabeln. Derart starke Abhängigkeiten von weit entfernten Cloud-Anbietern können für Unternehmen ein nicht abschätzbares Risiko bedeuten und führen oft zu Unterbrechungen der Services und damit zu finanziellen Schäden.

Traditionen und lokale Kultur nicht außer Acht lassen

Jedes Land hat seine eigenen Traditionen und Unternehmenskultur, die sich für ausländische Kunden oft nur schwer begreifen lassen. Ein gutes Beispiel dafür sind die häufig auftretenden gegenseitigen Missverständnisse zwischen amerikanischen Unternehmen und japanischen Kunden.

So ist es nur logisch, dass Kunden aus der ganzen Welt am liebsten in der gleichen Kultur, Zeitzone und eigenen Sprache sowie zu bekannten lokalen Gegebenheiten handeln wollen. Zudem kann ein weit entferntes Support- oder Sales-Team, das zusätzlich oft nur virtuell zur Verfügung steht, nicht mit dem lokalen Team des ortsansässigen Cloud-Anbieters konkurrieren.

Die rechtlichen Aspekte und Auswirkungen der Cloud

Die wohl wichtigste Frage bei der Auswahl des Cloud-Anbieters ist: Welche rechtliche Auswirkungen hat der Standort der Cloud? Datenschutzgesetze variieren von Land zu Land.

Wenn der Cloud-Anbieter seinen Firmensitz in Deutschland hat, die Daten aber in den USA speichert, gelten die dort vorherrschenden Datenschutzgesetze. Aus diesem Grund sind die deutschen Kunden bei dieser Frage sehr sensibel und bevorzugen zu 99 Prozent Cloud-Anbieter, bei denen die Daten das deutsche Hoheitsgebiet nicht verlassen. Das US-Recht ermöglicht Geheimdiensten den Zugriff auf alle Daten, die in den USA gespeichert werden – somit auch auf die Daten ausländischer Kunden. Im europäischen Datenschutzgesetz gibt es daher per se schon ein Verbot für die Speicherung von bestimmten Daten außerhalb Europas.

Eine verbindliche Regelung zur Auftragsdatenverarbeitung ist für deutsche Unternehmen, die den Schritt in die Cloud wagen, unverzichtbar. In manchen Ländern gibt es so gut wie gar keinen Datenschutz oder verbindliche Aussagen seitens der Anbieter, wie es die Regelung zur Auftragsdatenverarbeitung vorschreibt.

Einige der weltweit größten Cloud-Anbietern wie zum Beispiel OpenShift oder Heroku verlassen sich noch immer ausschließlich auf den Rechenzentrumsstandort USA. Heroku hat erste Schritte unternommen und vor kurzem die Beta für die erste Europa-Region in der Amazon-Cloud gestartet, um hier einer Zertifizierung in Richtung Safe-Harbor-Abkommen näher zu kommen.

Zum jetzigen Zeitpunkt ist jedoch keines der oben genannten Unternehmen Teil des Safe-Harbor-Programms. Safe Harbor ist eine besondere Datenschutz-Vereinbarung zwischen der Europäischen Union und den Vereinigten Staaten, die es europäischen Unternehmen ermöglicht, personenbezogene Daten legal in die USA zu übermitteln.

Jetzt müssen wir weiter beobachten welche Folgen sich aus dem PRISM-Skandal für unser Business ergeben und was noch alles zu Tage gefördert wird. Tatsache ist jedoch, dass viele große Cloud-Anbieter schon jetzt damit beginnen, neue Rechenzentren außerhalb der USA zu eröffnen – und das aus gutem Grund: Insbesondere Amazon geht hier mit großen Schritten voran und betreibt mittlerweile acht Standorte außerhalb der USA in Europa. Microsoft Windows Azure hat vier Rechenzentren in den USA, eines in Ostasien, eines in Süd-Ost-Asien und zwei in Europa.

Da kommt mehr und mehr die Frage auf, ob dieser Skandal nur den Kunden schadet, die Cloud-Dienste in den USA nutzen, oder auch und verstärkt der eigenen amerikanische Wirtschaft?

Der PaaS-Anbieter Jelastic ist anders aufgestellt und eine Alternative zu Anbietern wie Amazon, Heroku oder OpenShift [Disclosure: Die Autorin ist Director of Strategic Partner Development bei Jelastic, der Autor verantwortet als Geschäftsführer das operative Geschäft des Jelastic-Partners dogado]. Jelastic wird heute von vielen lokalen Providern unter Berücksichtigung lokaler und kultureller Gegebenheiten angeboten. Jelastic Services sind in den folgenden Ländern verfügbar: USA (ServInt), Deutschland (dogado in Kooperation mit Host Europe), Russland (Rusonyx), UK (Layershift), Japan (Tsukaero), Finnland (Planeetta Internet), Brasilien (Websolute), Schweden (Elastx), Niederlande (Info.NL) und Schweiz (Flow).

Gerade aus der Perspektive deutscher Kunden ist die Standortfrage, was die Datenspeicherung angeht, ein kritischer Punkt. Fragt euren Cloud-Anbieter nach seinem Dokument zur Auftragsdatenverarbeitung, im Sinne des Bundesdatenschutzgesetzes. Hier sollten neben der Erhebung, Verarbeitung oder Nutzung von personenbezogenen Daten durch den Cloud-Anbieter auch Details zu Themen wie Rechten, Pflichten und Maßnahmen in Bezug auf die Speicherung Ihrer Daten beschrieben sein.

Deutschland erreicht im Ranking der sichersten Rechenzentren Platz 4

Anhand von 13 Kriterien wird der „Datacenter Risk Index“ durch die Beratungshäuser Hurleypalmerflatt, Cushman & Wakefield und Source8 erstellt. Kriterien wie Energiekosten, internationale Bandbreite und die Möglichkeit, störungsfrei Geschäfte zu machen, wurden dabei am höchsten gewichtet. Sieben weitere Kriterien, die weniger stark gewichtet wurden, sind: Unternehmensbesteuerung, Arbeitskosten, politische Stabilität, Nachhaltigkeit, Naturkatstrophen, Bildungsniveau und Energiesicherheit. Am wenigsten Beachtung fanden die Kriterien Bruttoinlandsprodukt pro Kopf, Inflationsrate und Verfügbarkeit von Wasser.

Gesetzgebung und Datenschutz in den einzelnen Ländern wurden durch die Beratungshäuser für das Ranking gar nicht berücksichtigt – hier wird man nacharbeiten müssen, um diesen kritischen Faktor in Zukunft zu berücksichtigen und entsprechend zu bewerten.

PRISM könnte die Cloud für immer verändern

Der PRISM-Skandal könnte die Cloud und den Markt für immer verändern. Wie eine Naturkatastrophe verbreitete sich die Information über den wohl größten Abhörskandal der IT Geschichte. Viele Cloud-Anbieter arbeiten an neuen, international einheitlichen Standards für die Cloud. Interoperabilität, Vendor-LockIn und Schnittstellen sind nur einige Begriffe, an denen in der Branche übergreifend gearbeitet und geforscht wird. Weiterhin ist der rechtliche Aspekt in einer so stark international vernetzen Welt noch immer unklar und nur in kleinen Schritten geregelt – Stichwort: Safe Harbor.

Australische Oppositionspolitiker wollen untersuchen lassen, ob australische Bürger von dem jüngst aufgedeckten US-Überwachungsprogramm betroffen sind. Es ist nur eine Frage der Zeit, bis andere Regierungen ebenfalls weitere Untersuchungen in dieser Richtung anstellen werden.

Über die Autoren

Amy Armitage (amy.armitage@hivext.net) ist Director of Strategic Partner Development bei Jelastic. Jelastic, ein amerikanisch-ukrainisch-russisch geprägtes Unternehmen, konzipiert Lösungen für Java- und PHP-Entwickler. Jelastic ist in der Lage, Java/PHP-Anwendungen automatisch zu skalieren und benötigte Serverressourcen bereitzustellen sowie anzupassen.

Timo Mankartz (tm@dogado.de) verantwortet als Geschäftsführer das operative Geschäft der dogado Internet GmbH, einem Managed Service Provider mit Sitz in Dortmund. Nach siebenjähriger Tätigkeit bei einem weltweit agierenden Kommunikationskonzern übernahm Timo Mankartz Anfang 2007 die Position des Geschäftsführers und Gesellschafters von dogado.

Weiterführende Links

Bildnachweis für die Newsübersicht: © iStockphoto / Nikada

Vorheriger Artikel Zurück zur Startseite Nächster Artikel
8 Antworten
  1. von tim am 08.07.2013 (14:11 Uhr)

    "Aus diesem Grund sind die deutschen Kunden bei dieser Frage sehr sensibel und bevorzugen zu 99 Prozent Cloud-Anbieter, bei denen die Daten das deutsche Hoheitsgebiet nicht verlassen." Beleg??
    Irgendwie ein trauriger Beitrag... scheinbar haben die Autoren das Problem mit Prism noch nicht verstanden. Wird ein wichtiger Internetknotenpunkt angezapft, ist es egal, wo die entsprechenden Server stehen. Das Routing im Internet ist explizit darauf ausgelegt, NICHT immer die gleiche (= kürzeste) Route für den Datenverkehr zu verwenden. Was bringt es mir also, wenn ich ein Rechenzentrum in Deutschland stehen habe, wenn meine Daten trotzdem an einem angezapften Knotenpunkt vorbeikommen?

    Antworten Teilen
  2. von Olaf Barheine am 08.07.2013 (15:14 Uhr)

    Meine persönliche Lehre: Ich werde auch in Zukunft keine sensiblen Projektdaten im Netz speichern. Nicht dass mich die Machenschaften der Geheimdienste irgendwie überraschen würden. Das Ausmaß allerdings schon. Auch hätte ich die nach meinem Gusto ein wenig zu neugierigen Schlapphüte eher in Fernost erwartet.

    Antworten Teilen
  3. von Snowden, Edward am 08.07.2013 (15:27 Uhr)

    Da kann ich nur mit dem Kopf schütteln. Ne Ne Ne

    Antworten Teilen
  4. von Peter Hadorn am 09.07.2013 (09:42 Uhr)

    Ich trau keiner Cloud, egal wo der Rechner steht... Und mit einem Schutz vor PRISM & Co hat das leider gar nix zu tun! Dies ist ein schwacher PR Artikel, zum Glück sind wir von t3n Besseres gewohnt :)

    Antworten Teilen
  5. von Facepalm am 09.07.2013 (10:23 Uhr)

    Leute, so ganz richtig verstanden habt ihr es auch nicht!

    Es macht sehr wohl einen Unterschied, wo die Daten liegen! Würde eure Pornosammlung in den USA liegen, könnte die NSA direkt drauf zugreifen - der Provider möchte ja nicht als unamerikanisch oder gar als Terrorhelfer gelten - während Daten woanders abgegriffen werden müssten. Das kann durchaus "dauern", weil nur tatsächlich transferierte Daten abgegriffen werden können. Zumal sich das mit einer (Übertragungs-)Verschlüsselung auch noch deutlich schwieriger gestalten würde. Somit birgt der direkte Zugriff in einer US-Cloud deutlich mehr (unkalkulierbare) Risiken. Rein rechtlich betrachtet wäre es vermutlich schon als "fahrlässig" zu werten, wenn man sensible Daten (Unternehmens- oder Kundendaten) absichtlich "wider besseren Wissens" bei einem Provider lagert, wo Dritte (nach unserem Recht unbefugten) Zugriff drauf haben.

    Viel schlimmer ist doch, dass der Artikel lediglich eine plumpe Werbung für Dogado und Co ist, verkleidet als Artikel.

    Antworten Teilen
  6. von Peter Hadorn am 09.07.2013 (10:46 Uhr)

    Facepalm, Du hast bestimmt Recht dass US-Clouds noch grössere Risiken beinhalten. Aber woher weisst Du, dass der BND keinen Zugriff auf deutsche Clouds hat?

    Antworten Teilen
  7. von tim am 09.07.2013 (11:03 Uhr)

    @Facepalm: Das würde voraussetzen, dass die NSA direkt im Rechenzentrum einen Zugang hat. Ich weiß nicht, ob das wirklich so praktikabel für die wäre... einen Internet-Knotenpunkt anzuzapfen hätte dem gegenüber einige Vorteile.

    Antworten Teilen
  8. von Facepalm am 09.07.2013 (15:35 Uhr)

    @Peter:
    Es geht um andere Sachen als "welcher Geheimdienst hat wo Zugriffsrechte". Es geht auch um rein rechtliche Fakten. Ob NSA/CIA/FBI nun "direkten Zugriff auf Alles" hat, lässt sich schwer sagen, aber das amerikanische Gebahren ist durchaus schroffer als hier.
    Es geht aber auch um Wirtschaftsspionage. Das mag für den normalen Mittelständler nur bedingt ein Thema sein, aber wenn ein Unternehmen zB Patente hält, könnte es durchaus interessant werden "da mal reinzuschauen". Für den BND wäre es uninteressant.
    Nicht vergessen sollte man, dass sich deutsche Behörden auch im Falle einer Straftat Zugriff zu Servern verschaffen können. Umso wichtiger, dass zB Daten verschlüsselt auf dem Server liegen.
    Und gerade bei solchen Aktionen können spezialisierte (deutsche) Firmen weiterhelfen, um Begriffe wie "Cloud" und "Verschlüsselung" zusammen zu bringen. Das sind natürlich etwas speziellere Lösungen, und nix von der Stange.

    Aber gerade damit hat man doch bekannte Gefahren gebannt:
    * Daten laufen nicht aus Europa raus (in der Praxis läuft kaum eine Route mit Start und Ziel in Deutschland aus Deutschland raus) und können so nicht an einem Glasfaserkabel abgeschöpft werden
    * Sollte die _Verbindung_ verschlüsselt sein, wären mitgeschnittene Datenströme relativ nutzlos
    * Sind die Daten in der Cloud verschlüsselt, hilft auch kein physischer Zugang (ohne Passwort zum Entschlüsseln)

    Daraus resultiert die höchst*mögliche* Sicherheit für Unternehmen, wenn es um Cloud (-datenspeicherung) geht. Das ist dann rechtlich auch datenschutzkonform (Achtung: keine Rechtsberatung hier!).

    Nur wäre das bei einer Speicherung in einer US Cloud eben fragwürdig. Ich möchte keine Antwort auf die Frage "Sie wussten doch, dass Kommunikationsströme in Richtung USA abgehört werden! Warum haben Sie das Risiko bewusst in Kauf genommen?" eines Richters geben müssen ;)

    Antworten Teilen
Deine Meinung

Bitte melde dich an!

Du musst angemeldet sein, um einen Kommentar schreiben zu können.

Jetzt anmelden

Mehr zum Thema Cloud-Computing
OwnCloud 7 erschienen: Das ist neu bei der privaten Cloud-Komplettlösung
OwnCloud 7 erschienen: Das ist neu bei der privaten Cloud-Komplettlösung

Gerade durch die IT-Sicherheits-Skandale in den letzten Jahren erfreut sich die private Cloud-Software ownCloud großer Popularität. Rund sieben Monate nach der letzten Major-Version ownCloud 6 ist … » weiterlesen

Cloud Platform: Google macht Startups ein Angebot im Wert von 100.000 Dollar
Cloud Platform: Google macht Startups ein Angebot im Wert von 100.000 Dollar

Google will jetzt auch Startups von seiner „Cloud Platform“ überzeugen und bietet ihnen kostenlose Leistungen im Wert von 100.000 US-Dollar. Dazu kooperiert das Unternehmen mit verschiedenen … » weiterlesen

Millionen-Exit: Deutsches Cloud-Data-Startup doctape geht an Atlassian
Millionen-Exit: Deutsches Cloud-Data-Startup doctape geht an Atlassian

Der deutsche Archivierungsdienst doctape wurde an Atlassian verkauft. Die Verkaufssumme wird auf 7,5 Millionen US-Dollar geschätzt. Der Dienst wird eingestellt. » weiterlesen

Kennst Du schon unser t3n Magazin?

t3n 37 jetzt kostenfrei probelesen! Alle Inhalte des t3n Magazins Diesen Hinweis verbergen