Anzeige
Anzeige
Kommentar
Artikel merken

USA oder Deutschland? Warum es völlig egal sein sollte, wo ein Server steht

Deutsche und Europäische Vorschriften fordern, dass personenbezogene Daten innerhalb der EU gespeichert werden. Das ist eigentlich ziemlicher Quatsch.

Von Stephan Dörner
2 Min. Lesezeit
Anzeige
Anzeige
(Foto: silvabom / Shutterstock)

Sowohl das Bundesdatenschutzgesetz (BDSG) als auch die europäische Datenschutz-Grundverordnung (DSGVO), die dieses ablösen wird, verlangen, dass Unternehmen personenbezogene Daten ausschließlich innerhalb der Grenzen der Europäischen Union speichern.

Anzeige
Anzeige

Dabei ist die Idee eines festgelegten Standorts im Internet, den Daten nicht verlassen, bei genauerer Betrachtung ziemlicher Unsinn: Das Internet ist in seiner Grundstruktur so aufgebaut, dass sich Routing durch bestimmte Länder kaum ausschließen lässt. Der Sinn eines Servers ist ja gerade, dass Daten nicht dort bleiben: Sie sollen ja gerade online abgerufen werden können – und zwar von überall aus der Welt aus.

Datenschutz: Auf die Verschlüsselung kommt es an

Was bringt es da zum Beispiel, wenn ein Unternehmen seine personenbezogenen Daten in der deutschen Cloud speichert aber die Kollegen aus den USA die Daten von dort abrufen? Alle Versuche, Daten im Internet auf bestimmte Länder zu beschränken – wie die auf dem Höhepunkt des NSA-Skandals aufgekommene Idee eines „Schengen-Netz“ – sind zum Scheitern verurteilt und stehen dem grundsätzlichen Geist des Internets diametral entgegen.

Anzeige
Anzeige

Im Mittelpunkt der Debatte um Datenschutz und Datensicherheit im Internet sollte daher nicht der Server-Standort, sondern die Verschlüsselung der Daten stehen. Wichtig ist nicht, wo die Daten gespeichert sind, sondern dass sie verschlüsselt gespeichert sind und dass der private Schlüssel, der die Daten entschlüsselt, die Computer der eigenen Firma nicht verlässt.

Anzeige
Anzeige

Bei der Verschlüsselung gibt es dabei zwei Ebenen: Die Verschlüsselung der Daten auf dem Server selbst und die sogenannte Transportverschlüsselung bei der Übertragung der Daten zwischen zwei Computern. Letztere kommt beispielsweise zum Einsatz, wenn eine HTTPS-Verbindung zum Server einer Bank aufgebaut wird, bei der das Passwort übertragen wird. Mindestens genauso wichtig ist aber, dass das Passwort und alle sensiblen Daten, die auf dem Server sind, dort nur verschlüsselt abgelegt wurden, sodass auch im Falle eines Einbruchs direkt auf den Server der Angreifer nur verschlüsselte Daten erhält und beispielsweise keine Klartext-Passwörter.

DSGVO: Datenschutz oder Wirtschaftsförderung?

Warum aber schreiben sowohl das bisherige deutsche Bundesdatenschutzgesetz als auch die kommende europäische Grundverordnung europäische Server-Standorte für personenbezogene Daten vor? Darauf gibt es nur zwei naheliegende Antworten: Die Gesetzgeber sind dem Irrtum unterlegen, dass der Server-Standort wichtig ist – vielleicht auch durch die Lobbyeinflüsterungen einflussreicher europäischer Unternehmen, die Hosting anbieten. Oder aber es ging hier eigentlich nie um Datenschutz, sondern in Wirklichkeit immer um europäische Wirtschaftsförderung.

Anzeige
Anzeige

Mehr zur neuen Datenschutzgrundverordnung: 

Fast fertig!

Bitte klicke auf den Link in der Bestätigungsmail, um deine Anmeldung abzuschließen.

Du willst noch weitere Infos zum Newsletter? Jetzt mehr erfahren

Anzeige
Anzeige
9 Kommentare
Bitte beachte unsere Community-Richtlinien

Wir freuen uns über kontroverse Diskussionen, die gerne auch mal hitzig geführt werden dürfen. Beleidigende, grob anstößige, rassistische und strafrechtlich relevante Äußerungen und Beiträge tolerieren wir nicht. Bitte achte darauf, dass du keine Texte veröffentlichst, für die du keine ausdrückliche Erlaubnis des Urhebers hast. Ebenfalls nicht erlaubt ist der Missbrauch der Webangebote unter t3n.de als Werbeplattform. Die Nennung von Produktnamen, Herstellern, Dienstleistern und Websites ist nur dann zulässig, wenn damit nicht vorrangig der Zweck der Werbung verfolgt wird. Wir behalten uns vor, Beiträge, die diese Regeln verletzen, zu löschen und Accounts zeitweilig oder auf Dauer zu sperren.

Trotz all dieser notwendigen Regeln: Diskutiere kontrovers, sage anderen deine Meinung, trage mit weiterführenden Informationen zum Wissensaustausch bei, aber bleibe dabei fair und respektiere die Meinung anderer. Wir wünschen Dir viel Spaß mit den Webangeboten von t3n und freuen uns auf spannende Beiträge.

Dein t3n-Team

Thomas

Solange jeder dreibuchstabige Dienst problemlos physischen Zugriff auf alle Server in den USA bekommen kann, finde ich es eine gute Idee die Daten nicht dort zu speichern.

Selbstverständlich ist der Hinweis auf die Verschlüsselung deshalb nicht weniger richtig und wichtig.

Antworten
Paul

Der Auto hat natürlich recht, aber mit der Praxis hat das doch sehr wenig zu tun. Insbesondere im Zeitalter der Cloud ist die Verschlüsselung der Daten nicht problemlos möglich. In einer perfekten Welt wäre natürlich alles mit asymmetrischer Verschlüsselung abgesichert, aber so funktioniert die Welt eben nicht.

Im Sinne der Arbeitsteilung vertraut man dem Hostinganbieter und bezahlt diesen für den Schutz der Server. Wenn man dem Anbieter nicht vertraut, dann muss man natürlich auch so die Daten verschlüsseln, dass der Schlüssel nicht im Ram gespeichert wird (tieffrieren und auslesen), sondern in den Registern der CPU beispielsweise.

Eine Verschlüsselung der Daten macht somit nur Sinn, wenn man glaubt der Hostinganbieter verschafft sich physischen Zugriff. Wenn dem so ist, ist es die einzige Möglichkeit das Hosting selber zu übernehmen. Aber so gefährdet sind personenbezogene Daten meist dann doch nicht.

Der Serverstandort ist auch nicht wichtig, sondern der „juristische Standort“. Was hilft einer US Firma, wenn diese alle Daten verschlüsselt hat, und dann die NSA, CIA, FBI oder ein anderer Geheimdienst die Herausgabe des Schlüssels verlangt? Und insbesondere wenn die Geheimdienste das lokale Rechtssystem auf ihrer Seite haben. Somit macht ein Serverstandort in DE oder EU für hier angesiedelte Firmen schon Sinn.

Die ganze Situation ist also etwas komplizierter als hier dargestellt.

Antworten
Stephan Dörner

Danke für die wertvollen Anmerkungen!

Antworten
Lars

Dazu muss man noch ergänzen dass der Satz „Der Sinn eines Servers ist ja gerade, dass Daten nicht dort bleiben“ bei vielen Leuten die Fußnägel nicht nur zum aufrollen, sondern zum rotieren bringt. Wenn ich Kunden habe die eine gewisse Anonymität zu schätzen wissen und ich als Dienstleister auch sicherheitsüberprüft bin, kann ich Unternehmen wie Salesforce nicht im Ansatz vertrauen. Sondern ich muss meine Daten auf meiner Infrastruktur betreiben und Systeme wie die genucard einsätzen.
Es ist für mich unbegreiflich wieso man seine Daten als Unternehmen in fremde Hände legen will. Das widerspricht jeglichem Sicherheitsgedanken und hat sich in der Vergangenheit immer wieder als Fehler erwiesen. Überall wird gespart oder mit Diensten kooperiert.

Antworten
Paul

Sie schreiben, dass die Kunden haben die „eine gewisse Anonymität zu schätzen wissen“. Aber dann schreiben Sie wieder es sei für Sie unbegreiflich, wieso Unternehmen ihre Daten in fremde Hände geben. Sie sind doch anscheinend ein Dienstleister dem Kunden vertrauen und (hoffentlich) auf Sie zählen können. Wenn jetzt jedes Unternehmen anfängt eigene Rechenzentren zu betreiben, eigene Server zu bauen, einzurichten, warten… würden die Kosten explodieren. Abgesehen davon, haben die wenigsten Unternehmen die Kompetenz im eigenen Unternehmen. Selbst Banken mit hochsensiblen Daten haben ihre IT-Dienstleister. Und das ist auch besser so.

Ich arbeite für einen Dienstleister der seinen überwiegenden Geschäftskunden virtuelle E-Mail-Server anbietet die nach dem Cloud-Prinzip nach Verbrauch abgerechnet werden. Wir sind aber nur ein kleines Unternehmen mit wenig Angestellten. Es wäre utopisch anzunehmen, dass wir noch konkurrenzfähig wären, wenn wir alles selber machen würden. Aber wir Kommunizieren ganz klar mit unseren Kunden wie wir deren Daten verarbeiten und warum wir welchen Dienstleister einsetzten. Es hat sich gezeigt, dass dieses Vorgehen sich positiv auf das Vertrauen des Kunden auswirkt. Zu behaupten man könnte alles perfekt selber machen ist in der Regel quatsch.

Ich finde es weder falsch noch verwerflich einen Dienstleister zu beauftragen, solange man diesem Vertrauen kann, ein gesicherte Rechtsgrundlage hat und es dem Kunden gegenüber transparent gemacht wird.

Christian Sauer

Das ist doch vollkommener Quatsch. FBI, NSA, CIA erhalten jetzt schon Zugriff auf Daten in Europa, die von amerikanischen Unternehmen gespeichert werden. Da ist es ja wohl klar von nöten, dass personenbezogene Daten auch in unserem Rechtsraum gespeichert werden, natürlich on top mit richtiger Verschlüsselung!

Antworten
Stephan Dörner

NSA und Co bekommen auch auf deutsche Server Zugriff, wenn es sich um ein US-Unternehmen wie Amazon handelt, das die Server betreibt.

Antworten
Andreas Dorta

Ich stimme dem Autor vollkommen zu. Es erfordert jedoch ein Umdenken. Die meisten Unternehmen versuchen noch immer ihre Perimeter zu schützen. Das funktioniert aber in einer hybriden IT-Infrastruktur nicht mehr. Heute sind die Daten über die ganze Welt verteilt.

Leider wissen viele IT-Spezialisten nicht, dass es recht einfach wäre, die Daten im Kern durchgängig zu schützen. Dabei kommt es nicht einmal darauf an ob die Daten im eigenen Rechenzentrum, beim Service-Provider, in der Cloud (IaaS & PaaS) oder in Cloud-Applikationen alla Salesforce, ServiceNow etc. sind. Es ist auch egal welche Datenbanken verwendet werden. Das funktioniert bei MariaDB, Oracle, MSsql, Teradata oder Hadoop gleichermaßen. Und man benötigt bspw. bei Oracle nicht einmal eine Enterprise Lizenz.

Technisch ist es also kein Hexenwerk. Es erfordert ein Umdenken, die Kenntnis über mögliche Lösungen und vor allem, dass man damit startet das neue Konzept einzuführen; Schritt für Schritt.

Der Schwierige Teil ist, dass ein Unternehmen ihre Prozesse kennen muss. Welche Rolle für Ihre Arbeit, welche Daten im Klartext benötigen. Auch welche Applikationen und Datenbanken auf welche Daten zugreifen. Das sind jedoch alles Dinge die ein Unternehmen eh wissen sollte, will es denn GDPR Compliant sein.

Aus meiner Sicht ist dies der Einzige Weg um Daten wirklich zu schützen. Eine notwendige Hauptkomponente ist, dass die Applikationen und Datenbanken nur minimal angepasst werden müssen. Ist das nicht gewährleistet wird man nicht mit dem Projekt starten

Verschlüsseln, anonymisieren und pseudonymisieren verwende ich als Synonyme. Wir empfehlen eine bestimmte format-erhaltende Verschlüsselung. Diese erhält die referenzielle Integrität bei den Daten. Mit dieser Verschlüsselung bekommt man im Sinne von GDPR eine Pseudonymisierung. Die Wertschöpfungskette der Daten bleibt erhalten, da die Beziehungen zwischen den Datensätzen über sämtliche Systeme hinweg bestehen bleibt.

Haben Sie dieses Konzept umgesetzt, ist jegliche Attacke zwecks Datendiebstahl auf Applikationen, Systeme, Datenbanken, Web-Applikationen oder nicht privilegierte User absolut sinnlos. Und schon mal viele Themen im Bezug auf GDPR sind wesentlich vereinfacht!

Zusätzlich zum Schutz Ihrer Daten bietet dieser Ansatz noch weitere Vorteile:
– Die Daten sind ebenfalls im Transfer zwischen Applikationen, Datenbanken geschützt.
– Test-Daten-Management kann mit Original-Daten gemacht werden. Ohne Berechtigung können die Daten nicht im Klartext gesehen werden. Die Test-Applikation verhält sich genau gleich, wie die Produktion. Fast alle Tests werden Sie damit machen können.
– Backup-Verschlüsselung und andere Verschlüsselungen sind nicht mehr notwendig, da die Daten eh bereits im Kern geschützt sind. Auch einige anderen Sicherheits-Lösung wird man reduzieren können.

Antworten
Adrian

Ich glaube, der Artikel geht von einer falschen Prämisse aus. Denn weder das BDSG noch die DSGVO verbieten einen Serverstandort in den USA oder sonstwo. Vielmehr muss die verantwortliche Stelle geeignete Schutzvorkehrungen treffen, um ein eventuell niedrigeres Datenschutzniveau auszugleichen (zB durch EC Model Clauses, Privacy Shield, BCR). Dann steht auch einem Hosting in den USA nichts im Wege.

Richtig ist allerdings, dass es dabei (auch) auf den Standort des Anbieters ankommt und nicht (nur) auf den Serverstandort. Ein Server in Deutschland eines US-Konzerns ist dem potenziellen Zugriff der Nachrichtendienste zumindest ähnlich ausgesetzt wie bei einem Serverstandort in den USA.

Was Verschlüsselung angeht funktioniert das bei reinen Storage Diensten sicher sehr gut, weil die Daten beim Anbieter nicht im Klartext verarbeitet werden müssen. Spätestens bei Datenoperationen, die auf dem Server durchgeführt werden müssen, benötigt der Anbieter aber wieder Zugriff auf die Daten im Klartext und es ist nichts gewonnen. Wie soll bspw. Amazon Elastic Search anbieten, ohne die Daten indexieren zu können?

Antworten

Melde dich mit deinem t3n Account an oder fülle die unteren Felder aus.

Bitte schalte deinen Adblocker für t3n.de aus!
Hallo und herzlich willkommen bei t3n!

Bitte schalte deinen Adblocker für t3n.de aus, um diesen Artikel zu lesen.

Wir sind ein unabhängiger Publisher mit einem Team von mehr als 75 fantastischen Menschen, aber ohne riesigen Konzern im Rücken. Banner und ähnliche Werbemittel sind für unsere Finanzierung sehr wichtig.

Schon jetzt und im Namen der gesamten t3n-Crew: vielen Dank für deine Unterstützung! 🙌

Deine t3n-Crew

Anleitung zur Deaktivierung
Artikel merken

Bitte melde dich an, um diesen Artikel in deiner persönlichen Merkliste auf t3n zu speichern.

Jetzt registrieren und merken

Du hast schon einen t3n-Account? Hier anmelden

oder
Auf Mastodon teilen

Gib die URL deiner Mastodon-Instanz ein, um den Artikel zu teilen.

Anzeige
Anzeige