Mittwoch, 01. Februar 2023

Archiv


Beklaut in der Cloud

Internet.- Wer persönliche Daten in der virtuellen Wolke speichert, ist selbst schuld. So sehen das zumindest viele Datenschützer. Besonders fahrlässig handeln vor allem Firmen, die täglich benötigte Informationen der Cloud anvertrauen.

Von Wolfgang Noelke | 21.05.2011

    Sensible Daten sollte man nicht ausschließlich in der Cloud, also in einer Wolke lagern. Schnell könnten sie unwiederbringlich verloren gehen, so der Rechtsexperte des Hannoverschen Heise-Verlags, Joerg Heidrich. Im schlimmsten Fall wäre dies der Ruin aller beteiligten Unternehmen:

    "Es ist ja vor ein zwei Wochen ein größerer Cloud-Anbieter ausgefallen für mehrere Tage. Diese gesamten Cloud-Informationen waren nicht verfügbar. Viele Start-Up-Unternehmen standen plötzlich vor einem Scherbenhaufen, weil sie nicht mehr auf ihre Angebote zugreifen konnten und es gab ganz unangenehme Folgen. Man konnte zum Beispiel im Forum des Anbieters, dessen Cloud ausgefallen war, lesen, dass ein Unternehmen nach Hilfe schrie, das Herzfrequenzen und Herztöne über diese Cloud überwacht hat. Die konnten dann für vier Tage nicht auf die medizinischen Daten zugreifen. Das ist natürlich eine Katastrophe. Und gerade solche Daten haben überhaupt nichts in der Cloud zu suchen. Das ist viel zu gefährlich. Das ist schon fahrlässig."

    Auch Herztondateien gehören bereits zu personenbezogenen Daten, die nach deutschem Recht nicht in einer von überall her erreichbaren Wolke verarbeitet werden dürfen.

    "Weil ich diese Daten nicht so ohne weiteres an Dritte weitergeben darf. Und das verschärft sich noch dadurch, was ja typisch für Cloud-Computing ist, dass ich die unter Umständen sogar ins Ausland geben muss."

    Damit verbietet sich auch für Unternehmen, die Buchhaltung mit den Daten der Mitarbeiter und Kunden in die Wolke auszulagern. Unproblematischer sei es, in der Wolke gemeinsam an Konstruktionsplänen zu arbeiten, meint Peter Schaar, Bundesbeauftragter für den Datenschutz:

    "Ich habe zum Beispiel keine großen Probleme damit, wenn ein Cloud-Service innerhalb der Europäischen Union verwendet wird, wo auch möglicherweise die Server in verschiedenen Staaten stehen, denn wir haben doch mehr oder minder ein einheitliches Datenschutzniveau bei allen Mängeln, die wir hier in Europa feststellen können. Dieses einheitliche Datenschutzniveau garantiert auch, dass bestimmte Risiken geringer ausfallen. Zweiter Aspekt, der mir wichtig ist, ist die Frage: Wie werden diese Daten technisch gesichert? Und hier erleben wir immer wieder, dass auch von großen Unternehmen die Daten abfließen können."

    Daran könnten auch unsichere Komponenten innerhalb nur eines Firmennetzwerks der in einer Wolke zusammengeschlossenen Partner schuld sein - oder die Wahl des falschen Cloud-Anbieters. Am heimlichen Datenregen aus den Wolken einiger Billig- oder Gratisanbieter, mit unbekannten Serverstandorten erfreuen sich manchmal gewöhnliche Kriminelle, und konkurrierende Unternehmen. Deswegen, so Rechtsexperte Joerg Heidrich, würden Unternehmen mit hohem Sicherheitsanspruch technisch aufrüsten und noch vor ihrem ersten Schritt ins Wolkenparadies oft juristisch restriktive Online-Regelungen vereinbaren, um sich vor Betriebsspionage und gegenseitigen Haftungsansprüchen zu schützen:

    "Problematisch ist es neben dem Datenschutzrecht im gesamten Bereich, den man mit Compliance überschreibt. Und da ist es so, dass ich als Unternehmer Sorge dafür tragen muss, dass meine Daten sicher sind, dass meine Übertragungswege sicher sind und auch kein Dritter darauf Zugriff hat. Das ist nämlich auch ein Problem des Cloud-Computing, dass ich unter Umständen gar nicht weiß, wer da im Zielland, wo meine Daten liegen, überhaupt Zugriff hat. Es kann sein, dass es zum Beispiel in China durchaus legal ist, dass auf Cloud-Server zugegriffen wird von Regierungs-Organisationen ... das ist ja in den USA mit dem Heimatschutz- Ministerium auch sehr gut vorstellbar."

    Deswegen meiden Unternehmen Cloud-Anbieter mit diesen Server-Standorten, auf denen dann überwiegend private Daten von Nutzern lagern, die sich europäische Standorte nicht leisten können, kritisiert Bundesdatenschützer Peter Schaar:

    "Denn selbstverständlich werden die Behörden darauf bestehen, dass die jeweiligen sehr unterschiedlichen Rechtsordnungen, zum Beispiel in den USA der Patriot Act, auch angewendet werden, mit der Konsequenz, dass auf persönliche Daten auch ohne richterliche Kontrolle zugegriffen werden kann."

    Zum Themenportal "Risiko Internet"