Die größten Probleme bei der Cloud-Nutzung

Der Siegeszug der Cloud ist eine der größten Erfolgsgeschichten des Digitalzeitalters. Nur selten hat eine Technologie - genau genommen handelt es sich sogar nur um ein Bereitstellungsmodell - derart schnell den Markt erobert. Hatten laut dem jährlich erscheinenden „Cloud-Monitor“ des Digitalverbands Bitkom 2011 gerade einmal 28 Prozent der deutschen Unternehmen Cloud-Ressourcen im Einsatz, waren es 2019 bereits 75 Prozent. Der Anteil der kategorischen „Cloud-Verweigerer“ sank im selben Zeitraum von 31 auf 8 Prozent. Laut einer aktuellen Umfrage des Marktforschungsunter Application-Services spezialisiert hat. Nicht alle Marktbeobachter sehen das jedoch so. Gartner etwa hält Cloud Repatria­tion für „Wunschdenken der etablierten Hard- und Software-Anbieter“.

Eine Ursache für Frustration und Repatriation liegt sicher darin, dass sich trotz Millionen von Artikeln, Whitepapers und Spec-Sheets zum Thema Cloud immer noch hartnäckig falsche Vorstellungen über deren Eigenschaften und Vorteile halten. „Viele Kunden sind nach wie vor nicht gut genug über die Möglichkeiten und Limitierungen der Cloud aufgeklärt“, konstatiert Achim Freyer, Regional Director CEUR & EEUR beim Schweizer Cloud-Data-Management-Spezialisten Rubrik.

Das Marketing der Anbieter ist daran sicher nicht ganz unschuldig. Es stellt die Cloud häufig als Lösung aller IT-Pro­bleme dar. Bei genauerer Betrachtung kann sich das aber vor allem in den fünf folgenden Bereichen als Irrtum erweisen.

Cloud-Provider betonen gern die hohen Sicherheitsstandards in ihren Rechenzentren. Amazon Web Services (AWS) etwa wirbt mit „hervorragender Sichtbarkeit und Kontrolle“, „tief integrierten Services“ und „höchsten Standards für Datenschutz und Datensicherheit“. Als Beweis für diese Aussagen werden zahlreiche Sicherheitszertifikate ins Feld geführt. Das Unternehmen listet auf der Seite „AWS-Compliance-Programme“ rund 40 globale, regionale und nationale Zertifikate auf, welche die Sicherheit und Regelkonformität der Services belegen sollen.

Tatsächlich bieten die Rechenzentren der Cloud-Anbieter ein hohes physikalisches, technisches und organisatorisches Sicherheitsniveau. Das Problem ist nur: Es nützt nichts - im Gegenteil: Die vollmundigen Versprechen der Provider wiegen die Anwender in trügerischer Sicherheit. Obwohl alle großen Public-Cloud-Anbieter die „gemeinsame Verantwortung“ (Shared Responsibility) von Provider und Kunde betonen, ignorieren viele Anwender ihren Teil der Abmachung. „In vielen Fällen wird davon ausgegangen, dass der Cloud-Anbieter auch für die Security zuständig ist“, sagt Roger Scheer, Vertriebsvorstand beim Cloud-Security-Service-Provider Veronym. „Das ist aber nur sehr eingeschränkt der Fall.“

Wie groß die Sorglosigkeit ist, zeigen zahlreiche Statistiken. Laut dem „2020 State of Public Cloud Security Report“ von Orca Security, für den mehr als 300.000 Public-Cloud-Instanzen auf Amazon Web Services, Microsoft Azure und Google Cloud Platform (GCP) gescannt wurden, gibt es bei über 80 Prozent der Unternehmen mindestens einen über das Internet zugänglichen Cloud-Workload mit ungepatchtem oder veraltetem Betriebssystem, in 5 Prozent der Fälle war mindestens ein Workload nur mit einem schwachen oder geleakten Passwort abgesichert, 23 Prozent der Organisationen schützten Superadmin-Accounts nicht durch eine Mehr-Faktor-Authentifizierung (MFA) und in 19 Prozent der Fälle verwendeten Angestellte private E-Mail-Accounts, um auf Firmenressourcen in der Cloud zuzugreifen.

Ähnlich alarmierend sind die Zahlen des Sicherheitsspezialisten McAfee. 99 Prozent der Konfigurationsfehler im Bereich Infrastructure as a Service (IaaS) bleiben demnach unentdeckt, 91 Prozent der in der Public Cloud gespeicherten Daten werden unverschlüsselt abgelegt und 16 Prozent der Unternehmen wissen nicht einmal, dass ihre Mitarbeiter die Dienste mehrerer Cloud-Anbieter nutzen. „Im schlimmsten Fall fangen die CISOs erst dann an, sich mit der Cloud zu beschäftigen, wenn es bereits geknallt hat“, betont Sergej Epp, CSO Central Europe bei Palo Alto Networks.

Diese Nachlässigkeit und Ignoranz hat gravierende Folgen. Einer vom Sicherheitsunternehmen Ermetic in Auftrag gegebenen IDC-Studie zufolge verzeichneten fast 80 Prozent der befragten US-Unternehmen in den vergangenen 18 Monaten mindestens eine cloudbasierte Datenpanne, bei 43 Prozent gab es sogar mehr als zehn Vorfälle. Nur ein Bruchteil davon wird bekannt – oft erst Jahre nach dem Datendiebstahl. So konnten Angreifer bereits 2017 einen API-Schlüssel für die Web Application Firewall (WAF) Incapsula von Imperva entwenden, während deren Datenbanken auf AWS mi­griert wurden. Die Diebe nutzten den Key im Oktober 2018, um auf Nutzereinträge zuzugreifen. Imperva informierte seine Kunden aber erst im August 2019 über den Vorfall. Weitere im vergangenen Jahr bekannt gewordene Datenpannen, die auf unsichere Cloud-Ressourcen zurückzuführen waren, betrafen zum Beispiel das mexikanische Medienunternehmen Cultura Collectiva, das über 540 Millionen Datensätze von Facebook-Kunden öffentlich zugänglich machte. Beim Container-Dienst Docker erbeuteten Angreifer Account-Daten von 190.000 Nutzern sowie Zugangs-Token für Entwickler-Ressourcen auf Github und Bitbucket. Im Mai traf es die Facebook-Tochter Instagram. Ein Partnerunternehmen hatte die Datensätze von mindestens 49 Millionen Nutzern auf einem ungeschützten AWS-Server veröffentlicht. Zu den Betroffenen gehörten viele Influencer und Prominente.

Der größte und bekannteste Vorfall war im vergangenen Jahr allerdings die Datenpanne bei der Bank Capital One, von der rund 100 Millionen US-Bürger und sechs Millionen Kanadier betroffen waren. Neben Kreditkartendaten, Kontonummern und Kontaktinformationen wurden über 140.000 US-amerikanische und mehr als eine Million kanadische Sozialversicherungsnummern gestohlen. Eine ehemalige AWS-Angestellte hatte die Zugangsdaten für einen S3-Speicher erbeutet, in dem die sensiblen Informationen gespeichert waren.

Spätestens seit dem Urteil des Europäischen Gerichtshofs (EuGH) vom 16. Juli 2020 dürfte allen klar sein, dass europäischer Datenschutz nicht mit US-Überwachungsgesetzen wie dem CLOUD Act (Clarifying Lawful Overseas Use of Data) vereinbar sind. An diesem Tag erklärte der EuGH den Pri­vacy-Shield-Beschluss der EU-Kommission von 2016 für ungültig, der den USA ein vergleichbares Datenschutzniveau attestierte. „Amerikanische Clouds sind nicht sicher und die Übertragung persönlicher Daten von EU-Ländern in die USA ist in vielen Fällen illegal“, sagt der Datenschutzexperte Andres Dickehut, Geschäftsführer der Consultix GmbH, die sich auf Verwaltung und Management personenbezogener Daten spezialisiert hat. „Alle Unternehmen, die aktuell Datentransfer auf Basis des Privacy Shields mit Cloud-Anbietern betreiben, müssen ihre Marschrichtung ändern.“

Ähnlich äußerte sich die Berliner Beauftragte für Datenschutz und Informations­freiheit Maja Smoltczyk: „Der EuGH hat in erfreulicher Deutlichkeit ausgeführt, dass es bei Datenexporten nicht nur um die Wirtschaft gehen kann, sondern die Grundrechte der Menschen im Vordergrund stehen müssen“, erklärte sie in einer Pressemitteilung zum EuGH-Urteil. „Die Zeiten, in denen personenbezogene Daten aus Bequemlichkeit oder wegen Kostenersparnissen in die USA übermittelt werden konnten, sind nach diesem Urteil vorbei.“

Natürlich kann man einwenden, dass die Behörden weitreichende Befugnisse brauchen, um wirkungsvoll gegen das organisierte Verbrechen und den Terrorismus vorgehen zu können. Tatsächlich nutzen die Vereinigten Staaten Rechtsmittel aber auch gerne, um sich handfeste wirtschaftliche Vorteile zu verschaffen. Jüngste Beispiele dafür sind das drohende Verbot der Videoplattform TikTok und die angekündigten Sanktionen gegen die Beteiligten an der Gas-Pipeline Nordstream 2. Im ersten Fall soll der Betreiber gezwungen werden, das US-Geschäft billig an Microsoft zu verkaufen, im zweiten wollen sich die USA lästige Konkurrenz für ihr Fracking-Gas vom Hals schaffen. „Amerikanische Behörden können ausländische Firmen wie Gremlins auf einem Bildschirm zerstören“ titelte das Wirtschaftsmagazin „The Economist“ bereits 2018. Die Hegemonie der US-Cloud könnte dabei ein wichtiger Hebel sein. „Man darf sich nichts vormachen“, so Achim Freyer von Rubrik, „selbst wenn die aktuellen Gesetze für den vollen Zugriff der US-Behörden auf Cloud-Daten internationaler Kunden nicht ausreichen, kann der nächste Präsidentenerlass das schnell ändern.“

Es gibt eigentlich nur zwei Möglichkeiten, Daten in der Cloud mehr oder weniger wirkungsvoll vor dem Zugriff der US-Behörden zu schützen. Die erste besteht darin, sie durchgängig zu verschlüsseln und die Schlüssel selbst zu verwalten. Allerdings haben die US-Überwachungsbehörden gängige Verschlüsselungsmethoden längst kompromittiert. Bekanntestes Beispiel ist der vom National Institute of Standards and Technology (NIST) herausgegebene Zufallsgeneratoren-Standard Dual_EC_DRBG, in den die NSA eine Backdoor einbauen ließ. Auch Produkte von Sicherheitsfirmen wie RSA sowie der Chip-Hersteller AMD und Intel stehen unter dem Verdacht, Schlupflöcher für den Behördenzugriff zu enthalten. Die zweite Möglichkeit besteht darin, Daten lokal zu hosten, nur für Berechnungen in die Cloud zu transferieren und dort nur im Arbeitsspeicher vorzuhalten. Auch das minimiert die Gefahr eines institutionellen Datendiebstahls, kann sie aber nicht ganz verhindern.

Ob die Daten bei europäischen Cloud-Providern langfristig besser geschützt sind, ist jedoch fraglich. Die EU plant mit der „e-Evidence“-Direktive eine dem CLOUD Act sehr ähnliche Regelung. Sie sieht vor, dass Ermittlungsbehörden eines europäischen Staates von einem Provider direkt die Herausgabe von Daten verlangen können, auch wenn diese sich in einem anderen EU-Land befinden. Die lokalen Strafverfolgungsbehörden im betroffenen Zielland müssten nicht einbezogen werden. Kritiker wie der grüne Europapolitiker Sergey Lagodinsky halten die Initiative für problematisch: „Ich befürchte Defizite beim Schutz von Grundrechten und von Rechtsstaatsgarantien, insbesondere da das Strafrecht in den einzelnen Mitgliedsländern ganz unterschiedlich geregelt ist“, schreibt er auf seiner Webseite.

Viele Unternehmen glauben, sich durch den Gang in die Cloud von lästigen Verfügbarkeits- und Performance-Sorgen befreien zu können. Tatsächlich versprechen Cloud-Provider höchste Zuverlässigkeit. AWS garantiert in seinen Service Level Agreements (SLA) beispielsweise eine Uptime von 99,99 Prozent in jeder Amazon-EC2-Region (Elastic Cloud Computing), was weniger als einer Stunde Stillstand pro Jahr entspricht. Microsoft und Google werben ebenfalls mit hohen Verfügbarkeiten von 99,99 Prozent beziehungsweise 99,978 Prozent.

Die Realität sieht allerdings etwas anders aus. „Mittlerweile dürfte jeder mitbekommen haben, dass auch die ganz großen Cloud-Provider nicht vor Ausfällen gefeit sind“, sagt Rubrik-
Director Freyer. „Das ist vielen Kunden sauer aufgestoßen, die große Teile businesskritischer Systeme in diese Infrastrukturen migriert haben.“ Im Jahr 2017 sorgte die bislang größte Panne bei AWS für Schlagzeilen. Durch einen Tippfehler hatte ein Techniker eine Kettenreaktion ausgelöst, in deren Folge massenhaft Server vom Netz gingen. Die Auswirkungen waren gravierend: Über mehrere Stunden konnten Internetdienste wie Slack und Trello nicht oder nur eingeschränkt erreicht werden. Online-Shops verzeichneten drastische Performance-Einbußen. Selbst das AWS-eigene Service Health Dashboard (SDH) war betroffen. Der wirtschaftliche Schaden belief sich Presseberichten zufolge allein bei den im S&P 500-Index gelisteten Unternehmen auf rund 150 Millionen Dollar. Zu einer eher absurden Situation führte ein Server-Ausfall bei AWS im August 2019. Wie die Webseite BTC Echo berichtet, brachen durch die Störung kurzzeitig die Kurse für Kryptowährungen ein. Einigen Händlern soll es gelungen sein, Bitcoins für unter einen Dollar zu kaufen. Der tatsäch­liche Kurs belief sich dagegen auf rund 10.000 Dollar. Im Januar 2020 berichteten australische Anwender über Ausfälle in der AWS-Region Sydney. Nutzerberichten zufolge waren EC2-Instanzen, Elastic Load Balancing (ELB), Relational Database Service (RDS), AppStream 2.0, ElastiCache, WorkSpaces und Lambda-Services betroffen.

Microsoft hatte in diesem Jahr vor allem mit dem Cloud-Kommunikationsdienst Teams zu kämpfen. Er machte mehrfach durch Ausfälle von sich reden, unter anderem weil ein Sicherheitszertifikat nicht rechtzeitig erneuert wurde. Im vergangenen Jahr kam es darüber hinaus Ende Januar nach einer schiefgegangenen Routinewartung zu Ausfällen des Cloud-Directory-Dienstes Azure AD. Ein Wartungsfehler war auch beim Google-Ausfall im Juni 2019 die Ursache. Statt nur wenige Server zu rekonfigurieren, wurden viele Maschinen über mehrere Regionen hinweg neu aufgesetzt. In der Folge waren zahlreiche Google-Dienste nicht oder nur eingeschränkt erreichbar.

Die Kunden bleiben in solchen Fällen meist auf den wirtschaftlichen Schäden sitzen. Bestenfalls erstatten ihnen die Cloud-Anbieter einen Teil der Service-Kosten zurück. „Unternehmen stellen oft zu spät fest, dass die Performance, die sie aus der Cloud erhalten, von der einer Anwendung aus dem Rechenzentrum vor Ort (On-Premise) abweicht“, sagt Markus Grau, Principal Systems Engineering, CTO EMEA Office bei Pure Storage.

Auch die Daten sind bei den Providern längst nicht so gut aufgehoben, wie das manche Kunden glauben. Nach einem Stromausfall im Amazon AWS-EAST-1-Datenzentrum im
August 2019 konnten beispielsweise einige der betroffenen EC2-Instanzen und EBS-Volumes (Elastic Block Storage) nicht wiederhergestellt werden. Ein Ausfall des DNS (Domain Name Service) führte im Februar 2019 in der Microsoft-Cloud Azure zur Löschung von Einträgen in Transaktionsdatenbanken.

Meist ist der Provider aber gar nicht schuld, wenn Daten in der Cloud abhanden kommen. „Es muss nicht immer ein defekter Datenträger oder ein Malware-Befall die Ursache für Datenverlust sein“, sagt Achim Freyer von Rubrik. „Die böse Überraschung kommt oft, wenn man feststellt, dass ein unzufriedener Mitarbeiter mit Absicht Daten gelöscht hat.“ Einer Umfrage zufolge, die von EMC in Auftrag ge­geben wurde, haben bereits 80 Prozent aller Unternehmen in Software-as-a-Service-Umgebungen (SaaS) Daten verloren. Häufigste Ursache war im Übrigen weder ein technischer Fehler noch Böswilligkeit. In 40 Prozent der Fälle wurden Daten schlichtweg aus Versehen gelöscht.

Aber selbst wenn Unternehmen sich mit geeigneten Backup-Konzepten vor Datenverlusten in der Cloud schützen, kann ein Wiederherstellungsfall problematisch werden. „Eine einzelne Datenbankwiederherstellung kann mehrere Stunden bis hin zu einigen Tagen in Anspruch nehmen“, erklärt Markus Grau von Pure Storage. „Stellen Sie sich nun ein großes Unternehmen vor, das möglicherweise Dutzende oder sogar Hunderte von Datenbanken wiederherstellen muss. Dies kann schnell zu einem Schneeballeffekt führen.“ Unternehmen sollten daher sicherstellen, dass ihr Backup-Sys­tem in der Lage ist, schnelle Wiederherstellungen in großem Maßstab auszuführen, rät der Speicherexperte. „So können sie verhindern, dass es bei einem Ausfall zu größeren organisatorischen oder finanziellen Auswirkungen kommt.“

Oft entwickelt sich die Abhängigkeit schleichend: Immer mehr Workloads und Daten wandern in die Cloud, großzügige Serviceangebote und attraktive Funktionserweiterungen binden den Kunden immer stärker an einen Anbieter. Explodieren dann die Kosten, stimmt die Servicequalität nicht mehr oder will man aus Datenschutzgründen sensible Informationen doch lieber wieder selbst verwalten, stellt man plötzlich fest: Der Ausstieg ist langwierig, teuer und nur mit empfindlichen Einbußen bei Funktion und Komfort zu haben. Nicht umsonst stufte die europäische IT-Behörde ENISA (European Network and Information Security Agency) schon vor Jahren das Risiko einer Provider-Abhängigkeit als hoch ein. Einer britischen Studie zufolge war nach Sicherheitsbedenken die Angst vor Abhängigkeit die am zweithäufigsten genannte Sorge bei Cloud-Migrationsprojekten.

Die Gefahr eines Vendor-Lock-ins steigt dabei mit der Ebene des Bereitstellungsmodells. Während es noch relativ einfach ist, virtuelle Maschinen von einer Infrastructure-as-a-Service-Umgebung (IaaS) in eine andere zu verschieben, so gelingt eine Migration bei Platform as a Service (PaaS) schon nicht mehr ohne erhebliche Anpassungsarbeiten, da diese Services tief in die Backend-Systeme der Provider integriert sind. Am größten ist die Lock-in-Gefahr beim SaaS-Modell. Wer von einem SaaS-Anbieter zu einem anderen wechselt, verliert in der Regel alle unternehmensspezifischen Anpassungen, Filter und Metadaten. Anders als bei gekaufter Software, die man noch Monate oder gar Jahre weiterverwenden kann, endet die Nutzungsmöglichkeit bei SaaS mit der letzten Abozahlung. Für einen nahtlosen Übergang von einer SaaS-Lösung in eine andere muss in der Migrationsphase daher doppelt bezahlt werden.

Vor allem aber verstärkt die rasante Zunahme der Datenmenge die Abhängigkeit von den Cloud-Providern. Einer Studie von IDC und Seagate zufolge wird bis 2025 fast die Hälfte der bis dahin erzeugten Datenmenge von 175 Zettabyte in der Public Cloud gespeichert werden. Cloud-Provider unterstützen diesen Trend, indem sie für den Datenimport umfangreiche Hilfen zu Verfügung stellen. AWS bietet etwa mit der Appliance Snowball ein Gerät für die Offline-Migration. Unternehmen können so schnell große Datenmengen in die Amazon-Cloud transportieren. „Die Aufnahme von Daten ist in der Regel sehr kostengünstig“, so Markus Grau von Pure Storage, „aber die Verarbeitung von Daten oder sogar deren erneute Migration kann schnell sehr teuer werden.“

Welche Folgen das haben kann, zeigt das Beispiel NASA (siehe Punkt „5. Kosten“). Achim Freyer von Rubrik warnt deshalb vor übereilten Aktionen: „Wer Daten in die Cloud migriert, sollte sich immer auch darüber Gedanken machen, wie er sie wieder herausbekommt.“

Wie viel Daten zu viel sind, ist allerdings laut Guntram Alffen von Avi Networks schwer vorherzusagen. „Die Kosten für Speicherung und Übertragung von Daten sind komplex und hängen von vielen Faktoren ab.“ Sicher dürfte wohl nur sein, dass sie explodieren werden. Heute seien es vielleicht 2 Peta­byte, nächstes Jahr 5, in zwei Jahren 10 bis 15, so Alffen weiter. „Das wird wohl jeden finanziell sinnvollen Rahmen sprengen.“

Geld sparen und Investitionen in neue Hard- und Software vermeiden, das waren zumindest zu Beginn der Cloud-Welle die wichtigsten Ziele einer Migration. Inzwischen ist in vielen Fällen Ernüchterung eingekehrt.

„Manche Kunden haben realisiert, dass die Cloud sie teurer kommt als ihre eigene On-Premise-Installation“, sagt Achim Freyer von Rubrik. Oft wüssten die Unternehmen nicht einmal genau, was sie die Cloud kostet. „Wenn man Ende des Monats Hunderte von Blättern von AWS oder Microsoft Azure bekommt, geht der Durchblick schnell verloren.“ Laut dem „2019 Cloud Adoption Survey“ des Automation-Plattformanbieters NetEnrich schlägt sich mehr als die Hälfte der befragten IT-Entscheider in Cloud-Projekten mit Budgetüberschreitungen herum.

Was passiert, wenn man sich die Servicepauschalen der Cloud-Provider nicht genau ansieht, zeigt das Beispiel der NASA. Die US-Raumfahrtbehörde kämpft mit einer enormen Zunahme der Datenmenge in ihrem Earth Science Data and Information System (ESDIS), in dem sämtliche erdbezogenen Be­obachtungen zusammengefasst werden. Diese soll nämlich bis zum Jahr 2025 von aktuell 32 Petabyte auf annähernd 250 Petabyte steigen. Bisher verwaltete die NASA diese Informationen in zwölf eigenen verteilten Rechenzentren (Distributed Active Archive Centers, DAACs) und stellte sie über das Earth Observing System Data and Information System (EOSDIS) Forschern zur Ver­fügung. 

Im vergangenen Jahr beschloss das Unternehmen, die Daten in eine von AWS betriebene „Earthdata Cloud“ auszulagern. Leider hatte die NASA vergessen, dass die Daten nicht nur in die Cloud transferiert werden müssen, sondern auch wieder heraus, etwa wenn Wissenschaftler sie für Experimente und Analysen auf lokale Systeme herunterladen wollen. Bislang war der Download aus den DAACs für die Anwender kostenlos, zukünftig wird Amazon die Raumfahrtbehörde aber für den Datenabfluss zur Kasse bitten.

Ein vom Büro des NASA-Generalinspekteurs durchgeführtes Audit warnt daher ausdrücklich vor den Folgen der Mi­gration und bemängelt, dass Kosteneinsparungspotenziale nicht berücksichtigt wurden. „Es besteht das Risiko, dass wissenschaftliche Daten für den Endbenutzer weniger verfügbar werden, wenn die NASA aus Gründen der Kostenkontrolle die Menge der ausgegebenen Daten begrenzt“, heißt es in dem Bericht.

„Es ist wichtig, eine sehr genaue TCO-Analyse durchzuführen, die das erwartete Datenwachstum sowie die Kosteneffizienz der Nutzung von interoperablen Cloud-Anbietern zur Vermeidung der Anbieterbindung berücksichtigt“, rät Markus Grau von Pure Storage daher nicht ohne Grund. Dabei schneidet die Cloud nicht notwendigerweise besser ab als Alternativen. „In einigen Anwendungsfällen sind Lösungen im Rechenzentrum für die meisten Workloads heute bereits kostengünstiger als die Public Cloud“, erklärt Guntram Alffen von Avi Networks.

Mangelnde Sicherheit, fehlender Datenschutz, Ausfälle, Abhängigkeiten und explodierende Kosten – muss man sich angesichts dieser gravierenden Probleme Sorgen um das Erfolgsmodell Cloud machen? Wohl kaum. Die Wachstumsraten sind trotz zunehmender Rückholaktionen ungebrochen, dafür sorgt allein schon die enorme Zunahme an Daten und internet­fähigen Geräten, die für die kommenden Jahre pro­gnostiziert wird. 

Dennoch sollten es sich Unternehmen, vor allem aber auch Behörden und Schulen, genau überlegen, ob sie sich wirklich in die Hände der US-Cloud-Anbieter begeben wollen. Angesichts des eskalierenden Wirtschaftskriegs mit den USA bedroht deren Marktmacht zunehmend auch die europäische Souveränität. Dass ihre Betreiber in Europa so gut wie keine Steuern zahlen, macht die Sache nicht besser. Ein europäisches Cloud-Projekt wie Gaia-X ist deshalb dringend geboten. Bleibt nur zu hoffen, dass es nicht wie die Digitalsteuer an Partiku-larinteressen und der Lobbyarbeit der Digitalkonzerne scheitert.

Welche Auswirkungen hat das Urteil des EuGH zum Privacy Shield für die Cloud-Nutzung?
Eine Einschätzung von Tobias Gerlinger, CEO und Managing Director der Datenspeicherungsplattform OwnCloud.

com! professional: Branchenverbände wie der Bundesverband Digitale Wirtschaft (BVDW) haben das Urteil des EuGH zum Privacy Shield scharf kritisiert, Sie haben es begrüßt. Wie kommen Sie zu Ihrer Einschätzung?

Tobias Gerlinger: Das Urteil des EuGH ist letztlich nur die Konsequenz aus einem prinzipiellen Problem: Das in der DSGVO festgeschriebene Recht auf den Schutz privater Daten ist mit den Überwachungsgesetzen der USA, etwa dem CLOUD Act, nicht vereinbar.

com! professional: Nun hat der EuGH Transfervereinbarungen per Standardvertragsklauseln weiter zugelassen. Halten Sie das für einen gangbaren Weg?

Gerlinger: Das ändert nichts an dem Grundkonflikt, der nicht heilbar ist. Die DSGVO erlaubt den Transfer personenbezogener Daten nur in Staaten, in denen ein mit der EU vergleichbares Datenschutzniveau herrscht. Das ist in den USA eindeutig nicht der Fall.

com! professional: Wie gehen Unternehmen mit dem Problem um?

Gerlinger: Das ist sehr unterschiedlich. Es gibt Kunden, die dem Datenschutz eine hohe Priorität einräumen, für andere sind Kosteneinsparungen und Bequemlichkeit wichtiger. Ich hatte mit
einem Kunden aus dem Automobilsektor diese Diskussion: Die kostengünstigste Lösung für das Unternehmen wäre es, einfach Microsoft OneDrive zu nutzen, weil es bei Office 365 dabei ist.

com! professional: Microsoft versichert in einem Kommentar zum EuGH-Urteil, dass gewerbliche Kunden weiterhin rechtskonform Daten zwischen der EU und den USA über die Microsoft-Cloud transferieren können. Was halten Sie von dieser Aussage?

Gerlinger: Wir sehen das anders, auch nach Rücksprache mit vielen Anwälten: Die Speicherung von personenbezogenen Daten in amerikanischen Cloud-Services ist derzeit nicht rechtskonform möglich, weil sie gegen europäisches Datenschutzrecht verstößt.

com! professional: Sind die Cloud-Angebote europäischer Provider denn wirklich sicherer? Der CLOUD Act gilt ja genauso für sie, sofern sie Töchter oder Niederlassungen in den USA haben?

Gerlinger: Es macht einen Unterschied, ob ein Unternehmen seinen Hauptsitz in den USA hat oder nur eine Niederlassung. Ein Mitarbeiter einer US-Niederlassung wird in der Regel keinen direkten Zugriff auf Daten europäischer Kunden haben und von seinen europäischen Kollegen nicht den Zugang verlangen können. 

com! professional: Lassen sich Risiken minimieren, indem man die Cloud-Daten verschlüsselt und die Schlüssel selbst verwaltet?

Gerlinger: Das ist natürlich ein gutes Stück besser. Ob dennoch Zugriffsmöglichkeiten bestehen, kann man allerdings nicht ausschließen. Vor allem aber geht die Verschlüsselung auch mit höheren Kosten und einem Verlust an Funktionalität einher. Die Frage ist, ob man dann nicht lieber direkt auf eine europäische Alternative setzen sollte.

com! professional: Das Thema der digitalen Abhängigkeit Europas von den USA wurde schon vor dem Privacy-Shield-Urteil diskutiert. Doch auch AWS, Microsoft, Google und IBM beteiligen sich an der europäischen Inititive Gaia-X. Kommen die US-Geheimdienste da nicht durch die Hintertür auch in die europäische Cloud?

Gerlinger: Ich weiß nicht, wie das funktionieren soll. Spätestens seit dem EuGH-Urteil zum Privacy Shield ist der Konflikt doch offensichtlich. Wie soll Europa digitale Souveränität erlangen, wenn doch wieder alles bei Google und Microsoft gespeichert wird?

com! professional: Welche Rolle spielt die öffentliche Verwaltung für den Erfolg von Gaia-X?

Gerlinger: Eine ganz entscheidende. Solange Behörden weiterhin Microsoft-Lizenzen ausschreiben und ordern, wird es auch bei den Unternehmen wenig Anlass zum Umdenken geben. Sogar die EU-Kommission nutzt Microsoft-Services - in meinen Augen ein absolutes No-Go. Das müsste eigentlich die erste Instanz sein, die auf europäische Ressourcen und digitale Souveränität setzt. Andere Staaten sind da schon viel weiter. In Indien oder dem arabischen Raum gibt es ganz klare Vorgaben, dass bestimmte Arten von Daten nicht außer Landes gehen dürfen. Für die öffentliche Verwaltung sind amerikanische Provider daher tabu. Die amerikanischen Behörden nutzen im Übrigen nicht die öffentlichen Cloud-Dienste, sondern haben eine eigene, mit höchsten Sicherheitsstandards geschützte Government-Cloud.