Kryptographie-Schlüssel-Desaster
Schluss mit dem guten Ruf der deutschen Cloud-Branche
Ein deutscher Cloud-Anbieter hat kürzlich den Kryptographie-Schlüssel verloren und seinem Kunden gingen damit Daten flöten. Der Vorfall hat das Ansehen der gesamten Cloud-Branche in Deutschland lädiert, weil hierdurch ihr bedeutendster Wettbewerbsvorteil zunichte gemacht wurde.
Was die Absicherung von Daten anbelangt, haben deutsche Cloud-Anbieter in der Regel aufgrund ihrer hohen Standards die Nase vorn. Dass trotzdem auch hierzulande Pannen passieren können, zeigt ein Vorfall, der sich kürzlich ereignet hat: Einem hiesigen Anbieter sind nach einer Routineprüfung Kryptografie-Schlüssel abhandengekommen. Ein solcher Umstand hat zur folge, dass Unternehmen keinen Zugriff mehr auf bestimmte Dateien haben. Gleiches gilt für den Cloud-Anbieter.
Tobias Gerlinger, CEO bei OwnCloud in Nürnberg, betrachtet einen derartigen Vorfall als grob fahrlässig. Seiner Meinung nach ist die Wurzel allen Übels hier der konzeptionelle Ansatz: »Datensouveränität beinhaltet auch Schlüsselsouveränität. Unternehmen sollten niemals gezwungen sein, die Hoheit darüber einem Dritten zu überlassen. Die Verschlüsselung muss so konzipiert sein, dass die Schlüssel bei den Endusern und maximal noch in der eigenen IT-Abteilung liegen.«
Gerlinger ruft die deutschen Cloud-Anbieter dazu auf, ihre Verantwortung gegenüber dem Kundenmit dem nötigen Ernst zu betrachten: »Sie müssen dafür sorgen, dass sich der berühmte deutsche Qualitätsanspruch auch in ihren Produkten niederschlägt. Machen sie unverzeihliche Fehler, ist das ein Armutszeugnis für die hiesige Cloud-Branche und schadet deren Reputation.« Seiner Ansicht nach sei es ein Unding, dass Unternehmen zusätzliches Geld für Backup abgeknöpft wird, damit ihre Daten abgesichert sind. Im aktuellen Fall haben nur Kunden, die eine kostenpflichtige Option obendrauf gebucht haben, die eventuelle Möglichkeit der Wiederherstellung. Wer kein lokales Backup angelegt hat, steht ohne Daten da.
Der Standort Deutschland punktet durch Datenschutz
»Wir haben in Europa und ganz besonders in Deutschland eine Datenschutzkultur und damit einen Wettbewerbsvorteil gegenüber Ländern wie den USA, der einzigartig ist. Dieser Standortvorteil darf durch solche technische Pannen nicht aufs Spiel gesetzt werden«, bemerkt Gerlinger. Das jeweils geltende Datenschutzrecht ist abhängig vom Standort des Cloud-Anbieters. Insofern spielt es eine Rolle, ob sich der Sitz des Anbieters innerhalb der Europäischen Union oder im Nicht-EU-Ausland befindet. Dies ist insbesondere in Zusammenhang mit dem »Cloud-Act« von Bedeutung, der US-Ermittlungsbehörden den Zugriff auf Daten ermöglicht, die auf US-amerikanischen Servern verarbeitet werden - auch wenn sich diese beispielsweise auf deutschem Territorium befinden. Anders sieht das innerhalb der EU aus. Dort gelten bei der Speicherung personenbezogener Daten strenge Bestimmungen gemäß der DSGVO.
Lesen Sie mehr zum Thema
