Mit E-Evidence schickt sich ein neues, internationales Regelwerk an, Daten über Landesgrenzen hinweg für Behörden verfügbar zu machen. Fordert beispielsweise die Justizbehörde in Griechenland die Nutzerdaten eines deutschen Kunden an, so soll es zukünftig möglich sein, den deutschen Cloud-Anbieter zur Herausgabe dieser Daten zwingen zu können.
Davon betroffen sind alle Informationen, die dem Cloud-Dienstleister über seinen Kunden zur Verfügung stehen: Angefangen von den gespeicherten Inhalten bis hin zu den Metadaten bezüglich des Zeitpunkts der Datenübertragung, IP-Adresse des Absenders sowie den Empfänger der Datenpakete.
Dieser Entwurf mag für eine effektive internationale Strafverfolgung hilfreich sein – doch die Forderung wirft grundsätzliche Fragen zur Datensicherheit von Cloud-Diensten auf.
Cloud-Anbieter können auf Kundendaten zugreifen
Denn technisch ist der Zugriff auf Nutzerdaten – Inhaltsdaten sowie Metadaten – durch den Anbieter prinzipiell möglich! Viele Anbieter von Cloud-Diensten können auf die in der Cloud gespeicherten Daten ihrer Kunden zugreifen. Das bedeutet, dieser Zugriff kann grundsätzlich auch ohne behördliche Anordnung erfolgen. Gerade, wenn Unternehmen mit sensiblen Daten hantieren, ist das eine unangenehme Vorstellung.
Wenn der Cloud-Betreiber jederzeit auf die Daten seiner Kunden zugreifen kann – wer kann das dann noch alles? Die Möglichkeit zur Kenntnisnahme stellt für manche Berufsgruppen (Träger von Berufsgeheimnissen nach §203 StGB, wie z.B. Anwälte und Ärzte) sogar eine Offenbarung von Geheimnissen im Sinne des StGB dar.
„So schließt man mit der Forderung nach der Möglichkeit des behördlichen Zugriffs gewisse Berufsgruppen von vornherein von der Nutzung von Cloud-Diensten aus und setzt sie den wirtschaftlichen Nachteilen aus, die sich daraus ergeben“, argumentiert Ulrich Ganz, Director Software Engineering bei der Münchner TÜV SÜD-Tochter uniscon.
Confidential Computing: Technologie vs Anordnung
Unternehmen, die Zugriffe durch Dritte – auch durch den Dienstbetreiber – zuverlässig verhindern wollen, setzen bereits jetzt auf Dienste, die das Prinzip des Confidential Computing umsetzen. Dabei werden sensible Daten nicht nur bei der Speicherung und Übertragung verschlüsselt, sondern bleiben auch während der Verarbeitung geschützt.
Ziel des Confidential Computing ist neben einer allgemeinen Verbesserung der Datensicherheit auch, die Vorteile des Cloud Computing auch denjenigen Branchen zugänglich zu machen, die schützenswerte Daten verarbeiten.
Bei uniscons hochsicherer Business-Cloud idgard wird der Confidential-Computing-Ansatz durch die Sealed-Cloud-Technologie realisiert. Hier schließen eine gründliche Datenverschlüsselung und ein Satz ineinander verzahnter technischer Maßnahmen in speziell abgeschirmten Server-Käfigen jeglichen unbefugten Zugriff zuverlässig aus. Nur der Kunde ist im Besitz des dazugehörigen Schlüssels.
Eine Anfrage von Dritten nach Zugriff auf diese Daten ist somit zwecklos, da auch der Betreiber keinen Zugang dazu hat. Diese Technologie erlaubt somit Berufsgruppen die Nutzung von Cloud-Diensten, die sonst davon ausgenommen wären, etwa Ärzte und Kliniken, aber auch Steuerberater, Wirtschaftsprüfer und viele mehr.
Es ist wichtig, dass gesetzgeberische Maßnahmen nicht mehr Schaden anrichten, als sie Nutzen generieren. Eine grenzübergreifende Auslieferung von Daten ist daher mit großer Skepsis zu betrachten und sollte auf keinen Fall überstürzt verabschiedet werden.