Angst vor der Cloud: "Es sind nicht die bösen Amerikaner"

Unter dem Motto „So sicher ist die Cloud“ lud Microsoft Österreich am Donnerstag zu einer Informationsveranstaltung und Diskussionsrunde am Wiener Standort. Neben der technischen Implementierung von Cloud-Diensten wie Azure und Office 365 drehten sich viel Fragen um die Sicherheit der Daten und datenschutzrechtliche Bedenken. Für Diskussion sorgt dabei wiederholt der Patriot Act, der es US-Behörden in Kombination mit dem umstrittenen Safe-Harbor-Abkommen theoretisch auch in Europa erlaubt, auf bei US-Cloudanbietern gespeicherten Daten zuzugreifen.

"Schreckgespenst" Patriot Act

Der auf IT-Recht spezialisierte Jurist Stephan Winklbauer versuchte Skeptiker zu beruhigen und bezeichnete die Angst vor dem Patriot Act wörtlich als „Schreckgespenst“. Zum einen positioniere sich Microsoft derzeit gerade in einem Musterverfahren als Vorreiter, was die Nichtherausgabe von europäischen Kundendaten betreffe. Zum anderen müsse man sich vor Augen führen, dass österreichische Behörden teilweise viel größere Befugnisse beim Zugriff auf Daten hätten, als es der Patriot Act US-Behörden jemals zugestehe.

„Man muss sich schon im Klaren sein, es sind nicht die bösen Amerikaner“, sagte Winklbauer. „Die österreichische Staatsanwaltschaft darf bereits auf die Inhalte elektronischer Kommunikation Zugriff nehmen, wenn es sich um ein potenzielles Delikt handelt, das mit mehr als einem Jahren Haft geahndet wird. Da sprechen wir aber von Kleinkriminalität und nicht von einer terroristischen Straftat“. Welche Daten in die Cloud gegeben werden sollen und dürfen, muss Winklbauer zufolge jedes Unternehmen für sich entscheiden: „Es gibt kein Patentrezept und definitiv auch kein Verbot, dass Daten per se nicht in die Cloud gehen dürfen.“

Europäische Standorte

Wie andere große US-Cloudanbieter setzt Microsoft auf europäische Datenzentren und sichert zu, dass Daten – wenn erwünscht – die EU-Außengrenzen nicht verlassen. Dass es dem Konzern ernst mit Datenschutz sei, zeige auch der neue internationale Standard ISO/IEC 27018, den Microsoft als erster der führenden Cloud-Anbieter übernommen habe, meinte Microsoft-Österreich-CTO Harald Leitenmüller: „Wir wissen, dass das die Daten unserer Kunden sind und nutzen diese folglich auch nicht für Werbezwecke. Weiters verpflichten wir uns zu größter Transparenz. Kunden müssen wissen, wo die Daten liegen, aber auch falls es Behördenanfragen oder unerlaubten Zugriff gibt.“

„Wenn es um die Cloud geht, ist immer noch viel Bauchgefühl dabei“, meinte etwa Office-365-Expertin Martina Grom von atwork. Daten, aber auch Infrastruktur in die Cloud auszulagern, sorge bei vielen IT-Abteilungen für Angst vor einem Kontrollverlust. Den Server selber zu patchen oder mal schnell das System neu hochzufahren gehe dann natürlich nicht mehr: „Man muss darauf vertrauen, dass etwaige Probleme in der Cloud behoben werden, was normalerweise auch immer schnell passiert.“

Bauchgefühl und Vertrauen

Dazu komme, dass Datensicherheit und Datenstandort zwei völlig verschiedene Dinge seien. „Nur weil der Server bei mir im Haus steht und nicht in einem Datenzentrum in Dublin heißt das noch lange nicht, dass die Datensicherheit, aber auch die Verfügbarkeit höher ist“, sagte Grom. Kunden, die allerdings noch nicht bereit für die Cloud seien, solle man aber nicht zwingen. „Es geht immer um Vertrauen. Auch wenn ich eigene Keys zur Verschlüsselung verwende, muss ich letztlich demjenigen vertrauen, der die Keys ausstellt. Das ist bei Cloud-Services genau das gleiche“, so Grom.

Die futurezone war als offizieller Medienpartner bei der Diskussionsveranstaltung vor Ort.