Europa bekommt eine Wolke

futurezone: Attacke auf Sonys Online-Spieleplattform, dann ein grober Datenverlust bei Amazon – das Vertrauen in Cloud Computing scheint zu schwinden?
Nikolaus Forgó: Für Amazon ist das mit Sicherheit ein herber Rückschlag, auch für Sony, denn beide setzen ihre Geschäftsmodelle auf Cloud Computing und darauf auf, dass nichts passieren darf. Das ist ein kritischer Vorfall. Wenn es sogar solchen Unternehmen passiert und nur mit erheblichem Aufwand gelingt, die Datensicherheitsproblematik in den Griff zu bekommen, fragt man sich, wie es dann bei kleineren Anbietern ist. Man muss umgekehrt aber auch sagen, dass Datensicherheit bei Unternehmen, die nicht in der Cloud sind, mitunter auch im Argen ist.

Wirtschaftlich ist die Technologie Cloud Computing doch sehr interessant?
Es gibt aber ein paar zentrale Fragen, die gelöst werden müssen. Die eine ist, wie man die Sicherheitsprobleme in den Griff bekommt und die zweite, wie man mit den rechtlichen Fragen umgeht.

Mit den rechtlichen Fragen ist wohl der gesamte Themenkomplex Datensicherheit und Datenschutz gemeint?
Die rechtliche Komponente sind erstens Datenschutz, zweitens Datensicherheit und drittens auch letztlich Fragen, die man unter dem Stichwort geistiges Eigentum zusammenfassen kann. Also wem gehören die Daten, gehören sie noch mir, wenn ich sie in eine Cloud stelle. In allen drei Bereichen verfügen wir in Europa nicht gerade über Wettbewerbsvorteile, weil Datenschutzrecht immer noch relativ heterogen in Europa verstanden wird. Noch stärker ist es im Datensicherheitsrecht. Es gibt keinen europäischen Zugang zu Datensicherheitsfragen. Und was das Datenschutzrecht betrifft, das ist in einigen Staaten so hoch, dass man es kaum erfüllen kann, wenn man in die Cloud geht. Also insbesondere, wenn man in öffentliche Clouds hinaus geht, dann wird es sehr sehr schwierig. Stichwort: Übermittlung von Daten in Drittstaaten.

Würden Sie zu einem großen oder kleinen Cloud-Computing-Anbieter empfehlen?
Da gibt’s bei den Großen sicherlich Skalenvorteile.

Die da sind?
Dass er bekannt ist, dass er die entsprechende Power hat, in Datensicherheit zu investieren und sich auf einem globalen Markt global aufstellen kann.

Sie sind beim Optimis-Project für den rechtlichen Part verantwortlich. Was will man mit dem Projekt, das bis Mai 2013 läuft, erreichen?
Das Projekt versucht, eine europäische Cloud-Infrastruktur zu entwickeln und zu ermöglichen. Und mein Job ist, die Erarbeitung der rechtlichen Rahmenbedingungen.

Eine europäische Cloud-Infrastruktur heißt, dass es mit europäischen Unternehmen realisiert wird?
Mit mehreren europäischen Anbietern. Der Project-Leader ist Atos Origin, das ist das spanische IT-Haus, das unter anderem für die IT bei Olympischen Spielen verantwortlich ist. Dann ist noch ein Anbieter aus den UK dabei, Flexiant, die British Telecom, mehrere Universitäten oder auch SAP.

Wann wird es eine europäische Cloud geben?
In wenigen Monaten wird es sie geben. Und einer der Startvorteile, die sie haben wird, ist, dass es mit europäischem Recht vereinbar sein wird. Es ist auch ein relativ großes Politik-Thema in Brüssel. Neelie Kroes gibt regelmäßig Interviews, wie wichtig Cloud Computing für Europa ist. Und wie wichtig auch die Sicherstellung der rechtlichen Grundlagen dafür wäre.

Ist die Optimis-Cloud die Antwort auf die Amazons, Googles oder Microsofts dieser Welt?
Es ist ein Versuch einer europäischen Antwort.

Und wieder einmal versucht man auf einen großen IT-Trend mit einer europäischen Variante zu antworten?
Es hat ja auch Anti-Google-Versuche, also Versuche einer europäischen Suchmaschine gegeben. Die sind aber nichts geworden.
Eben, hoffen wir, dass es diesmal besser wird.

Wie organisieren Sie den Aufbau der europäischen Cloud?
Wie viele Mitarbeiter sind im Projekt involviert?
Es gibt etwa hundert Experten, wir treffen uns viermal jährlich, koordinieren uns aber über Telefon- oder Videokonferenzen, betreiben ein internes Wiki etc. Und es gibt einen Twitter-Account, über den wir Interessierte up to date halten.

Die rechtlichen Fragen sind das größere Problem beim Cloud Computing. Beginnen wir beim Problem Datenschutz.
In dem Moment, in dem eine Cloud offen ist, werden personenbezogene Daten außerhalb des ursprünglichen Staates übermittelt. Unter Umständen auch in Staaten, die ein Datenschutz-Niveau haben, das unter Europa liegt. Also z.B. in die USA oder nach Japan oder Indien. Und der, der das tut, verantwortet damit eine Übermittlung in einen unsicheren Drittstaat, und das ist oft unzulässig.

Wenn ich jetzt etwa Microsoft mit dieser Thematik konfrontiere, wird Microsoft mit einem „Bei uns sind deine Daten sicher“ kontern.
Nein, Microsoft wird sagen, wir übermitteln die Daten nicht in einen Drittstaat, wir bleiben in Europa. Wir bleiben in Dublin.

Das wird wohl auch Google sagen.
Ja, das wird auch Google sagen. Aber erstens ist das relativ schwierig überprüfbar und zweitens führt das dazu, dass ein zentraler Vorteil, Globalisierung – IT-Verarbeitung ist nicht überall gleich billig -, reduziert wird. Es ist günstiger, Daten in Indien verarbeiten zu lassen als in Europa. Wenn ich das nicht mehr kann, weil ich scheinbar rechtlich dazu verpflichtet werde, in Europa zu bleiben, ist das schön für Europa, reduziert aber die Margen und macht CC vergleichsweise teuer.

Also ist es nicht gescheit, in Indien Daten zu verarbeiten, zu speichern?
Es kommt drauf an, was man will. Will man effizient produzieren, ist es gescheit, nach Indien zu gehen. Wenn man glaubt, dass Datensicherheit und Datenschutz nur in Europa aufrecht erhalten werden können, muss man in Europa bleiben.

Was macht man bei der Optimis-Cloud?
Wir bleiben in Europa. In Spanien, in Irland, in Schweden und in Deutschland.

Heißt das auch, dass Sie teurer werden als die Konkurrenten?
Das wird vermutlich teurer werden.

Wenn MS und Google und Amazon sagen, dass sie ihre Daten in Europa, sprich Irland, speichern, würden Sie ihnen trauen? Immerhin braucht man ja auch noch Backup-Systeme, und diese müssen sich nicht unbedingt in Europa befinden.
Man braucht eine Kontrolle: Und solche Behauptungen zu kontrollieren, ist sehr schwierig. Es müsste Datenschutzbehörden geben, die in der Lage sind, das zu kontrollieren. Und das ist bei Multimilliarden-Unternehmen auf der einen und einer Datenschutzbehörde mit zehn Angestellten auf der anderen Seite sehr schwierig. Das ist ein ungleiches Match.

Würden Sie Amazon, Google & Co. vertrauen?
Wie jedem anderen Unternehmen. Vertrauen verlangt eine funktionierende Kontrolle.

Bislang hat sich noch kein Unternehmen freiwillig kontrollieren lassen.
Stimmt.

In den vergangenen Wochen ist das Thema Datensicherheit ziemlich akut geworden, betrachtet man die Vorfälle bei Amazon oder Sony. Viele werden sich wohl denken, ich speichere es lieber daheim auf meiner externen Festplatte, habe einige Backups.
Die Diskussion hat man mit dem Greißler und dem Supermarkt auch geführt. Der Greißler um die Ecke ist irgendwie klein, und der Supermarkt ist groß. Und das bedeutet, dass die Preise beim Supermarkt irgendwann einmal niedriger sind und die Öffnungszeiten länger sind. Im Grunde passiert hier genau das Gleiche – die lokale IT ist der Greißler, und der Cloud-Provider ist der Supermarkt. Wenn der Supermarkt mal zu hat, bekommt man die Milch dann nicht mehr, da der Greißler eingegangen ist. Aber rein ökonomisch ist es richtig, Datensicherheitsfragen auszulagern, weil sie einfach besser sind. Aber wenn dann so ein Anbieter ein Problem hat, dann sind nicht sieben Leute betroffen, sondern 70 Millionen. Aber an sich glaube ich schon, dass Amazon besser in der Lage ist, die Performance seiner Systeme aufrecht zu erhalten, als ein kleiner mittelständischer Unternehmer.

Aber in Datensicherheit wird nicht wirklich gerne investiert, finde ich.
Grundproblem der Datensicherheit ist, dass es ein nicht produktiv eingesetztes Kapital ist. Man weiß nicht, wohin das Geld verschwindet, man merkt es erst dann, wenn etwas passiert ist. Daher ist Datensicherheit nicht besonders attraktiv als Investment. Aber grad bei Unternehmen wie bei Amazon, kann ein Datensicherheitsproblem das Unternehmen umbringen.

Aber offensichtlich hat Amazon, betrachtet man den Cloud-Computing-Crash, nicht genug getan.
Das Erschreckende daran, dass es auch IT-Unternehmen wie Amazon nicht gelingt, die Hütte sicher zu machen.

Was würde eine europäische Cloud besser machen als eine eines US-Anbieters?
Eine sehr schwierige Frage. Vermutlich würden wir „automatisch“ nichts besser machen. Es ist ein Unterschied im Grundansatz, die Europäer versuchen eher, solche Dinge über Kontrolle, also staatliche Kontrolle zu regulieren, US-Anbieter würde es über Märkte regulieren. Welcher der beiden Wege der richtigere ist, weiß ich nicht.

Es wird uns doch seit Beginn der Cloud-Computing-Ära versprochen, dass die Daten mehrfach redundant gesichert sind.
Ich weiß nicht, was gecrashed ist, aber wenn die Struktur gecrashed ist, gibt es vermutlich noch die Daten, aber man findet sie nicht mehr.

Bei Cloud Computing denkt man eigentlich nicht sofort an „Geistiges Eigentum“, das spielt aber dennoch eine große Rolle. Muss der Begriff Urheberrecht im IT-Zeitalter nicht ohnehin modifiziert werden?
Ja, aber die Frage ist wie. Das ist ein Gebiet, das von großen Teilen der Nutzer ignoriert wird. Sogar der Versuch, sich daran zu halten, ist sehr sehr schwierig. Darf ich ein YouTube-Video aufführen? Darf ich es mir überhaupt ansehen?

Warum soll ich Angst haben, mein geistiges Eigentum einem Cloud Anbieter zu schicken? Er speichert die Daten doch nur?
Vieles ist irrationale Angst. Es geht darum, dass Leute Angst haben, Daten an einen anderen zu geben. Es hat aber auch damit zu tun, dass man Kontrolle abgibt. Eine Eigenschaften von Eigentum ist nämlich, dass ich kontrollieren kann, was mit meinen Sachen geschieht. Ich kann selbst entscheiden, ob ich mein Haus gelb oder grün anstreiche. Bei meinen Daten bedeutet das, ich lösche ich sie, ich speichere sie, wann und wie ich will. Wenn ich beginne, diese Kontrolle auszulagern, verliere ich einen Teilder Macht, die Eigentum ausmacht. Und der, an den ich auslagere, entwickelt vielleicht seinerseits Kontrolle und eigentumsähnliche Befugnisse. Er organisiert die Daten auf diese oder jene Weise. Ist es notwendig, den Cloud-Provider mit Eigentums-ähnlichen Befugnissen auszustatten, ist die dahinter stehende Frage.

Wer ist nun der Eigentümer?
Noch etwas Interessantes: Es ist ja der, der die Daten in die Cloud stellt, oft auch nicht wirklich Eigentümer. Eigentümer oder Betroffener ist der, für oder über den die Daten verarbeitet werden, die Person, die dahinter steht. Und das ist nicht der Unternehmer, der in die Cloud geht, sondern das sind seine Kunden.