Netzpolitik
22.08.2012

Gmail in österreichischen Behörden verboten

Die Cloud boomt. Neben User-Services, die den flexiblen Zugriff auf Dateien, E-Mails und andere persönliche Daten in der Cloud versprechen, liegen auch Server-Angebote von Anbietern wie Amazon, Microsoft und Google im Trend. Auch österreichische Behörden wollen die Vorteile der Cloud nutzen. Google und Co kommen aus Datenschutz-Gründen aber nicht in Frage, selbst die Nutzung von E-Mail-Services wie Gmail ist tabu.

„Natürlich muss man bei jedem Service einzeln prüfen, ob er sich für die Cloud eignet und welcher Anbieter dafür in Frage kommt“, meint Roland Ledinger, IKT-Beauftragter des Bundes, im Gespräch mit der futurezone. „Personenbezogene oder sensible Behördendaten aus der Hand zu geben und auf Server von Unternehmen wie Google oder Microsoft auszulagern, ist aus heutiger Sicht aber undenkbar“, so Ledinger.

Weiterleitung an Gmail verboten
Beim Bund geht man sogar noch einen Schritt weiter. So ist es allen Mitarbeitern untersagt, E-Mails aus ihrem Behörden-Account an eine Gmail-Adresse weiterzuleiten. Dies werde technisch unterbunden, versichert Ledinger. „Gerade bei E-Mails ist es zwar so, dass 98 Prozent der Inhalte völlig irrelevant sind. Wenn zwei von hundert Mails aber sensible, personenbezogene Daten beinhalten, ist das mit dem Datenschutz einfach nicht vereinbar“, so Ledinger zur futurezone.

Gerade Google versucht seit Jahren bei Institutionen wie Universitäten, aber auch bei Behörden und lokalen Verwaltungen seine Services, wie E-Mail-Infrastruktur und online-basierte Office-Programme zu etablieren. Als überzeugendstes Lockmittel gelten neben dem flexiblen Zugriff vor allem Kostenersparnisse. Dieses Argument war schließlich auch bei der Universität Salzburg ausschlaggebend, 2011 das Mailsystem trotz anfänglicher Proteste von Studierenden auf Google-Server

.

Uni Salzburg spart sechsstellige Summe
„Bei mehr als 18.000 Studierenden kann man im Jahr eine niedrige sechsstellige Summe sparen, die der Universität für andere Investitionen zur Verfügung steht“, meint der IT-Verantwortliche der Universität Salzburg, Florin-Cezar Guma, gegenüber der futurezone. Die Ersparnisse rechnen sich durch den Wegfall der Mailserver-Redundanz, Antivirus-Lösungen, Speicher- und Backup-Systemen sowie aller damit zusammen hängender Lizenzen zusammen.

„Von der Effizienz her kann ein lokales System da niemals mithalten. Bei Google sind drei große Rechenzentren involviert, die noch dazu auf verschiedene Erdteile verteilt sind. Diese können die zwei Mal im Jahr anfallende Spitzenlast während der Inskriptionszeit natürlich viel besser abfangen, als wenn man ein System nur wegen dieser beiden Zeiträume überdimensioniert aufsetzen und das ganze Jahr betreiben müsste“, erklärt Guma. Eine europäische oder österreichische Alternative zu den US-Herstellern wäre jedoch wünschenswert.

"Mails werden nicht gescannt"
Die Skepsis „einzelner Studierender“ hinsichtlich der Auslagerung von persönlichen Daten und E-Mails an Google habe man mit Informationsveranstaltungen und der Berücksichtigung von Kritikpunkten ausräumen können. Anders als beim öffentlich verfügbaren Gmail-Angebot handle es sich beim in Salzburg implementierten Google-Mail-System über eine geschlossene Cloud-Lösung. Anders als bei Gmail würden die Inhalte der Mails von Google nicht für Werbekunden gescannt, zudem bleibe das User-Passwort zumindest bei der Desktopversion auf den Servern der Universität.

Will man die Google-Dienste allerdings mobil auf dem Smartphone oder Tablet nutzen, gibt es Guma zufolge derzeit keine andere Möglichkeit, als dass das Passwort beim Einloggen an die Google-Server übertragen wird. Die Studierenden werden vor dem Einloggen jedoch auf diesen Umstand aufmerksam gemacht. „Transparenz und Eigenverantwortung sind bei diesem Thema unerlässlich“, so Guma.

Keine 100-prozentige Garantie
Dass ein Vertrag mit einem Anbieter keine 100-prozentige Garantie hinsichtlich des unerlaubten Auslesens von Daten bedeutet, ist aber auch den Verantwortlichen an der Universität Salzburg klar. „Prüfungsergebnisse und Noten landen deshalb nicht mehr direkt in der Mail-Inbox der Studierenden, sondern sind nur mehr per Link über die Universitäts-eigene Webseite abrufbar“, hält Guma fest. Forschungsgruppen sind zudem dazu angehalten, sensible Forschungsergebnisse nicht online über Kollaborationstools von Google oder anderen Anbietern zu teilen.

Dass den US-Cloud-Anbietern mittlerweile auch im eigenen Land Gegenwind entgegenbläst, zeigt eine kürzlich ausgesprochene Warnung des nationalen Sicherheitskomitees des US-Präsidenten. Das National Security Telecommunications Advisory Committee (NSTAC) kam in einem Bericht (PDF) zum Schluss, dass bei den bestehenden Angeboten die Anforderungen hinsichtlich Zugriffspriorität, Ausfallssicherheit, Interoperabilität und Sicherheit noch nicht erfüllt seien. Regierungseinrichtungen und Behörden sollten deshalb bei Cloud-Diensten noch zuwarten.

Zu einem ähnlichen Fazit kommt auch ein vom Bund und der Stadt Wien ausgearbeitetes Positionspapier zu Cloud Computing in der Verwaltung, das eine genaue Prüfung der Risiken vor dem Einsatz fordert. Neben dem Datenschutz, der sich laut Experten bislang

, erweist sich dabei immer häufiger auch die Verfügbarkeit als Stolperstein. Serverausfälle bei Amazon, Google und anderen Anbietern, die millionenschwere Unternehmen über Stunden und Tage
, haben das Übrige zur ohnehin vorhandenen Skepsis beigetragen.

"Rechtsstaatlichkeit von Österreich in Gefahr"
Warum die Verfügbarkeit eine ähnlich wichtige Rolle wie der Datenschutz spielt, veranschaulicht Ledinger anhand eines Beispiels: Seit 2004 würden etwa die Bundesgesetzblätter im Rechtsinformationssystem (RIS) nicht mehr gedruckt, sondern nur mehr digital bereitgestellt. „Da der Datenschutz bei den Gesetzesblättern keine Rolle spielt, würde man meinen, dass diese Dokumente prädestiniert für die Cloud sind. Was man dabei aber übersieht: Wenn das RIS fünf Tage offline und nicht verfügbar ist, ist damit die Rechtsstaatlichkeit von Österreich gefährdet“, sagt Ledinger.

Bessere Karten, um für Cloud-Services berücksichtigt zu werden, haben die US-Konzerne daher nur bei unkritischen Daten. Im Bereich Open Data etwa, wo ohnehin öffentlich zugängliche Daten ohne Personenbezug bereit gestellt werden, sei die Nutzung von Cloud-Diensten von Konzernen wie Google oder Microsoft definitiv eine Option, meint Ledinger.

Mehr zum Thema

  • “Wenn Amazon offline geht, gehen wir mit”
  • Wild Wild Cloud: Datenschutzkontrolle unmöglich
  • EU will einheitliche Regeln für Cloud-Dienste