Liest die NSA mit? Die Frage beschäftigt die deutschen Firmen spätestens seit vergangenem Sommer, als das Ausmaß der Internet-Überwachung durch den US-Geheimdienst bekanntwurde. Die Skepsis wächst insbesondere, wenn es darum geht, Daten und zentrale Software beim sogenannten Cloud Computing auf fremde Server auszulagern.
"Ich kann aus Gesprächen mit Firmen ganz klar bestätigten, dass deutsche Anbieter gewonnen haben", sagt Steffen Zimmermann, als Geschäftsführer beim Maschinenbauer-Verband (VDMA) für geistiges Eigentum zuständig ist. "Gerade dem Mittelstand ist es wichtig, dass seine Daten immer auf deutschem Boden lagern", sagt auch Max Schulze, Analyst bei der Beratungsfirma Techconsult.
Die Lehren aus der NSA-Affäre -
Viktor Mayer-Schönberger, Professor für Internet Governance and Regulation
"Es geht nicht mehr um das Ausspähen der Gegenwart, sondern um einen Einblick in die Zukunft. Das ist der Kern von Prism. Präsident Obama hat schon recht, wenn er sagt, die von Prism gesammelten Daten seien doch für sich genommen recht harmlos. Er verschweigt freilich, dass sich daraus statistische Vorhersagen gewinnen lassen, die viel tiefere, sensiblere Einblicke gewähren. Wenn uns nun der Staat verdächtigt, nicht für das was wir getan haben, sondern für das was wir – durch Big Data vorhersagt – in der Zukunft tun werden, dann drohen wir einen Grundwert zu verlieren, der weit über die informationelle Selbstbestimmung hinausgeht."
Prof. Dr. Gunter Dueck, Autor und ehemaliger CTO bei IBM
"Ich glaube, die NSA-Unsicherheitsproblematik ist so ungeheuer übergroß, dass wir uns dann lieber doch gar keine Gedanken darum machen wollen, so wie auch nicht um unser ewiges Leben. Das Problem ist übermächtig. Wir sind so klein. Wir haben Angst, uns damit zu befassen, weil genau das zu einer irrsinnig großen Angst führen müsste. Wir haben, um es mit meinem Wort zu sagen, Überangst."
Oliver Peters, Analyst, Experton Group AG
"Lange Zeit sah es so aus, als würden sich die CEOs der großen Diensteanbieter im Internet leise knurrend in ihr Schicksal fügen und den Kampf gegen die Maulkörbe der NSA nur vor Geheimgerichten ausfechten. [...] Insbesondere in Branchen, die große Mengen sensibler Daten von Kunden verwalten, wäre ein Bekanntwerden der Nutzung eines amerikanischen Dienstanbieters der Reputation abträglich. [...] Für die deutschen IT-Dienstleister ist dies eine Chance, mit dem Standort Deutschland sowie hohen Sicherheits- und Datenschutzstandards zu werben."
Dr. Wieland Alge, General Manager, Barracuda Networks
"Die Forderung nach einem deutschen Google oder der öffentlich finanzierten einheimischen Cloud hieße den Bock zum Gärtner zu machen. Denn die meisten Organisationen und Personen müssen sich vor der NSA kaum fürchten. Es sind die Behörden und datengierigen Institutionen in unserer allernächsten Umgebung, die mit unseren Daten mehr anfangen könnten. Die Wahrheit ist: es gibt nur eine Organisation, der wir ganz vertrauen können. Nur eine, deren Interesse es ist, Privatsphäre und Integrität unserer eigenen und der uns anvertrauten Daten zu schützen - nämlich die eigene Organisation. Es liegt an uns, geeignete Schritte zu ergreifen, um uns selber zu schützen. Das ist nicht kompliziert, aber es erfordert einen klaren Willen und Sorgfalt."
James Staten, Analyst, Forrester Research
"Wir denken, dass die US-Cloud-Provider durch die NSA-Enthüllungen bis 2016 rund 180 Milliarden Dollar weniger verdienen werden. [...] Es ist naiv und gefährlich, zu glauben, dass die NSA-Aktionen einzigartig sind. Fast jede entwickelte Nation auf dem Planeten betreibt einen ähnlichen Aufklärungsdienst [...] So gibt es beispielsweise in Deutschland die G 10-Kommission, die ohne richterliche Weisung Telekommunikationsdaten überwachen darf."
Benedikt Heintel, IT Security Consultant, Altran
"Der Skandal um die Spähprogramme hat die Akzeptanz der ausgelagerten Datenverarbeitung insbesondere in den USA aber auch in Deutschland gebremst und für mehr Skepsis gesorgt. Bislang gibt es noch keinen Hinweis darauf, dass bundesdeutsche Geheimdienste deutsche IT-Dienstleister ausspäht, jedoch kann ich nicht ausschließen, dass ausländische Geheimdienste deutsche Firmen anzapfen."
Viktor Mayer-Schönberger, Professor für Internet Governance and Regulation
"Die NSA profitiert von ihren Datenanalysen, für die sie nun am Pranger steht, deutlich weniger als andere US-Sicherheitsbehörden, über die zurzeit niemand redet. Das sind vor allem die Bundespolizei FBI und die Drogenfahnder von der DEA. [...] Es gibt in der NSA eine starke Fraktion, die erkennt, dass der Kurs der aggressiven Datenspionage mittelfristig die USA als informationstechnologische Macht schwächt. Insbesondere auch die NSA selbst."
Aladin Antic, CIO, KfH Kuratorium für Dialyse und Nierentransplationen e.V.
"Eine der Lehren muss sein, dass es Datensicherheit nicht mal nebenbei gibt. Ein mehrstufiges Konzept und die Einrichtung zuständiger Stellen bzw. einer entsprechenden Organisation sind unabdingbar. [...] Generell werden im Bereich der schützenswerten Daten in Zukunft vermehrt andere Gesichtspunkte als heute eine Rolle spielen. Insbesondere die Zugriffssicherheit und risikoadjustierte Speicherkonzepte werden über den Erfolg von Anbietern von IT- Dienstleistern entscheiden. Dies gilt auch für die eingesetzte Software z.B. für die Verschlüsselung. Hier besteht für nationale Anbieter eine echte Chance."
ein nicht genannter IT-Verantwortliche einer großen deutschen Online-Versicherung
"Bei uns muss keiner mehr seine Cloud-Konzepte aus der Schublade holen, um sie dem Vorstand vorzulegen. Er kann sie direkt im Papierkorb entsorgen."
Der Ordner-Anbieter Leitz will sich das ebenfalls zunutze machen. "Wir profitieren von unserer Marke und der Sorge, was mit den Daten bei einem US-Anbieter passiert", sagt Frank Lutz, der bei Esselte Leitz an dem noch jungen Digitalgeschäft arbeitet. Die für ihre Aktenordner bekannte Firma bietet seit vergangenem Jahr eine Art digitale Ablage für Unternehmen an. Die NSA-Affäre habe dem ganzen Markt nicht geholfen, sondern eher für Skepsis gesorgt, räumt Lutz ein. "Aber sie hat das Verschlüsselungsthema beflügelt."
Die Kunden seien durch die Diskussion um die NSA-Affäre sensibler für das Thema Datenschutz geworden, findet auch Michael Guschlbauer, Geschäftsführer beim IT-Anbieter Bechtle aus Neckarsulm. "Die Diskussion hat keine Panikprojekte ausgelöst." Ein wesentlicher Einfluss auf das Geschäft sei zwar bislang nicht sichtbar. "Bei dem ein oder anderen Projekt gibt der deutsche Standort unseres Rechenzentrums den Ausschlag", sagt Guschlbauer. Bechtle betreibt seine Server in Friedrichshafen.
Zehn spannende Cloud-Security-Startups -
Bitium
<strong>Service:</strong> Cloud Application Management, Single-Sign-on, Analytics<br /> <strong>Gründung:</strong> 2012<br /> <strong>Kapital:</strong> 2,4 Millionen Dollar von Resolute VC, Double M Partners, Social Leverage und Karlin Ventures<br /> <strong>Sitz:</strong> Santa Monica, Kalifornien, USA<br /> <strong>CEO:</strong> Scott Kriz, vormals Produktchef von Fastpoint Games (Sport- und Unterhaltungsspiele-Anbieter, der 2012 an Weplay verkauft wurde)<br /> <strong>Große Kunden:</strong> Prialto, OpenTable, Act-On, Media Temple<br /> <strong>Wettbewerb:</strong> Okta, OneLogin, Ping Identity, Symplified
Bitsight Technologies
<strong>Service:</strong> Security Rating, mit dem Risiken in der Zusammenarbeit mit Partnern, Zulieferern oder Outsourcern bewertet werden können<br /> <strong>Gründung:</strong> 2011<br /> <strong>Kapital:</strong> 24 Millionen Dollar (im Rahmen eines „Series A round“-Fundings im Silicon Valley im Juni 2013)<br /> <strong>Sitz:</strong> Cambridge, Massachusetts, USA<br /> <strong>CEO:</strong> Shaun McConnon, vormals CEO von Q1 Labs<br /> <strong>Wettbewerb:</strong> CloudeAssurance bietet einen ähnlichen Dienst, ist aber spezialisiert auf Cloud Service Provider
CipherCloud
<strong>Service:</strong> All-in-one-Plattform für Cloud-Sicherheit<br /> <strong>Gründung:</strong> 2010<br /> <strong>Kapital:</strong> 30 Millionen Dollar von Andreessen Horowitz<br /> <strong>Sitz:</strong> San Jose, Kalifornien, USA<br /> <strong>CEO:</strong> Pravin Kothari, vormals Mitgründer von ArcSight (wurde für 1,5 Milliarden von HP gekauft)<br /> <strong>Große Kunden:</strong> Mitsubishi UFJ Global Custody, Novati Technologies, Carribean Credit Bureau<br /> <strong>Wettbewerb:</strong> Gazzang, Perspecsys, Porticor, Vormetric, Voltage Security
HyTrust
<strong>Service:</strong> Tools für Virtualisierungs-Sicherheit, mit denen zentrale Policies über virtuelle oder Cloud-Infrastrukturen durchgesetzt werden können<br /> <strong>Gründung:</strong> 2009<br /> <strong>Kapital:</strong> 34,5 Millionen Dollar von Venture-Capital-Investmentfirmen wie Trident Capital, Granite Ventures und Epic Ventures und von strategischen Unternehmensinvestoren wie Cisco, VMware, Intel Capital und Fortinet. Auch In-Q-Tel, der Investment-Bereich der US-Geheimdienste, hat eingezahlt.<br /> <strong>Sitz:</strong> Mountain View, Kalifornien, USA<br /> <strong>CEO:</strong> John De Santis, vormals Chairman und CEO beim Software-Security-Infrastruktur-Anbieter TriCipher (wurde 2010 von VMware gekauft). Mitgründer und President ist Eric Chiu, vormals Verkaufschef bei Cemaphore Systems.<br /> <strong>Große Kunden:</strong> AIG, US Army, Northrop Grumman, Pepsi, McKesson, Home Shopping Network, Federal Reserve Bank of Chicago, UC Berkeley, State of New Mexico, Denver Museum of Nature & Science<br /> <strong>Wettbewerb:</strong> Altor Networks (gehört mittlerweile zu Juniper), Catbird
ForgeRock
<strong>Service:</strong> Identity Management<br /> <strong>Gründung:</strong> 2010<br /> <strong>Kapital:</strong> 22 Millionen Dollar von Foundation Capital und Accel Partners<br /> <strong>Sitz:</strong> San Francisco, Kalifornien, USA<br /> <strong>CEO:</strong> Mike Ellis, vormals Managerposten bei SAP, i2 Technologies, Oracle und Apple<br /> <strong>Große Kunden:</strong> Deloitte, Thomson Reuters, Aberdeen Asset Management, Reuters<br /> <strong>Wettbewerb:</strong> Oracle, CA Technologies, OneLogin, Okta, SecureAuth
MyPermissions
<strong>Service:</strong> Management, Kontrolle und Überwachung der Apps und Websites, die Zugang zu den persönlichen Daten des Anwenders haben<br /> <strong>Gründung:</strong> 2012<br /> <strong>Kapital:</strong> 1 Million Dollar von 500 Startups, lool Ventures und 2B Angels (Beteiligung durch Plus Ventures und Robby Hilkowitz)<br /> <strong>Sitz:</strong> Tel Aviv, Israel<br /> <strong>CEO:</strong> Olivier Amar, vormals Marketingchef von GetTaxi und Toyga Financial<br /> <strong>Große Kunden:</strong> Vod.io, EQuala.fm, Stylemarks, Any.DO<br /> <strong>Wettbewerb:</strong> Secure.me, Privacy Choice
Netskope
<strong>Service:</strong> Cloud Application Analytics und Policy-Werkzeuge<br /> <strong>Gründung:</strong> 2012<br /> <strong>Kapital:</strong> 21,4 Millionen Dollar von Lightspeed Ventures und The Social+Capital Partnership<br /> <strong>Sitz:</strong> Los Altos, Kalifornien, USA<br /> <strong>CEO:</strong> Sanjay Beri, vormals General Manager des Geschäftsbereichs "Secure Access and Mobile Business" bei Juniper Networks sowie dessen Büroleiter in Indien. Davor Mitgründer von Ingrian Networks, das von SafeNet übernommen wurde.
Prevoty
<strong>Service:</strong> kontextabhängiger Schutz von Web-Anwendungen<br /> <strong>Gründung:</strong> 2013<br /> <strong>Kapital:</strong> 2,4 Millionen Dollar via Seed Funding<br /> <strong>Sitz:</strong> Los Angeles, Kalifornien, USA<br /> <strong>CEO:</strong> Julien Bellanger, vormals Gründer von Personagraph, das die Privatsphäre mobiler Nutzer schützt. Davor bei Intertrust tätig.<br /> <strong>Wettbewerb:</strong> Citrix, F5, Radware, A10 Networks
Skyhigh Networks
<strong>Service:</strong> Cloud Lifecycle und Security Suite<br /> <strong>Gründung:</strong> 2011<br /> <strong>Kapital:</strong> 26,5 Millionen Dollar – darunter ein 20-Millionen-Investment durch Sequoia Capital und Greylock Partners (im Rahmen eines „Series B round“-Fundings im Mai 2013)<br /> <strong>Sitz:</strong> Cupertino, Kalifornien, USA<br /> <strong>CEO:</strong> Rajiv Gupta, vormals Gründer und CEO von Securenet. Nach dessen Übernahme durch Cisco im Jahr 2007 (für 100 Millionen Dollar), war Gupta dort als Leiter der Policy Management Business Unit tätig.<br /> <strong>Große Kunden:</strong> Cisco, Diebold, Equinix, Torrance Memorial Medical Center<br /> <strong>Wettbewerb:</strong> Netskope
SnoopWall
<strong>Service:</strong> Anti-Spyware/Anti-Malware<br /> <strong>Gründung:</strong> 2013<br /> <strong>Kapital:</strong> nicht veröffentlicht<br /> <strong>Sitz:</strong> Nashua, New Hampshire, USA<br /> <strong>CEO:</strong> Gary Miliefsky, vormals CTO bei NetClarity
Die Telekom-Tochter T-Systems will sich als Mittelsmann zwischen amerikanischen Cloud-Anbietern und den misstrauischen deutschen Unternehmen etablieren. Die Idee: T-Systems bietet für Dienste der US-Riesen Speicher in Europa, auf die die NSA nicht zugreifen kann.
Das Antiterrorgesetz ("Partriot Act") der USA erlaubte es US-Behörden schon früher, auf die Server ihrer IT-Anbieter zuzugreifen. Ein Rechenzentrum in Europa mag außer Reichweite der NSA sein - aber auch EU-Staaten erlauben ihren Ermittlern den Zugriff auf Firmenserver.
"Aus meiner Sicht haben deutsche Anbieter hauptsächlich einen psychologischen Vorteil", sagt IT-Anwalt Fabian Niemann von der Frankfurter Kanzlei Bird & Bird. Der Datenschutz sei kein rechtliches Argument für ein deutsches Rechenzentrum. "Microsoft ist im Zweifel besser in der Lage, europäisches Datenschutzrecht zu erfüllen als ein kleiner europäischer Cloud-Anbieter." Wichtig seien die Bedingungen, die in sogenannten Standardvertragsklauseln der EU, die den Datenschutz regeln, festgelegt werden.
Auch personenbezogene Daten könnten - unter Einhaltung der normalen datenschutzrechtlichen Bedingungen für Auslagerungen außerhalb der EU - in globalen Clouds gelagert werden, sagt Niemann. Steuerrechtlich relevante Daten wie Handelsbücher müssten zwar für die deutschen Behörden verfügbar sein. "Das heißt aber nicht, dass sie in einem deutschen Rechenzentrum lagern müssen."
Regelungen rund um Cloud Computing
Wenn Daten von Firmen gespeichert oder verarbeitet werden, gibt es verschiedene rechtliche Grundlagen. Die Europäische Union hat sogenannte Standardvertragsklauseln (Model Clauses) festgelegt. Die werden angewandt, wenn personenbezogene Daten außerhalb der Europäischen Union bearbeitet werden sollen.
Mit den USA hat die EU das sogenannte Safe-Harbor-Abkommen geschlossen. Das Abkommen erlaubt es Unternehmen, personenbezogene Daten von EU-Bürgern legal in die USA zu übermitteln - obwohl die USA kein dem EU-Datenschutz vergleichbares Niveau haben. "Safe Harbor" beruht auf dem Prinzip der Selbstregulierung. US-Firmen können sich beim Handelsministerium registrieren lassen und müssen sich verpflichten, bestimmte Prinzipien beim Datenschutz einzuhalten. Zu den teilnehmenden Unternehmen gehören Facebook, Microsoft und Google.
Die IT-Anbieter legen ihre Bedingungen dazu in sogenannten Service Level Agreements (SLA) - zu deutsch: Dienstleistungsvereinbarungen - fest. Beim Cloud Computing wird dabei meist geregelt, wie lange die Server ausfallen dürfen und wie lange Daten verfügbar sein müssen. Kann der Anbieter diese Bedingungen nicht einhalten, werden entsprechende Gebühren ausgehandelt.
Studien zeigen, dass die Skepsis im ohnehin sensiblen Mittelstand eher zugenommen hat. In einer aktuellen Umfrage von "TecChannel" wollen gut die Hälfte der befragten Mittelständler den Einsatz in der Cloud weniger groß fahren als bislang geplant. "An der Stelle hat die NSA nicht unbedingt dafür gesorgt, dass Sie eine breite Akzeptanz für Public-Cloud-Angebote haben", sagt Bechtle-Chef Thomas Olemotz.
Der Chef des Kölner Systemhauses Pironet NDH Datacenter, Felix Höger, spricht dennoch von einer wachsenden Nachfrage: Neukunden könnten zwar nur schwer direkt einem Effekt des NSA-Skandals zugerechnet werden. "Wir können aber sagen, dass wir seit dem Sommer 20 bis 25 Prozent mehr Anfragen bekommen haben."
Nach Einschätzung von Matthias Zacher, Berater beim Marktforscher IDC, wird es noch dauern, bis sich in Heller und Pfennig zählen lässt, wie sich der Skandal für die deutschen IT-Firmen auszahlt. "Das ist noch zu früh. Die Firmen treffen IT-Entscheidungen nicht von heute auf morgen", sagt er. (dpa/tc)