Aber was, wenn Geheimdienste Daten auslesen und damit die eigene Wirtschaft fördern? Die Sache mit der staatlichen Spionage ist die, dass sie in den Regionen der Welt unterschiedlich stark ausgeprägt ist - vor allem rechtlich. Die USA haben hier die besten Möglichkeiten. Ein Großteil aller Cloud-Provider sitzt in den Vereinigten Staaten oder hat zumindest eine große Niederlassung dort. Die Infrastruktur - ob für das Internet oder in Form von Sicherheitskomponenten - stammt meist von amerikanischen Unternehmen.
Maßnahmen, wie absichtlich präparierte Geräte oder auch die Nichtveröffentlichung bekannter Sicherheitslücken, können hier problemlos zum eigenen Vorteil genutzt werden. Die amerikanische Regierung bzw. ihr Geheimdienst hat sogar die Möglichkeit, einfach in US-Rechenzentren hineinzuspazieren - einfach per dort geltendem Recht.
Foto: kurhan - shutterstock.com
Der Verdacht der Synergienutzung liegt hier natürlich nahe. Denn Daten auf amerikanischen Servern, die möglicherweise sensible Informationen über Strategien, Entwicklungsrezepte, Kunden oder Preise ausländischer Unternehmen enthalten, eignen sich bestens zur Wirtschaftsförderung im eigenen Land. Viele deutsche, mittelständisch geprägte Unternehmen machen sich berechtigte Sorgen und möchten dieses Risiko natürlich nicht eingehen. Einige große Unternehmen haben verstanden, dass dies eine Geschäftsbarriere für die Einführung von Cloud-Services ist.
Es gibt auch einen konkreten Fall. Microsoft hat versucht, seine europäischen Kunden zu schützen und eine Klage in den USA angestrengt. Dadurch sollte verhindert werden, dass es zu einer Zwangsherausgabe von Daten kommt, die auf einem europäischen Server gehostet wurden. Das ist verständlich, denn wenn Unternehmen Daten herausgeben müssen, die per Europarecht geschützt werden müssten, dann schadet das den Geschäftsbeziehungen. Oder würden Sie Microsoft noch Unternehmensdaten für die Cloud anvertrauen?
Das Problem hat auch SAP erkannt. Die Forderung in diesem Zusammenhang - insbesondere der DSAG - ist: Die Politik muss dafür eine Lösung finden. Gemeinsame Terroristenabwehr ist absolut akzeptiert, aber Wirtschaftsförderung in den Staaten gefährdet Cloud-Anbieter und -Konsumenten.
Wenn sich keine politische Lösung findet, dann geht die zweite Forderung an die Provider. Sie müssen es technisch unmöglich machen, dass Daten überhaupt abfließen können. Das gilt auch für SAP: Wenn ich in Europa mit Clouds erfolgreich sein möchte, muss ich dafür Sorge tragen, dass diese Daten außerhalb Europas nicht greifbar sind.
Schlupflöcher für Nachrichtendienste
Das ist ein Dilemma, das unter anderem durch die Errichtung eines digitalen Binnenmarktes in Europa gelöst werden soll. Gerüchte, dass es innerhalb einer europäischen Harmonisierung erzwungene Schlupflöcher für Nachrichtendienste geben soll, halten sich aber immer noch hartnäckig. Und Schlupflöcher sind prinzipiell mal schlecht, weil sie eigentlich das Vertrauen in die Sicherheit der Datenkommunikation untergraben. Wenn ein Geheimdienst ein Schlupfloch nutzen kann, kann das auch ein Hacker.
Der einfachste Fall ist der Wechsel des Arbeitgebers. Jemand, der gerade noch beim Geheimdienst beschäftigt war, kann rein theoretisch zur "dunklen Seite der Macht" wechseln und verliert dabei nicht plötzlich seine Fähigkeiten und sein Wissen. Die Wahrscheinlichkeit, dass solche Schlupflöcher lange wirklich nur in staatlicher Hand bleiben, ist gering.
Daher ist es umso wichtiger, dass wir in Europa unabhängiger werden, einen digitalen Binnenmarkt etablieren und unsere Systeme so autark wie möglich gestalten. Kommunikations-Hintertürchen in der Verschlüsselung sind dabei absolut kontraproduktiv. Kein Unternehmen, mit dem ich mich bisher ausgetauscht habe, hat Probleme damit, Daten freiwillig zur Verfügung zu stellen - allerdings nur, wenn sie dem Terrorschutz dienen. Bei sensiblen Firmendaten sieht das jedoch anders aus.
Wer hat den Schwarzen Peter?
Politikern, die die Verantwortung auf die Unternehmen selbst schieben, wenn sie ihre Daten in die Cloud legen, muss jedoch klar sein, dass wir uns im Zeitalter der Digitalisierung befinden. Landmaschinenhersteller zum Beispiel gestalten heute schon Teile ihres Supports digital. Wenn der Supportprozess ein an ihr Geschäftsmodell angelagerter Service ist und sie beispielsweise wissen müssen, wie lange Erntemaschinen oder Traktoren laufen und wann sie gewartet werden müssen, dann bietet es sich an, damit in die Cloud zu gehen. Immerhin kommen ihre Produkte überall auf der Welt zum Einsatz.
Aber wenn ich mich mit den entsprechenden Daten nun in einer Cloud befinde, zu der mein Wettbewerber dank guter Wirtschaftsförderung Zugang hat, dann liefere ich ihm quasi die Kunden frei Haus. Er weiß dann nämlich, welchen Bauern er wann und wie ansprechen muss, wenn einer meiner Traktoren kaputt ist. Das macht unsere Unternehmen angreifbar.
Lassen sich solche Modelle nicht sicher in der Cloud betreiben, verhindert das eine Digitalisierung der Geschäftsprozesse. Und jetzt sind wir genau an dem Punkt, wo Sicherheit die betriebliche Optimierung blockiert. Damit werden Unternehmen, die Internet of Things und Industrie 4.0 vorantreiben möchten, ausgebremst oder - im schlimmsten Fall - gefährdet. Die Verantwortung für Datensicherheit in Deutschland sollte daher nicht allein bei der Wirtschaft liegen.
Dr. Marco Lenck ist Vorstandsvorsitzender der Deutschsprachigen SAP-Anwendergruppe (DSAG) e.V. Wie wichtig aber auch anfällig grenzübergreifende Prozesse für Unternehmen tatsächlich sind, erfährt er täglich als CIO bei der Döhler Gruppe. Durch seine langjährige Erfahrung als Vermittler zwischen den Fachbereichen und der IT global agierender Unternehmen kennt er die nötigen Rahmenbedingungen - sowohl an die Infrastruktur als auch an Sicherheit und Standards - genau. (bw)