Categories: SicherheitUnternehmen

Spionage im Cloud-Zeitalter

Nebelaktionen und Falschmeldungen

Titel wie “Oracle investiert wegen der Datensicherheit in Deutschland” sind nur ein Beispiel für Informationen die von den Medien entweder falsch verstanden oder fehlinterpretiert werden. Diejenigen die es besser wissen müssten – die Anbieter – helfen allerdings auch nicht dabei für Klarheit zu sorgen. Im Gegenteil, die Furcht und Sorge der Anwender wird gnadenlos ausgenutzt, um Geschäft zu machen. So begründet Oracle Deutschlandchef Jürgen Kunz die beiden neuen Rechenzentren in Deutschland damit: „In Deutschland ist Datensicherheit ein besonders sensibles Thema […]”. Die NSA-Karte lässt sich heutzutage leicht ausspielen, um zu zeigen, “[…] dass Oracle als US-Unternehmen dem deutschen Markt verbunden bleibt.”

Allerdings hat der Standort zunächst einmal nichts mit der Datensicherheit und dem NSA-Skandal zu tun. Ob ein Geheimdienst nun auf die Daten in einem Rechenzentrum in Deutschland, den USA, der Schweiz, Australien und so weiter zugreift, hat herzlich wenig mit dem Land zu tun. Hält sich der Anbieter an seine eigenen globalen Regelungen für die Rechenzentrumssicherheit auf physikalischer als auch virtueller Ebene, sollte ein Rechenzentrum, unabhängig von seinem Standort, überall dieselbe Sicherheit gewährleisten. Werden Daten in Deutschland gespeichert wird damit keine höhere Sicherheit garantiert. Denn ein Rechenzentrum in den USA, Großbritannien oder Spanien ist genau so sicher wie eines in Deutschland.

Die Krux, geht es um das Thema Sicherheit, werden leider immer wieder zwei Begriffe vermischt, die grundsätzlich unterschieden werden müssen: Die Datensicherheit und der Datenschutz.

Was ist Datensicherheit

Nutzung von Cloud-Diensten in Europa. (Grafik: Eurostat)

Datensicherheit bedeutet die technischen und organisatorischen Maßnahmen umzusetzen, um Vertraulichkeit, Verfügbarkeit und Integrität der IT-Systeme sicherzustellen.

Public Cloud-Anbieter bieten weit mehr Sicherheit, als es sich ein deutsches mittelständisches Unternehmen leisten kann. Das hängt damit zusammen, dass Cloud-Anbieter gezielt in den Aufbau und die Wartung ihrer Cloud Infrastrukturen investieren und ebenfalls das dafür notwendige Personal beschäftigen und die entsprechenden organisatorischen Strukturen geschaffen haben. Hierzu werden jährlich Milliarden von US-Dollar in die Hand genommen. Es gibt nur wenige Unternehmen außerhalb der IT-Branche, die in ähnlicher Weise in IT-Sicherheit investieren können und wollen.

Was ist Datenschutz

Beim Datenschutz geht es um den Schutz der Persönlichkeitsrechte während der Datenverarbeitung und den Schutz der Privatsphäre.

Dieses Thema sorgt bei den meisten Unternehmen für die echten Kopfschmerzen. Denn beim Verstoß gegen das Bundesdatenschutzgesetz macht der Gesetzgeber kurzen Prozess. Es geht zunächst also darum, den Cloud-Anbieter für die Einhaltung der im §9 festgehaltenen Regeln im Bundesdatenschutzgesetz in die Verantwortung zu nehmen und dies selbst auf Basis von §11 zu überprüfen. Für die Erfüllung von §11 empfiehlt es sich auf die Gutachten von Wirtschaftsprüfern zurückzugreifen, da kein Anbieter jeden Kunden einzeln ein Audit durchführen lassen kann.

Der Datenschutz ist ein absolut wichtiges Thema, schließlich handelt es sich dabei um sensibles Datenmaterial. Es ist aber in erster Linie ein rechtliches Thema, was durch Maßnahmen der Datensicherheit gewährleistet werden muss.

Die NSA ist ein Vorwand. Spionage ist allgegenwärtig

Spioniert wird überall. Ja, sogar in Deutschland. Dabei sollte nicht vergessen werden, dass jedes Unternehmen einen potentiellen Edward Snowden in den eigenen Reihen sitzen hat. Noch fühlt sich der Mitarbeiter wohl. Doch was passiert, wenn ein attraktiveres Angebot lockt oder die Stimmung im Team oder gar dem Unternehmen umschlägt? Innentäter sorgen heute für eine viel größere Bedrohung als externe Angreifer oder Geheimdienste. Der ehemalige Hacker Kevin Mitnick beschreibt in seinem Buch “Die Kunst der Täuschung”, wie er mit dem Durchstöbern der Mülltonnen seiner Opfer und Social Engineering an die Informationen gelangen konnte, um seine Angriffe erfolgreich umzusetzen. Dabei ging es meistens weniger um das Kapern von IT-Systemen, sondern eher um die Manipulation von Menschen und eine intensive Recherche.

Dass ein Rechenzentrum in Deutschland vor der Spionage befreundeter Staaten schützt ist und bleibt ein Märchen. Denn wo ein Wille ist, da ist auch ein Weg. Sprich, wenn ein Angreifer an Daten gelangen möchte, dann ist dies einzig und alleine mit der kriminellen Energie verbunden, die er bereit ist, zu unternehmen und die finanziellen Mittel, die ihm dafür zur Verfügung stehen. Sind die technischen Herausforderungen zu hoch, dann bleibt immer noch der Faktor Mensch als Option und der ist bekanntlich käuflich.

Die Cloud ist der Sündenbock!

Die Cloud ist nicht das Problem. Spionage als Ausrede zu nutzen um keine Cloud Services einzusetzen ist, wie einem Kleinkind den Lutscher zu stehlen. Man macht es sich zu einfach. Fakt ist, in den Zeiten vor der Cloud, dem Outsourcing-Zeitalter, war es genau so möglich Spionage zu betreiben. Und diese wurde auch betrieben! Anbieter konnten ebenso, trotz ihrer Verträge mit den Anwendern, Daten heimlich an Geheimdienste weitergeben. Wäre Spionage im Zeitalter des Outsourcings genau so ins Fadenkreuz geraten wie heute, wäre wohl das Outsourcing verteufelt worden. Die heutige Diskussion ist maßgeblich ein Produkt der politischen Situation, in der ein Mangel von Vertrauen die Beziehung des ehemals engen Wirtschafts-, Militär- und Geheimdienstpartner prägt.

Die heutigen Cloud-Anbieter sind, auf Grund der Datenberge die sie horten und auf einheitlichen Plattformen zusammenführen, allerdings deutlich attraktiver geworden. Aber sich Zutritt in die Rechenzentren zu verschaffen ist zu aufwendig. In seinem Buch „Tube: Behind The Scenes At The Internet“ beschreibt Andrew Blum, dass einer der ersten Internet-Hubs “MAE-East”  (1992) auf Grund seiner hohen Konnektivität in andere Länder (Daten von Tokyo nach Stockholm oder Daten von London nach Paris mussten jeweils über MAE-East) schnell zum Ziel der US-amerikanischen Spionage wurde. Kein Wunder, MAE-East war der de-facto Weg in das Internet. Unterm Strich müssen Geheimdienste nicht in die Rechenzentren der Anbieter. Es reicht, wenn sie in den Verbindungsknoten stecken bzw. auf den Leitungen sitzen. Was scheinbar der Fall ist.

In diesem Zusammenhang wurde das sogenannte “Schengen-Routing” ins Gespräch gebracht. Dabei soll der Datenverkehr in Europa verbleiben, wenn die Daten nur innerhalb Europas ausgetauscht werden. Auf dem Papier sieht das theoretisch erst einmal gut aus. In der Praxis ist der Ansatz aber untauglich. Werden beispielsweise US-amerikanische Cloud-Services genutzt, dann werden die Daten zum größten Teil auch über deren Server in den USA gerouted. Wird eine E-Mail von einem Konto bei einem deutschen Anbieter an einen Geschäftspartner mit einem Konto bei einem US-Anbieter verschickt, dann muss der Datenverkehr ebenfalls Europa verlassen. Vergessen werden sollte ebenfalls nicht, dass wir seit Jahren in einer vernetzten Welt leben und Daten global ausgetauscht werden müssen.

Ein in diesem Zusammenhang viel gravierenderes Problem liegt in der Marktmacht und klaren Innovationsführerschaft der USA gegenüber Europa und Deutschland. Die Verfügbarkeit und Wettbewerbsfähigkeit deutscher und europäischer Cloud Services ist immer noch beschränkt. So greifen viele Unternehmen bei Cloud-Diensten auf die Angebote aus den USA zurück. Auf Netzwerkebene alleine wird sich also keine Lösung finden lassen, solange keine konkurrenzfähigen Cloud-Services, Infrastrukturen und Plattformen europäischer Anbieter vorhanden sind. Bis dato hilft nur die Verschlüsselung der Daten, um den Geheimdiensten und anderen Kriminellen Einhalt zu gebieten.

Europäische und deutsche Anbieter sind gefordert, innovative und attraktive Cloud-Services zu entwickeln und zu vermarkten. Denn ein deutsches Rechenzentrum alleine hat nichts mit einer höheren Datensicherheit zu tun, sondern bietet lediglich den Vorteil des deutschen Datenschutzniveaus, um damit die rechtlichen Rahmenbedingungen zu erfüllen.

Redaktion

View Comments

  • Der Autor macht es sich ein wenig einfach bei seiner Gnadenlosen Empfehlung der Cloudservices.
    1. Keine Erwähnung des "Patriot-Act".
    Jedes US Amerikanische Unternehmen muß den amerikanischen Geheimdiensten Zugriff auf die Daten gewähren und darf nicht darüber sprechen.
    2. Ein Whistleblower hätte im Outsourcing Zeitalter zur Verteufelung des Outsourcing geführt, heute eben zur Verteufelung der Cloud. Worin sieht der Autor den Unterschied zwischen diesen beiden "Zeitaltern" (ausser in den Begrifflichkeiten)?
    3. Schengenrouting - Es soll Verkehr innerhalb des Schengenraumes verbleiben, der zwischen Kommunikationspartnern innerhalb dieses Raumes ausgetauschet wird.
    Also Server im Schengenraum mit einem anderen Server im Schengenraum oder mit einem Client im Schengenraum. Die vom Autor angeführten Bespiele bei denen das Schengenrouting nicht funktioniert waren gar nicht Bestandteil dieses Vorhabens, er ist nicht der erste der gemerkt hat das manches im Netz nicht funktioniert.
    Aus "Kostengründen" Traffic von Köln nach Düsseldorf über New-York zu routen verstopft die Netzwerkinfrastruktur. Die Anbieter innerhalb dieses Schengen-Routing sollten sich allerdings mal darüber klar werden ob sie das ganze wollen und ob entsprechende Peering Kapazitäten bereitgestellt werden können/sollen.

Recent Posts

FTC blockiert Microsofts Übernahme von Activision Blizzard

Die Regulierungsbehörde kündigt eine Klage gegen die Transaktion an. Sie erwartet, dass Microsoft den Zugang…

20 Stunden ago

Cybersecurity-Software findet gefährliche IoT-Schwachstellen

Onekey erweitert Schutz gegen Zero-Day-Attacken und bietet transparente Auflistung von Softwarekomponenten.

21 Stunden ago

Pentagon vergibt Cloud-Auftrag – an AWS, Google, Oracle und Microsoft

Der neue Auftrag hat eine Laufzeit bis Juni 2028. Das Auftragsvolumen sinkt von 10 auf…

22 Stunden ago

Cybersecurity-Maßnahmen: Hochbeliebt bedeutet nicht immer hocheffektiv

Unternehmen in der deutschen Finanzbranche ignorieren signifikante Möglichkeiten zur Verbesserung ihrer Cybersicherheit.

2 Tagen ago

Fitness-App gegen Stress und für geringeres Erkrankungsrisiko

Das Jahresende ist auch die Zeit der guten Vorsätze für das nächste Jahr. Tipps für…

2 Tagen ago

Virtuelles Quantencomputing-Labor für Unternehmen

Tata Consultancy Services bietet virtuelle Forschungs- und Entwicklungsumgebung auf Basis von Amazon Braket.

2 Tagen ago