Sichere Cloud Umgebungen nach deutschem und europäischem Recht

Quelle: Den Originalartikel finden sie auf ZDnet.de von Kai Schmerer am 12. November 2015

US-Firmen drängen in die deutsche Cloud

Neben Microsoft, das gestern bekannt gab, Cloud-Dienste ab Mitte 2016 in Rechenzentren von T-Systems anzubieten, nutzen auch andere US-Cloud-Anbieter die “Deutsche Cloud”. Der Grund ist einfach: Vertrauen.

Verlorengegangenes Vertrauen ist der Grund für Microsoft und andere US-Firmen, eine deutsche Firma als Betreiber eines in Deutschland lokalisierten Rechenzentrum auszuwählen. Obwohl Microsoft-Chef Satya Nadella wie auch T-Systems-CEO Reinhard Clemens, dessen Firma als sogenannter Datentreuhänder für Microsoft fungiert, die Gründe für das mangelnde Vertrauen der Kundschaft in Public-Cloud-Techniken bei der Vorstellung der Pläne gestern in Berlin nicht weiter präzisiert haben, weiß doch jeder, wer respektive was dafür verantwortlich ist.

Es ist der US-Geheimdienst NSA mit seinen massiven Überwachungsmaßnahmen, die dank der Enthüllungen seines Ex-Mitarbeiters Edward Snowden öffentlich bekannt wurden. Doch das alleine ist noch nicht der Grund, dass US-Firmen die Dienste von der Telekom-Tochter T-Systems in Anspruch nehmen. Hinzu kommt, dass US-Unternehmen wegen des Patriot Act von ihrer Regierung zur Herausgabe von Daten gezwungen werden, auch wenn sich das Rechenzentrum außerhalb der USA befindet. Das ist nach Ansicht vieler Fachleute das Hauptproblem für hiesige Unternehmen bei der Nutzung von Public-Cloud-Angeboten von US-Firmen. Microsoft widersetzt sich zwar in einem bekannt gewordenen Fall weiterhin einem Gerichtsbeschluss, der die Herausgabe von E-Mail-Daten eines europäischen Nutzers an US-Behörden verlangt, doch Rechtssicherheit für Unternehmen sieht anders aus. Auch wenn der Konzern beteuert, den Fall notfalls bis zum Supreme Court durchzufechten.
Endgültig wurde das Vertrauen in Public-Cloud-Techniken mit der faktischen Abschaffung des Safe-Harbor-Abkommens zerstört. Der Gerichtshof der Europäischen Union (EuGH) erklärte Anfang Oktober die Entscheidung der EU-Kommission für ungültig, mit der sie festgestellt hat, dass die „Vereinigten Staaten von Amerika ein angemessenes Schutzniveau übermittelter personenbezogener Daten gewährleisten“. Ausgelöst hatte das Verfahren eine Beschwerde des österreichischen Juristen Max Schrems. Er behauptet, dass seine von Facebook auf USMicrosoft ist nicht die erste US-Firma, die Cloud-Dienste in deutschen Rechenzentren anbietet. Und dabei ist nicht gemeint, dass der US-Hersteller in Deutschland ein Rechenzentrum betreibt. Das würde an dem Tatbestand, dass US-Unternehmen auf Basis des Patriot Act Kundendaten herausgeben müssen, wenn US-Behörden danach anfragen, nichts ändern. Mit dem Datentreuhänder T-Systems kann sich Microsoft aber gegen behördliche Anfragen aus den USA schützen. Für T-Systems gilt deutsches Recht, an Weisungen von US-Behörden ist die Telekom-Tochter nicht gebunden.
Neben Microsoft nutzen weitere US-Firmen wie Salesforce.com und SugarCRM die Dienste von T-Systems – wohl aus den selben Gründen wie Microsoft. Vermutlich werden das nicht die letzten US-Firmen sein, die vor dem Überwachungswahn ihrer Regierung auf hiesiges respektives europäisches Terrain flüchten und die angebotenen Cloud-Dienste unter deutsche/europäische Aufsicht stellen. Diesbezüglich dürfte der Deal mit Microsoft eine gewisse Sogwirkung entfalten.
Ob durch die Vereinbarung von T-Systems mit Microsoft ein Boom in Sachen Public Cloud hierzulande ausgelöst wird, steht allerdings auf einem ganz anderen Blatt. Public-Cloud-Technologien gelten zwar für Start-Ups als Mittel der Wahl, wenn es um Wachstum geht. Doch die meisten Unternehmen sind keine Start-Ups und nutzen die Cloud-Technik entweder als Private Cloud oder in hybrider Form.

Q&A

Q: Was ist das Besondere an dem neuen Cloud-Angebot von Microsoft in Deutschland?
A: Microsoft bietet seine Dienste Azure, Office 365 sowie Dynamics CRM Online zukünftig aus deutschen Rechenzentren an. Der Datenaustausch zwischen den zwei Rechenzentren findet über ein privates, vom Internet getrenntes Netzwerk statt, womit der Verbleib der Daten in Deutschland gesichert ist. Ein unabhängiges deutsches Unternehmen, der Datentreuhänder, kontrolliert den Zugang zu den Kundendaten. Der Datentreuhänder operiert unter deutschem Recht.

Q: Wer kann die neuen Dienste nutzen?
A: Deutsche und europäische (EU/EFTA) Organisationen und Unternehmen aller Größen und Branchen können die Microsoft-Dienste Azure, Office 365 sowie Dynamics CRM Online über die Microsoft Cloud in Deutschland beziehen. Das neue lokale Angebot richtet sich besonders an Organisationen und Unternehmen in datensensiblen Bereichen, wie dem öffentlichen, dem Finanz- oder dem Gesundheitssektor. Bestehende Kunden können ihre Lösungen und Daten aus anderen Rechenzentren in die neue Cloud in Deutschland migrieren.

Q: Wer ist der Datentreuhänder?
A: Der Datentreuhänder ist T-Systems International, eine Tochter der Deutsche Telekom.

Q: Was ist die Rolle des Datentreuhänders?
A: Der Datentreuhänder kontrolliert den Zugang zu Kundendaten. Er stellt sicher, dass Kundendaten nicht an Dritte weitergegeben werden, es sei denn der Kunde erteilt die Erlaubnis oder die Herausgabe wird durch deutsches Recht erforderlich.

Q: Hat Microsoft Zugang zu Kundendaten?
A: Ohne Zustimmung des Datentreuhänders oder des Kunden selbst hat Microsoft keinerlei Zugang zu Kundendaten. Wenn ein Zugriff auf Kundendaten durch Microsoft notwendig und durch den Datentreuhänder genehmigt wird, um beispielsweise Wartungsarbeiten oder Verbesserungen an der Microsoft Cloud in Deutschland durchzuführen, erfolgt ein (zeitlich begrenzter) Zugriff ausschließlich unter sorgfältiger Aufsicht des Datentreuhänders.

Q: Wo werden die Kundendaten gespeichert?
A: Die Kundendaten werden in zwei deutschen Rechenzentren in Magdeburg und Frankfurt am Main gespeichert. Diese beiden Rechenzentren befinden sich aus Gründen der Ausfallsicherheit in unterschiedlichen Teilen Deutschlands und sind über ein privates, vom öffentlichen Internet getrenntes Datennetzwerk miteinander verbunden. Um die Ausfallsicherheit (Business Continuity) und die Wiederherstellung von Daten und Diensten (Disaster Recovery) in Notfällen zu ermöglichen, findet ein kontinuierlicher Datenabgleich zwischen den Rechenzentren statt.

Q: Wer betreibt die Rechenzentren in Deutschland und wem gehören sie?
A: Aus Sicherheitsgründen veröffentlicht Microsoft keine Einzelheiten darüber, welche Einrichtungen Eigentum sind und welche von Dritten gemietet werden. Microsoft betreibt mehr als 100 Rechenzentren weltweit – eigene wie gemietete. Unabhängig von Eigentumsfragen gelten für alle Cloud-Dienste von Microsoft höchste Standards bei Datenschutz und Datensicherheit.

Q: Welche Sicherheitsstandards gelten für die Microsoft Cloud in Deutschland?
A: Die deutschen Rechenzentren nutzen die gleichen Technologien und bieten die gleichen hohen Sicherheitsstandards wie die globalen Cloud-Angebote von Microsoft. Dazu gehören Multi-Faktor-Authentifizierungen, biometrische Scans, Smartcards, Datenverschlüsselungen nach SSL/TLS-Protokollen, physische Sicherheitsmaßnahmen, Sicherungen gegen Naturkatastrophen und Stromausfälle.

Q: Wann werden die neuen Dienste verfügbar sein und was kosten sie?
A: Die Dienste der Microsoft Cloud in Deutschland werden ab der zweiten Jahreshälfte 2016 sukzessive zur Verfügung gestellt. Im Preis für die neuen Dienste wird sich der Mehraufwand für die besondere Architektur dieser Lösung widerspiegeln. Wir orientieren unsere Angebote weltweit an den Bedürfnissen unserer Kunden und bieten Leistungen zu wettbewerbsfähigen Preisen an.

Den Originalartikel finden sie auf ZDnet.de von Kai Schmerer am 12. November 2015