Sicherheit in der Cloud: Verschlüsseln reicht nicht aus

Beim Datenschutz kennt der Gesetzgeber kein Pardon: Für die Sicherheit der Informationen hat das Unternehmen zu sorgen. Geht etwas schief, haftet die Geschäftsführung oder der Vorstand persönlich. Geeignete Lösungen zum Schutz bietet der Markt haufenweise. Eine, die zu hundert Prozent gegen Angriffe von außen oder den unberechtigten Zugriff von innen schützt, gibt es jedoch nicht.

Das ist beim Cloud Computing – also der Bereitstellung von IT-Diensten via Internet auf Abruf – nicht anders. Software-as-a-Service, Infrastruktur-as-a-Service und Plattform-as-a-Service unterscheiden sich vom klassischen Outsourcing vor allem durch schnelle Verfügbarkeit und die Abrechnung der Kosten nach Nutzung. Die Cloud-Anbieter können diese Flexibilität deshalb anbieten, weil sie selbst flexibel sind und Daten, Speicherkapazitäten oder Rechenleistung in ihren Rechenzentren beliebig so verschieben können, dass das eigene System im Sinne des Kunden optimal läuft.

Nach Ansicht des Rechtsanwalts Georg Meyer-Spasche von der Kanzlei Osborne Clarke liegt aus juristischer Sicht genau hier der Hase im Pfeffer. Wie soll ein Unternehmen, das Daten in eine solche Wolke gibt, noch feststellen können, ob kein Dritter die Daten einsehen kann, wie es beispielsweise das Bundesdatenschutzgesetz vorschreibt? Und wie kann es, was nach demselben Gesetz notwendig ist, die Maßnahmen des Cloud-Providers überprüfen?

Beides ist nach Meinung von Meyer-Spasche unmöglich, weil der Cloud-Nehmer nicht auditieren kann. Die Frage, wo die Daten liegen, sei nicht zu beantworten. Sein Vorschlag deshalb: Die Unternehmen sollen ihre Daten verschlüsseln und sich somit vor dem Zugriff Dritter schützen.