Technik kennt keine Grenzen

Territoriale Grenzen spielen in technischer Hinsicht keine Rolle mehr, wohl aber in der rechtlichen. Denn bislang gibt es keine international verbindlichen Rechtsnormen über die Daten, die in der Cloud zur Verfügung stehen. Denn was in Österreich oder Europa möglicherweise durch strenge Datenschutzgesetze verboten ist, interessiert beispielsweise einen USamerikanischen Staatsanwalt dann nicht, wenn in seinem Land andere Rechtsvorschriften gelten. Insofern raten Fachleute bislang dazu, Daten, die zur Unternehmenssteuerung dienen, nicht zum Cloudcomputing zuzulassen.

Patriot Act

Vor gut einem Jahr gaben zwei große Cloudanbieter bekannt, dass sie im Rahmen des „Patriot Acts“ verpflichtet seien, Daten aus EU-Rechenzentren an US-Behörden weiterzugeben.

Mag. Árpád Geréd
Jurist bei Maybach Görg Lenneis & Partner Rechtsanwälte

Damals hat das große Aufregung ausgelöst. Seither sind österreichische Unternehmen aufgrund der befürchteten Datenweitergabe verunsichert und fragen sich, ob sie Cloud-Angebote aus den USA überhaupt nutzen können. Dies umso mehr, da die großen Cloudanbieter auch in Österreich ihre Services offerieren.

Deshalb hat diese Frage für das Cloud Computing in Österreich große Relevanz , da sich ihre Angebote an Unternehmen aller Branchen richten, selbst österreichische SaaS-Anbieter (Software as a Service) nutzen häufig die Infrastructure-Dienste (IaaS) amerikanischer Provider.

Mag. Árpád Geréd, Rechtsanwalt und IT Spezialist gibt aber zu Bedenken, dass jeder Staat eine gesetzliche Grundlage geschaffen hat, im Rahmen von strafprozessualen Maßnahmen auf Daten in der Cloud Zugriff nehmen zu können.

Technisch wappnen

Alle Experten sind sich trotz aller Datenschutzbestimmungen einig. Das größte Risiko sind nicht die staatlichen Behörden, sondern liegen beim User selbst. Auf dem eigenen Server eines durchschnittlichen Intendanten in Österreich oder Deutschland sind die Daten zumeist deutlich unsicherer verwahrt, als bei einem darauf spezialisierten Betreiber.

Beim Vertragsabschluss mit einem Service-Provider von Cloud-Dienstleistungen sollte man auch im Erstgespräch mit dem Anbieter nicht nur nach technischen Spezifikationen, sondern vor allem nach sicherheitsrelevanten Aspekten fragen - sie können für ihre eigene Unternehmenssicherheit lebenswichtig sein.

So muss beispielsweise geklärt werden, welcher Anwender zu welchen Informationen Zugang haben soll, denn nicht jeder Nutzer muss unbedingt einen Zugang zu allen IT-Ressourcen haben. Dies gilt übrigens sowohl bei stationären, als auch bei Cloudlösungen.

Passwortsicherheit

Scheunentore, um alle Bemühungen der IT-Sicherheit zunichte zu machen, sind Passwörter. Geburtstage oder eine Kombination aus Namen und Geburtstag sind einfach zu knacken. Schlimmer noch ist die Praxis, im Urlaubs- oder Krankheitsfall die Passwörter an die Kollegen herauszurücken, um sich vertreten lassen zu können.

Das ist zwar gut gemeint, aber für die IT-Sicherheit eines Unternehmens eher kontraproduktiv. Lösungen sind hier Multifaktor-Authentifizierungen, beispielsweise auf Basis eines Einmal-Passworts in Verbindung mit einem Token oder Zertifikaten.