Cloud Computing: Der heikle Gang in die Wolke

Nr. 36 –

Das Potenzial ist gross, die Wachstumsprognosen sind schwindelerregend: Dem Cloud Computing gehört die Zukunft. Ein Kongress an der ETH debattierte über Chancen und Risiken der Datenauslagerung.

Private, Unternehmen, Behörden: Sie alle produzieren im digitalen Zeitalter Unmengen an Daten. Zunehmend wandern diese Daten in die sogenannte Cloud, die digitale Wolke. Das heisst, E-Mails, Fotos, Songs und Texte werden immer seltener auf dem eigenen Computer gespeichert, sondern in die Serverfarmen der Cloud-Anbieter ausgelagert, die sogenannten Data Centers. Cloud-KundInnen können so von allen möglichen Rechnern, aber auch von Mobilgeräten aus auf ihre Daten zugreifen, meist ohne zu wissen, wo diese genau gelagert sind.

Die grössten Cloud-Anbieter sind Google, Apple, Microsoft und IBM, doch sie sind längst nicht die einzigen. In der Schweiz offerieren neben zahlreichen privaten Anbietern beispielsweise auch die Swisscom oder die Stadt Zürich Speicherplatz auf ihren eigenen Servern. Die Zahl der Cloud-Anbieter wächst rasant, der Branche wird weltweit bis 2020 ein Wachstum von heute 20 auf 150 Milliarden US-Dollar prognostiziert. Doch Wolke ist nicht einfach Wolke.

Wie entscheidend die Wahl des Anbieters ist, war Ende August in der ETH Zürich feststellbar: am 17. Symposium über Datenschutz und Sicherheit, zu dem die Schweizer Datenschutzbeauftragten eingeladen hatten. Im Zentrum stand die Frage: Wo sind die Daten? Sie richtete sich hauptsächlich an Unternehmen und Verwaltungen, die Erkenntnisse sind aber auch für PrivatanwenderInnen von Bedeutung.

Der ideale Standort

Weshalb gerade diese Frage zentral ist, verdeutlichte Hannes P. Lubich, der an der Fachhochschule Nordwestschweiz über IT-Systeme, Netzwerke und IT-Sicherheit doziert: Die grössten Cloud-Anbieter sind allesamt Konzerne aus den USA, was mehr als nur eine Randnotiz ist. Kurz nach den Anschlägen auf das World Trade Center am 11. September 2001 trat nämlich der «Patriot Act» in Kraft. Seither können US-Sicherheitsbehörden private Daten von US-amerikanischen Cloud-Anbietern anfordern, wie auch von Firmen, deren Data Centers auf US-amerikanischem Boden stehen. Entscheidend ist also, wo der Server steht, in dem die Daten abgelegt sind, und welcher Rechtsordnung der Cloud-Anbieter unterliegt.

Diese Informationen sollte jeder Cloud-Kunde genau abklären, so Lubich, der eine Reihe weiterer wichtiger Fragen aufgriff: Wie stabil ist die politische Situation dort, wo die Daten lagern? Wie sicher ist die Stromversorgung? Er fügte noch an, dass auch geografische Parameter eine Rolle spielen würden: «Ich hätte keine Freude, wenn meine Daten plötzlich verschwunden wären, weil das Data Center von einem Erdbeben oder Hochwasser zerstört wurde.» Insofern sei die Region Zürich ein idealer Standort. Die politische Lage sei stabil, die Rechtsprechung seriös, es gebe genügend Kunden, Investoren, aber auch Spezialisten vor Ort, und die Stromsicherheit sei gewährleistet. «Das ist wichtig, weil die Data Centers immer auf mindestens zwei unabhängige Stromzuleitungen angewiesen sind, um eine lückenlose Einspeisung zu garantieren», so Lubich.

Lubich ging aber auch auf die Vorteile der Cloud ein: «Viele KMU-Betriebe, aber auch öffentliche Verwaltungen oder Schulen sind mit der Komplexität der Datenverarbeitung und -verwaltung überfordert. Für sie ist es oftmals günstiger und vor allem sicherer, die jeweiligen Daten von einem vertrauenswürdigen Cloud-Anbieter verwalten zu lassen.»

Kommt bald die Cloud-Plattform?

Einen anderen Fokus setzte Jurist Amédéo Wermelinger in seinem Referat. Er stellte klar, dass die Verantwortung für die Daten beim Cloud-Kunden liege. Für die Kunden sei eine präzise Evaluation deshalb unerlässlich. Ein weiterer Schlüssel beim Gang in die Wolke liege im Vertrag: «Wenn der Vertrag 700 Seiten umfasst und kein Satz darin wirklich verständlich ist, müssen die Alarmglocken läuten.» Für KundInnen sei es wichtig, auf umfassende Informationspflicht zu pochen, was den Lagerungsort der Daten angeht, und die Verschlüsselung der Datenbestände zu verlangen, so Wermelinger.

Schliesslich versuchten sich auch die Datenschutzbeauftragten im Cloud-Umfeld zu positionieren. Als exemplarisches Beispiel gilt ein Fall aus Dänemark. 2010 hatte die Stadt Odense ihre Daten in die Google-Cloud auslagern wollen. Das hat ihr die dänische Datenschutzkommission aber untersagt, denn die Stadt konnte weder nachweisen, wo die Daten gelagert würden, noch, dass sich Google auch wirklich an ihre Anweisungen hielte. Google wandte die eigenen Datenschutzbestimmungen an.

Nicht immer ist die datenschutzrechtliche Situation so klar. Ursula Sury, Datenschutzbeauftragte des Kantons Wallis, skizzierte einen Fall aus dem Gesundheitswesen: Lagert ein Spital die Auswertung von auf Band gesprochenen Diagnosen nach Indien aus, muss einerseits überprüft werden, ob das Arztgeheimnis gewahrt wird, und andererseits, ob der Datentransfer auch wirklich sicher ist. Diese Überprüfung sei eine Herausforderung.

Der Gang in die Wolke birgt für Unternehmen und die öffentliche Verwaltung Chancen und Risiken. Am Symposium kursierte die Idee, eine nationale Plattform für Cloud-KundInnen zu realisieren, um Erfahrungen auszutauschen und Anbieter spezifisch zu analysieren.