Die anhaltenden Spionagediskussionen mit den USA rund um die jüngst bekanntgewordenen Fälle von der NSA (»Prism«) und GCHQ (»Tempora«) werfen zunehmen viele Fragen zum Thema Datensicherheit auf. Wie kann Diebstahl durch Mitarbeiter verhindert werden, wie werden Angriffe von Hackern abgewehrt? Die grundlegendere Frage lautet jedoch: Wo sollen die Daten gespeichert werden, damit sich Staaten nicht einfach daran bedienen können?

Grundsätzlich ist der Standort des Servers, auf dem die Daten gespeichert sind, ausschlaggebend für das geltende Rechtssystem. Entscheidet sich ein Unternehmen, seine Daten an Dritte auszulagern und sie beispielsweise in der Datenwolke (Cloud-Computing) des weltgrößten Anbieters Amazon zu speichern, befinden sie sich mit sehr großer Wahrscheinlichkeit auf Servern, die auf amerikanischem Boden stehen. Unter Berufung auf den seit 2001 gültigen »Patriot Act« darf der amerikanische Staat jedoch ohne richterliche Verfügung auf die Server von US-Unternehmen zugreifen.

Nachfrage nach Cloud-Server-Standort Deutschland zieht an

Inwiefern er dies auch bei im Ausland befindlichen Tochtergesellschaften von US-Firmen getan hat, ist Gegenstand der derzeitigen Diskussion und wäre gegebenenfalls rechtlich sehr umstritten. Lücken im Datenschutz gibt es aber nicht nur in den USA, sondern auch in zahlreichen anderen Ländern. Aus diesem Grund spielt der physische Standort eines Servers für Unternehmen, die ihre Daten auslagern, eine entscheidende Rolle.

Aufgrund dieser Rechtsproblematik fragen in- und ausländische Unternehmen zunehmend die Angebote von IT-Dienstleistern nach, deren Server sich auf Deutschem Boden befinden – und damit auch dem Deutschen Recht, und vor allem dem Deutschen Bundesdatenschutzgesetz unterstehen. Schließlich haftet im Zweifelsfall das Unternehmen selbst und nicht der Cloud-Anbieter für einen allfälligen Schaden, sollten sensible Daten in die falschen Hände gelangen.

German Cloud zertifiziert deutsche Cloud-Provider

»Vor allem Kunden aus datenschützerisch heiklen Branchen wie Anwaltskanzleien, Treuhandfirmen, Ingenieurbüros, Forschungseinrichtungen und Versicherungen legten zunehmend Wert darauf, dass ihre Daten immer in Deutschland bleiben«, sagt Götz Piwinger, Geschäftsführer der Zertifizierungsstelle German Cloud. Das Geschäftsmodell der German Cloud basiert auf der Idee, dass Deutschland beim Thema Datenschutz einen Standortvorteil bietet, weshalb sich alle Server in Datenzentren auf heimischem Boden befinden.

Dass Daten das neue Gold Deutschlands seien, sagt man schon seit längerem. Seit Staaten für Daten-CDs Geld zahlen und die USA in großem Stil nach IT-Informationen schnüffeln, erhielten German-Cloud-Mitglieder noch mehr Anfragen von Firmen – aus Deutschland wie aus dem Ausland, sagt Piwinger. Der Bedarf ist offenbar sehr groß, denn German Cloud sucht derzeit laut Piwinger intensiv nach weiteren Partnern in Deutschland.

Beispielsweise kleinere Banken sind auf externe Anbieter angewiesen

Auch für Banken spielt der Standort der Server eine zentrale Rolle. Die großen Institute unterhalten meist ihre eigenen Rechenzentren, aber kleinere Banken sind aus Kostengründen fast immer auf externe Anbieter angewiesen, beispielsweise für die gewollte Spiegelung ihrer Daten (Redundanz). Im Rahmen der derzeitigen Diskussion über den Datenschutz sei die Nachfrage nach hiesigem Speicherplatz zwar nicht sprunghaft gestiegen, aber man verzeichnet ein kontinuierlich wachsendes Interesse, erläutert Piwinger.

Ausländische IT-Unternehmen entdecken deshalb Deutschland – und ebenfalls die Schweiz – zunehmend als idealen Server-Standort. Doch selbst in Deutschland ist es möglich, den Betreiber eines Rechenzentrums zur Herausgabe von Daten zu zwingen. Allerdings reicht dafür – anders als in den USA – ein bloßer Verdacht nicht aus. »Es bedarf einer gesetzlichen Grundlage, also etwa aufgrund eines laufenden Strafverfahrens einer richterlichen Anordnung zur Herausgabe der Daten«, erklärt Piwinger.

Allerdings werden laut German Cloud immer mehr beschlagnahmungssichere Cloud-Anwendungen entwickelt, beispielsweise im medizinischen Bereich oder beim Angebot, Cloud-Storage zu nutzen. In diesem Fall weiß nicht einmal der Cloud-Provider, was sich in seinen Datenspeichern verbirgt.

»Hosted in Germany«: Bechtle und T-Systems verspüren bereits Rückwind

Wie auch immer: »Hosted in Germany« ist derzeit ein sehr gutes Argument, um verunsicherten Kunden in Deutschland sichere Cloud- und Speicherlösungen zu verkaufen. Deutschlands führendes Systemhaus Bechtle ließ kürzlich durchblicken, dass man derzeit von der verunsicherten deutschen Industrie profitiert, die sich durch die Abhörpraxis ausländischer Geheimdienste Sorgen um den Datenschutz macht. Kunden würden mit dem Thema IT-Sicherheit derzeit verstärkt auf Bechtle zukommen, sagte CEO Thomas Olemotz gegenüber der Nachrichtenagentur Reuters.

Neben Bechtle profitiert allen voran T-Systems. Die Telekom-Tochter hatte schon im herbst 2011 vorausschauend aus diesem Grund die Gründung einer Bundes-Cloud vorgeschlagen, die seinerzeit bei Innenminister Hans-Peter Friedrich sogar Gefallen gefunden hat. Aber irgendwie verlief die prinzipiell gute Idee wieder im Sande.

Trend Micro zog mit Cloud-Angebot von England nach München

Diese Entwicklung spürte seinerzeit auch der Anti-Malware-Spezialist Trend Micro. Das Unternehmen betrieb bis 2011 die Cloud-Storage-Lösung »SafeSync« (für Privatanwender) und »SafeSync for Business« (für Unternehmen) in England. Doch der Zuspruch war bei den Kunden – eben wegen den laxen Datensicherheitsvorschriften in England – verhalten. Also zog Trend Micro im Herbst 2011 nach München um in ein Hochsicherheitsrechenzentrum von Equinix.

Der Umzug hat sich gelohnt. »Die Nachfrage zieht jetzt spürbar an«, bekundet Raimund Genes, Chief Technology Officer von Trend Micro. Früher sei das deutsche Bundesdatenschutzgesetz eher als Hindernis angesehen worden, doch nun sei es »ein echtes Verkaufsargument«. Er wundert sich, dass es deutsche Cloud-Hoster nicht intensiver als USP (Unique Selling Point) bei der Vermarktung einsetzten.

Trend Micro verschlüsselt durchgehend

Trend Micro setzt auf durchgehende Verschlüsselung, nicht nur bei der Übertragung, sondern auch bei der Speicherung. Eingesetzt wird die gleiche 256-Bit-AES-Verschlüsselung wie bei Geldinstituten. Und Trend Micro betont: Alle Dateien von Unternehmen im Raum EMEA werden im europäischen Rechenzentrum in München synchronisiert.

Da zum einem der Rechnerstandort Deutschland ist, und zum anderen Trend Micro ein japanisches Unternehmen ist, kann sich Genes über mögliche Datenauskunftsanfragen aus den USA nur mokieren: »Das müsste alles in japanisch bei unseren japanischen Rechtsanwälten eingereicht werden.« Bis zu einem positiven Bescheid würden hier – wenn überhaupt – Jahre vergehen.

.