Categories
Kommentar

Ein deutscher Patriot Act schadet dem deutschen Cloud Computing Markt

Wie netzpolitik.org berichtet, arbeiten das deutsche Bundesfinanzministerium sowie das Bundesinnenministerium an der Überwachung von Daten in der Cloud. Ebenso arbeiten das Zollkriminalamt (ZKA) sowie das Bundesamt für Verfassungsschutz im Rahmen internationaler Arbeitsgruppen an Methoden, um Daten aus der Cloud abzuhören. Zusammen mit der Bundesnetzagentur gehören beide dazu dem „European Telecommunications Standards Institute“ (ETSI) an. Zwar sei das Bundeskriminalamt (BKA) nicht direkt mit involviert, sei aber in Kontakt mit dem ZKA und habe Einfluss auf Entwicklungen und Beschlüsse.

Das ETSI soll Datenschutz umgehen

Bereits im August hatte ich darüber geschrieben, dass sich das ETSI mit Technologien beschäftigt, um den Datenschutz trotz Mechanismen wie z.B. SSL auszuhebeln.

Das ETSI soll dazu “eine geheime Hintertür für die Cloud” entwickeln. Dabei soll es darum gehen, den Sicherheitsbehörden das Abhören und Überwachen von Kommunikationsdaten in der Cloud zu erleichtern. Das soll neben Angeboten wie Facebook, Twitter usw. ebenfalls Unternehmensangebote wie die Amazon Web Services, Microsoft Windows Azure und andere Anbieter betreffen. Dazu habe sich das ETSI eine Backdoor überlegt, um unkompliziert den unautorisierten Zugriff zu ermöglichen.

SSL wird ausgehebelt

Bei der ETSI Idee handelt es sich, wie sonst oft diskutiert, allerdings nicht um rechtliche Themen wie bspw. dem “Patriot Act”. Hier geht es um reine Technik. Das ETSI will eine Schnittstelle definieren, mit der europäische Sicherheitsbehörden Zugriff auf die Cloud Services der Anbieter erhalten. Die ETSI-Arbeitsgruppe “TC Lawful Interception” stellt sich die Umsetzung so vor, dass die Internet-Anbieter sämtlichen Verkehr standardmäßig umleiten. Nutzt ein Anwender eine verschlüsselte HTTPS-Verbindung (was mittlerweile Standard ist), soll der Datenverkehr auf spezielle Server in das Rechenzentrum des Internet-Anbieter umgeleitet werden. Hier sollen die Sicherheitsbehörden dann den Zugriff auf die Daten erhalten. Um das zu realisieren, müssen die entsprechenden SSL-Zertifikate ausgehebelt werden. Der ETSI geht es nach eigenen Angaben nur um die Erfassung der Datenkommunikation und nicht um die Kontrolle der Inhalte. Der britische Sicherheitsspezialisten und Leiter des Computer Laboratory der Universität Cambridge Ross Anderson hingegen schreibt nach einer Analyse des ETSI-Entwurfs allerdings: “Wenn man die Infrastruktur baut, auf die sich das ETSI geeinigt hat, kann diese für Überwachungsaktivitäten genutzt werden.”

Konsortium hilft beim Forschen zum Schnüffeln

Wie netzpolitik weiter schreibt, arbeiten die Deutsche Telekom und die 1&1 Internet AG zusammen unter der Firma „Strategie- und Forschungszentrum Telekommunikation“ (SFZ TK) an dem gemeinsamen Projekt mit dem Namen “CLOUD” an der Überwachung von Cloud-Diensten. Zwar geht es nur um die “Fragestellungen zu Cloud-Computing und dessen Implikationen auf die Telekommunikationsüberwachung“, aber was man zwischen den Zeilen lesen kann ist besorgniserregend:

“Die unter Umständen weltweite und nicht transparente Verteilung der Daten, Software, Betriebssysteme und Speicher sowie der in der Regel auf verschlüsselten Kommunikationsprotokollen basierende Zugang zu Cloud-Diensten erschwert einen Zugriff der Sicherheitsbehörden.”

Neben dem BKA und der Bundespolizei arbeitet ebenfalls das Bundesamt für Verfassungsschutz mit SFZ TK zusammen.

Deutschland verbaut sich selbst einen kleinen Wettbewerbsvorteil

Im Mai hatte ich im Verlauf der SecureCloud 2012 in Frankfurt noch die Gelegenheit mit mehreren Beratern zu sprechen. Die durchweg einstimmigen Aussagen waren, dass sich Cloud Angebote aus Deutschland mit dem Verkaufsargument des hohen Datenschutzniveau sehr gut verkaufen lassen.

Ein deutscher Patriot Act schadet dem deutschen Cloud Computing Markt

Einige Cloud Anbieter aus Deutschland werben u.a. mit solchen Geschichten wie “Made in Germany” und hohen Datenschutzanforderungen in unserem Land. So ganz unrecht haben sie damit natürlich nicht. Im Vergleich zu anderen Ländern ist der Zugriff auf Daten bei einem deutschen Anbieter so ohne weiteres nicht möglich.

Dieser Wettbewerbsvorteil – TRUST (wir erinnern uns an die CeBIT 2012) – wird, geht es nach der deutschen Bundesregierung, jedoch bald verschwinden. Es geht dann nicht mehr darum, wer den besseren Datenschutz bieten kann oder vertrauenswürdig ist, sondern einzig und allein darum wer die besten Services und die innovativsten Produkte hat. Unternehmen müssen in Zukunft zudem noch besser darauf achten, ihre Daten zu klassifizieren und entscheiden, was in die Cloud soll und was doch lieber on-Premise bleibt. Darüber hinaus wird diese Entwicklung Einfluss auf den Markt haben, da sich immer mehr Unternehmen für eine eigene Private Cloud entscheiden.

Willkommen Private Cloud

Das Vertrauen in die Public Cloud wird weiter sinken und Public Cloud Services – die für das Cloud Computing in Reinform stehen – werden demnach einen weiteren Dämpfer erhalten! Interessant ist, dass die Marktforscher von Gartner für 2012 ein großes Wachstum in der Public Cloud sehen. Zudem sollen die Ausgaben für Enterprise Public Cloud Services bis 2016 die 207 Milliarden US-Dollar erreichen.

Ziehen wir diese neue Entwicklung heran, wird Gartner seine Prognosen wohl herunterschrauben müssen. Die Bedenken von CIOs, Public Cloud Services zu nutzen, sind derzeit eh schon höher als gedacht. Der Hauptgrund sind die Befürchtungen vor Datenlecks in der Public Cloud. Deutsche Unternehmen werden die Gedanken der deutschen Regierung ebenfalls nicht gerne hören. Eine Umfrage von IDC ergab vor kurzem, das ein Drittel der befragten deutschen Unternehmen in 2013 zwischen 26% – 50% ihres IT-Budget in die Private Cloud investieren wollen. Allerdings interessieren sich 90% der Unternehmen nicht(!) für die Public Cloud.

By Rene Buest

Rene Buest is Gartner Analyst covering Infrastructure Services & Digital Operations. Prior to that he was Director of Technology Research at Arago, Senior Analyst and Cloud Practice Lead at Crisp Research, Principal Analyst at New Age Disruption and member of the worldwide Gigaom Research Analyst Network. Rene is considered as top cloud computing analyst in Germany and one of the worldwide top analysts in this area. In addition, he is one of the world’s top cloud computing influencers and belongs to the top 100 cloud computing experts on Twitter and Google+. Since the mid-90s he is focused on the strategic use of information technology in businesses and the IT impact on our society as well as disruptive technologies.

Rene Buest is the author of numerous professional technology articles. He regularly writes for well-known IT publications like Computerwoche, CIO Magazin, LANline as well as Silicon.de and is cited in German and international media – including New York Times, Forbes Magazin, Handelsblatt, Frankfurter Allgemeine Zeitung, Wirtschaftswoche, Computerwoche, CIO, Manager Magazin and Harvard Business Manager. Furthermore Rene Buest is speaker and participant of experts rounds. He is founder of CloudUser.de and writes about cloud computing, IT infrastructure, technologies, management and strategies. He holds a diploma in computer engineering from the Hochschule Bremen (Dipl.-Informatiker (FH)) as well as a M.Sc. in IT-Management and Information Systems from the FHDW Paderborn.

One reply on “Ein deutscher Patriot Act schadet dem deutschen Cloud Computing Markt”

Leave a Reply