Ein deutscher Cloud-Anbieter verliert Kryptografie-Schlüssel und seine Kunden dadurch Daten: Dieser aktuelle Vorfall schadet der gesamten Cloud-Branche in Deutschland, weil sie deren größten Wettbewerbsvorteil zunichte macht, betont ownCloud.
Deutsche Cloud-Anbieter mit ihren hohen Standards sind bei der Absicherung von Daten führend. Das ist die gute Nachricht. Trotzdem ist jetzt eine Panne passiert, die so nicht hätte sein dürfen. Einem hiesigen Anbieter sind nach einer Routineprüfung Kryptografie-Schlüssel abhandengekommen. In der Konsequenz können Unternehmen nicht mehr auf bestimmte Dateien zugreifen, auch der Cloud-Anbieter selbst hat keinen Zugriff mehr. Dieser Vorfall ist aus Sicht von Tobias Gerlinger, CEO bei ownCloud in Nürnberg, grob fahrlässig, die Fehlerquelle liegt für Gerlinger im konzeptionellen Ansatz: „Datensouveränität beinhaltet auch Schlüsselsouveränität. Unternehmen sollten niemals gezwungen sein, die Hoheit darüber einem Dritten zu überlassen. Die Verschlüsselung muss so konzipiert sein, dass die Schlüssel bei den Endusern und maximal noch in der eigenen IT-Abteilung liegen.“
Gerlinger fordert die deutschen Cloud-Anbieter auf, ihre Verantwortung gegenüber dem Kunden ernst zu nehmen: „Sie müssen dafür sorgen, dass sich der berühmte deutsche Qualitätsanspruch auch in ihren Produkten niederschlägt. Machen sie unverzeihliche Fehler, ist das ein Armutszeugnis für die hiesige Cloud-Branche und schadet deren Reputation.“ Auch könne es nicht sein, dass Unternehmen extra fürs Backup bezahlen müssen, damit ihre Daten abgesichert sind. Im aktuellen Fall haben nur Kunden, die eine kostenpflichtige Option dazu gebucht haben, eine Chance auf Wiederherstellung. Wer also kein lokales Backup angelegt hat, steht ohne Daten da.
Standortvorteil Deutschland nicht aufs Spiel setzen
„Wir haben in Europa und ganz besonders in Deutschland eine Datenschutzkultur und damit einen Wettbewerbsvorteil gegenüber Ländern wie den USA, der einzigartig ist. Dieser Standortvorteil darf durch solche technische Pannen nicht aufs Spiel gesetzt werden“, so Gerlinger weiter. Grundsätzlich bestimmt der Standort des Cloud-Anbieters, welches Datenschutzrecht gilt. Entsprechend macht es einen entscheidenden Unterschied, ob der Anbieter innerhalb der Europäischen Union oder im Nicht-EU-Ausland sitzt. Das Stichwort in diesem Zusammenhang ist „Cloud Act“. Mit Hilfe dieses Gesetzes reicht der lange Arm der USA bis nach Deutschland: Amerikanische Behörden dürfen von Cloud-Providern die Herausgabe sämtlicher Daten einer Person oder eines Unternehmens verlangen. Der Cloud Act bezieht dabei auch die Server von US-Unternehmen im Ausland in die amerikanische Gesetzgebung ein. Innerhalb der EU gelten dagegen strenge Bestimmungen gemäß der DSGVO, wenn personenbezogene Daten gespeichert werden.
Der Schlüssel liegt beim Unternehmen
Viele Anbieter verwalten ihre Keys in der Cloud, in der Wolke allerdings sind sie denselben Sicherheitsrisiken ausgesetzt wie die Cloud selbst. Mit ownCloud können Unternehmen ihre Schlüssel im eigenen Key-Store verwalten. Sie können außerdem ihren eigenen Key-Manager erstellen und eine App entwickeln, die den Einsatz unternehmenseigener Verschlüsselungslösungen ermöglicht.
https://owncloud.com/de