Interview

Europas Ämter in der Cloud

| Redakteur: Manfred Klein

Welche sicherheitstechnischen Voraussetzungen muss Ihrer Meinung nach eine europäische Cloud-Lösung erfüllen? Welches sind zwingende Voraussetzungen für eine europäische Lösung?

Helmbrecht: Dazu eine kleine Anmerkung. Wenn man europäische Cloud-Lösung sagt, dann kann man zwei Dinge darunter verstehen. Das eine wären europäische und internationale Anbieter, die aber ihre Rechenzentren in Europa haben. Wie zum Beispiel Microsoft, das in Dublin und Amsterdam eigene Rechenzentren unterhält. Das andere Modell einer europäischen Cloud, wäre, dass europäische Firmen in Europa Cloud-Lösungen anbieten.

Zu ihrer Frage: Hier gibt es zwei wesentliche Dinge zu beachten. Das eine ist, der Kunde muss auf die Geschäftsbedingungen achten, also zum Bespiel auf die Service Level Agreements (SLA). Insbesondere sollte er darauf achten, ob in den SLAs explit umfassende Regelungen für den Datenschutz und die IT-Sicherheit enthalten sind. Es muss geklärt werden, inwieweit die in den SLAs genannten Paragrafen den eigenen Interessen entsprechen. Und das zweite ist, es gibt mittlerweile Cloud-Computing-Anbieter, die auch Audits und Zertifizierungen vorweisen können. Im Augenblick haben die Kunden da noch nicht viel Auswahl, aber Zertifizierungen sind in jedem Fall ein wichtiges Qualitätsmerkmal.

Wenn ich das ein bisschen erläutern darf, bei den SLAs haben wir das Problem, dass eine Privatperson ja nicht die Geschäftsbedingungen mit einer Google oder Amazon aushandeln kann, die kann man nur akzeptieren oder ablehnen. Als europäische Institution versuchen wir natürlich Einfluss darauf zu nehmen, dass auch die Interessen von mittelständischen Unternehmen und Bürgern verbessert werden. Deshalb fordern wir auch von den Anbietern, dass die Datenschutzbestimmungen und europäisches Recht eingehalten werden beziehungsweise explizit in den Geschäftsbedingungen stehen. Leider sind wir heute noch nicht so weit, dass alle Anbieter diese Forderung erfüllen.

Würden Sie diesen Anforderungskatalog für die Öffentliche Verwaltung erweitern? Gibt es hier spezielle Anforderungen für die Öffentliche Verwaltung in der EU?

Helmbrecht: Auf nationaler Ebene hat das Bundesamt für Sicherheit in der Informationstechnik (BSI), und auf europäischer Ebene die ENISA, einen Katalog zusammengestellt, in dem wir festhalten, worauf Öffentliche Verwaltungen beim Cloud Computing achten sollten.

Das Wichtigste ist sicher, dass man einen nationalen Cloud-Anbieter wählt. Denn im Augenblick ist es noch so, zumindest wenn man die Anforderungen jetzt auf Deutschland bezieht, dass nur ein in Deutschland ansässiger Provider Verwaltungen garantieren kann, dass die deutschen Datenschutzbestimmungen und IT-Sicherheitsanforderungen erfüllt sind. Denn ein Anbieter aus Übersee könnte die Bedingungen, dass Finanzdaten, Gesundheitsdaten oder Steuerdaten wirklich im Land bleiben, nicht erfüllen. Also einfache Aussage: nur nationale Cloud-Anbieter können die gesetzlichen Vorgaben erfüllen.

Das Problem ist, wenn eine Verwaltung zum Beispiel mit Finanzdaten arbeitet, dann muss das Finanzamt sicherstellen, dass die Steuerdaten in Deutschland bleiben. Wenn sie jetzt aber einen Dienstleister nehmen, der die Daten in Holland hostet, dann ist das eben nicht mehr gewährleistet. Voraussichtlich wird dieses Problem in der nächsten Legislaturperiode des europäischen Parlaments geregelt. Bei einem nicht europäischen Dienstleister bleibt dann aber immer noch die Frage, ob die Daten in Europa bleiben.

Dazu gibt es ein Beispiel, das man positiv und negativ sehen kann. Nach dem Erdbeben in Fukushima trat das Problem auf, dass lokale IT-Anbieter nicht mehr verfügbar waren, weil zum Beispiel einfach kein Strom mehr da war. Der Cloud-Service eines Providers hat Japan dann angeboten, die Daten in den USA zu hosten. Das heißt, die Skalierbarkeit der Cloud-Anwendungen erlaubte, dass japanische Unternehmen auf ihre Daten trotz der Naturkatastrophe zugreifen konnten. Auf Deutschland beziehungsweise Europa bezogen heißt das aber auch, dass wir eine Antwort auf die Frage finden müssen, ob wir wollen, dass die Daten dann außerhalb Europas gehostet werden.

Welche Voraussetzungen müssen Verwaltungen erfüllen, um die Daten ihrer Bürger wirksam zu schützen?

Helmbrecht: Solange bis es einheitliche europäische Regelungen gibt, sollten Verwaltungen einen nationalen Cloud-Anbieter wählen. Das ist heute noch leider so. Politisch versuchen wir in der EU derzeit deshalb mit der europäischen Cloud-Strategie, zwei Dinge zu tun. Das eine ist, nationale Barrieren zu überwinden, das heißt, es muss in Europa möglich sein, dass Frankreich seine Gesundheitsdaten in Deutschland speichert und dass Deutschland seine Gesundheitsdaten in Österreich hostet. Wir untersuchen also gerade, welche nationalen Barrieren es gibt und was wir wettbewerbstechnisch tun müssen, um diese Barrieren zu überwinden.

Und das zweite ist, dass es jetzt bereits eine ganze Reihe an Initiativen gibt, in denen man Best Practices in der EU sucht. Finnland und Estland haben zum Beispiel schon ein bilaterales Abkommen, das es den beiden Ländern erlaubt, Gesundheitsdaten auszutauschen. Das heißt, die Bürger der beiden Länder können im Urlaub in beiden Ländern zum Arzt gehen, sie können in beiden Ländern in die Apotheke gehen und die Arztrechnungen dann zuhause über Webservices bezahlen.

Das Interview führte Manfred Klein

Inhalt des Artikels:

Kommentar zu diesem Artikel abgeben

Schreiben Sie uns hier Ihre Meinung ...
(nicht registrierter User)

Zur Wahrung unserer Interessen speichern wir zusätzlich zu den o.g. Informationen die IP-Adresse. Dies dient ausschließlich dem Zweck, dass Sie als Urheber des Kommentars identifiziert werden können. Rechtliche Grundlage ist die Wahrung berechtigter Interessen gem. Art 6 Abs 1 lit. f) DSGVO.
Kommentar abschicken
copyright

Dieser Beitrag ist urheberrechtlich geschützt. Sie wollen ihn für Ihre Zwecke verwenden? Infos finden Sie unter www.mycontentfactory.de (ID: 42652878 / Kommunikation)