Datenschutzaktivisten, wie Max Schrems und Prof. Kelber, kämpfen gegen die Nutzung der Public Cloud, um europäische Daten besser zu schützen. Ihre Hauptargumente beziehen sich auf die in den USA herrschenden Überwachungsgesetze (insb. CLOUD Act und FISA) und haben sich auch durch die Nachbesserungen der Biden-Administration nicht geändert:
- Das Datenschutzniveau in den USA selbst ist nicht mit jenem in Europa vergleichbar. Die relevanten Gerichte sind nicht unabhängig, Abhilfemaßnahmen und Einspruchsmöglichkeiten gehen nicht weit genug.
- Die Nutzung europäischer Cloud-Rechenzentren der Public Cloud entspricht faktisch einem Datentransfer in die USA, denn US-Provider müssen auch extraterritoriale Daten ausliefern, wenn diese in ihrer Obhut liegen.
- Die normalen Verschlüsselungsverfahren der Public Cloud sind nutzlos, denn US-Provider verwalten auch die relevanten Schlüssel und müssen diese ebenfalls mitliefern.
Wirklich ausreichend ist aus Sicht der Aktivisten nur eine echte Ende-zu-Ende-Verschlüsselung, bei welcher der Kunde selbst die Schlüssel im eigenen Rechenzentrum hält. Die Vorteile der Public Cloud bleiben dabei aber auf der Strecke: Das Service-Portfolio wird sehr klein, die verbliebenen Services sind nicht mehr benutzerfreundlich.
Die juristische Hochreck-Übung
Nach einigen hundert Stunden Recherche und Experten-Gesprächen ist mein persönlicher Eindruck: Max Schrems hat juristisch Recht. Wie aber kommt es, dass europäische Unternehmen dennoch Cloud-Leistungen im Wert von über 100 Milliarden Euro jährlich einkaufen? Es sind viele große Unternehmen, welche das Wachstum der Public Cloud treiben. Diese Unternehmen sind auch bereit, sich jene Anwälte zu leisten, die gerne am „juristischen Hochreck“ turnen. Der Begriff umschreibt freundlich einen Wettbewerb, in dem sich spitzfindige Juristen gegenseitig zur Höchstleistung treiben.
Was aber bleibt kleinen Unternehmen oder öffentlichen Organisationen, die sich diesen Luxus 80-seitiger Datenschutzfolgeabschätzungen je Cloud-Service, gefolgt von umfangreichen technisch-organisatorischen Maßnahmen, nicht leisten können?
Linux installieren, DNS-Eintrag erstellen
Na klar, die kümmern sich selbst um die IT, wie es die anderen 50.000 Betreiber von Private Clouds in Deutschland auch tun. Nur: IT auf eine Weise bereitzustellen, bei der sicher alle Daten geschützt sind, ist nicht einfach.
Nehmen wir das Beispiel einer Schule, die ihren Schülern Fernunterricht ermöglichen möchte. Dürfte sie die Public Cloud nutzen, könnte praktisch jede MitarbeiterIn nach einer kurzen Schulung Zoom oder Teams einrichten und sichere Zugänge an die SchülerInnen verteilen. Aber: US-Geheimdienste könnten unter Berufung auf FISA einen Antrag auf Datenzugang beim Cloud-Provider stellen und würden dann Einblick in den Schulunterricht unserer Kinder erhalten.
Also setzt die Schule auf BigBlueButton, eine Open-Source-Alternative zu Teams. Die Anleitung gibt es auf unsere-schule.org. Sie klingt erst mal einfach: Linux installieren, DNS-Eintrag erstellen und mit der Server-IP-Adresse verbinden, BigBlueButton installieren, SSL-Zertifikat testen. Klar, da kann doch eine Informatikperson schnell machen.
Die Installation läuft dann „headless“, also nur über ein Textfeld und nicht über eine grafische Benutzerführung. Das Betriebssystem sollte (laut unsere-schule.org) das veraltete Ubuntu 16.04 sein. In der Version 15.10 kann der Installationspfad ganz anders aussehen. Zusätzlich bedarf es eines User-Managements, um sicherzustellen, dass jede SchülerIn auch jene ist, die sie vorgibt zu sein. Zudem bedarf es ausreichender Rechen-, Speicher- und Netzwerk-Kapazitäten, damit BigBlueButton auch dann funktioniert, wenn alle Schüler montags früh gleichzeitig darauf zugreifen. Alle wichtigen Systeme müssen redundant sein, alle Daten brauchen funktionierende Backups, jede Schlüsselperson eine Vertretungsperson. Für die Serverräume benötigte es Zugangsschutz, Kühlung und Feuerlöschanlagen.
Über jedes Element der IT-Wertschöpfung kann ein Angreifer ins System gelangen und Daten entwenden. Jede Software muss immer auf dem neuesten Stand sein. Denken Sie jetzt ganz fest an eine Informatik-Lehrperson Ihrer Wahl.
Alle wurden schon gehackt
Dieses Beispiel verdeutlicht, wie unter dem Druck der theorie-fokussierten Datenschützer Organisationen ihr Bestes geben. Etwa der Rhein-Pfalz-Kreis, dessen Bürgerdaten im Darknet gelandet sind. Oder der Landkreis Anhalt-Bitterfeld, der nach dem Hackerangriff im Ausnahmezustand war. Oder die Hochschule in Hamburg, die erpresst wurde. Oder die Stadt Potsdam und das Klinikum Lippe, die offline weiterarbeiteten. Die Liste ist endlos.
Eine Open-Source-Lösung aus dem Netz herunterladen und installieren kann jeder interessierte Laie mithilfe eines YouTube-Videos. Daraus abzuleiten, dass eine solche „Frikkel-Lösung“ von einer Organisation dauerhaft, sicher und nutzerfreundlich betrieben wird, ist eine naive Illusion von Datenschutz-Theoretikern, die nicht über ihren Tellerrand hinausschauen.
Google, Microsoft und AWS, alle wurden schon gehackt. Aber sie haben daraus gelernt und geben nun Milliarden für IT-Sicherheit aus. Aber die Schulen lassen wir mit dem Problem allein. Und so wollen wir das Datenschutzniveau in Europa erhöhen?
Es geht um Realdatenschutz
Ich möchte hier nicht dafür plädieren, alle Daten gedankenlos in die Public Cloud zu geben. Aber ich möchte auch nicht, dass alle Daten gedankenlos in die Private Cloud gehen, in der Annahme dort gäbe es automatisch den besseren Datenschutz, nur weil dort Software vor Ort betrieben wird.
Und ich bin mit dem Herzen voll bei Max Schrems: die USA betreiben ein überzogenes, undifferenziertes und diskriminierendes Überwachungsprogramm. Aber dafür sind sie nicht angewiesen auf die Public Cloud. Die USA dominieren praktisch alle Märkte für Hardware-Komponenten und Software, von Netzwerk-Ausrüstung über Chip-Design bis zu Private-Cloud-Softwares und den meisten SaaS.
Die Lösung ist, und da bin ich wieder ganz bei den Praktiken der deutschen Großunternehmen, der risikobasierte Ansatz. Hier werden bei IT-Entscheidungen die Punkte Datenkategorie, Schadenhöhe und Eintrittswahrscheinlichkeit des Risikos der jeweils zur Wahl stehenden Alternativen abgewogen. Was also ist schlimmer?
- Transkriptionen des Unterrichts gelangen über einen der ~250 FISA-Anfragen der US-Behörden (im Zeitraum 06/2021-12/2021 bei Microsoft) in die Hände der NSA.
- Individuelle Persönlichkeits-Berichte von Basler Schülern gelangen ins Darknet.
Nur genau jenen „risikobasierten Ansatz“ der Industrie kritisiert Schrems in seinen Äußerungen. Er wüsste nicht, was jene Juristen geraucht hätten, damit sie „einen solchen Blödsinn verzapfen“.
Europa ist pragmatisch
Andere Länder und Institutionen im Gültigkeitsbereich der europäischen Datenschutz-Gesetze handeln pragmatischer. EU-Kommission und EZB verwenden AWS, die Bundeswehr nutzt eifrig die Microsoft-Cloud und die Niederlande haben ihren Behörden systematisch den Weg in die Public Cloud geebnet (ausgenommen sind Staatsgeheimnisse und Public Clouds aus China).
Wie es Michael Rath in seinem Interview bei cloud ahead treffend formulierte: Wir sollten Max Schrems dankbar sein für seine Verdienste um den europäischen Datenschutz. Ohne ihn könnten US-Unternehmen weiterhin mit einer Powerpoint-Präsentation Datenschutz auf Papierebene herstellen. Dank ihm gibt es jetzt Initiativen wie die souveräne Cloud und Auftrieb für europäische Cloud-Provider. EntscheiderInnen in Unternehmen und Behörden aber sollten sich nicht ablenken lassen von den theoretischen Übungen unterforderter Juristen, einen risikobasierten Ansatz wählen und sich für jene Lösung entscheiden, die materiell den besten Realdatenschutz verspricht. Und bis wir es schaffen, wettbewerbsfähige europäische Clouds aufzubauen, ist das nun mal in vielen Fällen die Public Cloud.