Krieg der Daten: So geraten Sie nicht zwischen die Fronten
Security Informationssicherheit DSGVO Microsoft Google Datenschutzgesetz Cloud Act
Unter dem Deckmantel der Terrorismusbekämpfung versuchen verschiedene Staaten und Staatenverbünde den Schutz von Privatsphäre und geistigem Eigentum zu untergraben. Über neue Gesetze versuchen sie ihren Geheimdiensten Zugang zu sensitiven Daten von (meist ausländischen) Bürgern und Unternehmen zu verschaffen. Im Gegenzug gibt es immer stärkere Bestrebungen, die Privatsphäre eigener Staatsangehöriger zu schützen. Ein Beispiel dafür ist die neue Europäische Datenschutz-Grundverordnung (DSGVO), welche – zumindest theoretisch – die Einflussnahme des amerikanisches Cloud Acts in Europa einschränken soll. Auch das Datenschutzgesetz in der Schweiz, das gerade revidiert wird, soll klar in diese Richtung gehen. Es wird sich mutmasslich an die europäische Verordnung anlehnen, muss aber noch einige politische Hürden nehmen, bis es verabschiedet wird.
Worum geht es?
Der «Clarifying lawful overseas use of data Act» (kurz «Cloud Act») verpflichtet US-amerikanische Online-Unternehmen und IT-Dienstleister, den US-Behörden Zugriff auf gespeicherte Daten zu gewähren, selbst wenn diese nicht in den USA selbst gespeichert sind. Insbesondere Nutzer von Cloud-Diensten amerikanischer Unternehmen sind davon betroffen. Haben Sie also ein tolles App auf dem Smartphone installiert oder nutzen ein praktisches Software-Tool, das von einem amerikanischen Anbieter stammt, sind Sie bereits betroffen.
Wie funktioniert es?
Amerikanische Strafverfolgungsbehörden können über Cloud-Provider wie etwa Google oder Microsoft Zugriff auf persönliche und sensitive Daten erlangen, auch wenn diese auf Servern in Europa oder der Schweiz liegen. Voraussetzung ist ein Gerichtsentscheid, der eine wahrscheinliche Straftat belegt oder zumindest nahelegt. Die Provider gehen ihrerseits gegen Auskunftsbegehren vor, wenn Gesetze des Landes, in dem die Daten gespeichert sind, dem Cloud-Act widersprechen. Der «Krieg der Daten» ist in vollem Gang.
Welche Optionen gibt es?
Nebst dem – teilweise aufwändigen – Betrieb einer eigenen Vor-Ort-Infrastruktur gibt es Möglichkeiten, um Cloud-Angebote trotzdem weiterhin nutzen zu können. Einzelne Schweizer IT-Unternehmen und Cloud-Provider, wie wir von der first frame networkers ag mit unseren «first 365 Cloud»-Services, sind vom Cloud-Act nicht betroffen. Auch Microsoft bietet einzelne Dienste mit Datenhaltung in der Schweiz an. Als Kunde sollten Sie daher den Transfer in die Schweizer Rechenzentren von Microsoft in Genf und Zürich fordern, müssen dafür aber selbst aktiv werden. Zudem kann ein solcher Transfer bis zu zwei Jahre dauern. Eine weitere Möglichkeit bieten Schutzmassnahmen wie Verschlüsselungsverfahren. Dazu ist aber eine aufwändige Schlüsselverwaltung innerhalb des Unternehmens nötig. Und Sie müssen mit Einschränkungen bei Machine-Learning-basierten Dienstleistungen rechnen.
Wie sollten Sie vorgehen?
Durch sorgfältiges Abwägen von Chancen und Risiken können Sie gemeinsam mit unseren first frame networkers die für Ihr Unternehmen passende Architektur ermitteln. Dabei werden alle relevanten Aspekte bewertet und gegeneinander abgewogen. Gibt es zum Beispiel regulatorische Bestimmungen? Oder interne Auflagen beim Umgang und dem Zugriff bestimmter Daten?
Gerne unterstützen wir Sie. Nutzen Sie unser Know-how, um eine neutrale und praxistaugliche Beurteilung der Informationssicherheit in Ihrem Unternehmen zu erhalten. Damit Sie sich bestmöglich schützen können.
Lukas Studer
Nach einer Lehre als Chemielaborant, der Arbeit im Lehrberuf und dem fliessenden Wechsel in die Informatik absolvierte Lukas Studer die Technikerschule Informatik und Netzwerktechnik. Er war als Informatiker bei verschiedenen Outsourcing-Anbietern für Industriebetriebe, Banken und Versicherungen sowie betriebsintern tätig. Mit dem MAS Information Security wechselte er in die interne Revision als IT-Prüfer und erlangte die Zertifizierung zum Certified Information Systems Auditor und das Zertifikat CAS Datenanalyse. Zudem ist er Certified SCADA Security Engineer (CSSE) und als CISO für die ISO-Zertifizierungen der first frame networkers ag zuständig.