Die Nutzung der Cloud bedingt eine sorgfältige Analyse der Risiken

Was genau ist Cloud-Computing? Aus technischer Sicht basiert es insbesondere auf dem Konzept der Virtualisierung von Rechnerressourcen. Virtualisierung unterstützt die Entkoppelung der Hardwareressourcen von den Softwarediensten. So können Clouds beispielsweise mehreren Nutzern auf Basis desselben physischen Rechners eigene virtuelle Rechner zur Verfügung stellen. Voraussetzung zur effizienten Virtualisierung sind Rechnerarchitekturen, die viele Rechner zu Clustern verknüpfen, sowie allgemein die rasche Steigerung der Leistungsfähigkeit von Rechnern und Netzwerken. Durch Virtualisierung können Rechnerressourcen auf verschiedenen Ebenen verfügbar gemacht werden: Infrastrukturen wie virtuelle Rechner oder Speichermedien (Infrastructure as a Service, IaaS), Plattformen wie Datenbanksysteme oder Webserver (Platform as a Service, PaaS) und schliesslich Anwendungsservices wie E-Mail oder Dokumentmanagement (Service as a Service, SaaS).

Rechenkapazität wird flexibel erwerbbar

Virtualisierung ermöglicht auch neue Geschäftsmodelle. Diese repräsentieren die eigentliche Innovation von Cloud-Computing. Rechnerressourcen können bei Bedarf gemietet werden (Pay per Use), was eine Verschiebung von Investitionskosten zu operationellen Kosten ermöglicht. Zusätzlich können Ressourcen bedarfsabhängig erworben werden. Bei Bedarfsspitzen – z. B. Anwendungen, die plötzlich eine grosse Anzahl von Benutzerzugriffen verarbeiten müssen – können rasch grosse Ressourcen erworben und anschliessend wieder freigegeben werden. Diese Eigenschaft von Cloud-Computing wird als Elastizität bezeichnet. Dadurch, dass viele Anwender dieselben physischen Ressourcen teilen, lassen sich auch Skaleneffekte realisieren, indem der administrative und technische Aufwand pro Rechnereinheit wesentlich geringer wird. Die grössere Effizienz von Cloud-Computing führt nicht nur zu ökonomischen Vorteilen, sondern auch zu einer potenziell effizienteren Nutzung von Ressourcen. Dies betrifft insbesondere die elektrische Energie, den zentralen Kostenfaktor heutiger Informationstechnologie. Cloud-Computing kann also zur Nachhaltigkeit der Informationstechnologie beitragen. Allerdings ist Cloud-Computing nicht immer automatisch die ökonomisch günstigere Alternative. Gerade Big-Data-Anwendungen, welche die Speicherung grosser Datenmengen erfordern, sind oft nicht sehr stark auf Elastizität angewiesen. Zudem erfordern sie oft grosse Datentransfers, die über externe Netzwerke sehr kostspielig und langwierig sein können. In solchen Fällen können traditionelle lokale Lösungen eine ökonomisch durchaus interessante Alternative sein.

Wie steht es um die Sicherheit?

Angesichts all der offensichtlichen Vorteile von Cloud-Computing stellt sich die Frage, wo die potenziellen Probleme liegen. Diese sind klar mit neuen Sicherheitsrisiken und rechtlichen Fragestellungen verbunden. Cloud-Computing schafft neuartige technische Risiken, die aus der Nutzung gemeinsamer Infrastrukturen resultieren. Es ist zum Beispiel nicht völlig auszuschliessen, dass Programme eines Anwenders durch detaillierte statistische Analysen vertrauliche Informationen über Programme anderer Anwender erlangen können. Da Infrastrukturen verschiedener Cloud-Plattformen technisch nicht kompatibel sind, ergibt sich zudem das Problem, dass Anwender nicht ohne grösseren Aufwand den Cloud-Provider wechseln können (Lock-in). Die grössten Probleme stellen sich allerdings in Bezug auf die Datensicherheit. Grundsätzlich sind Daten in der Cloud unterschiedlichen Risiken ausgesetzt. Wir können drei Problembereiche identifizieren:

• die autorisierte oder unautorisierte Nutzung der Daten durch den Cloud-Provider, beispielsweise durch die Analyse von Kundendaten zur Platzierung von Werbeangeboten;
• kriminelle Attacken auf die Systeme von Cloud-Providern, sowohl von externen Angreifern als auch von Insidern. Die jüngsten Fälle von Diebstahl sensitiver Benutzerdaten – insbesondere Passwörter – zeugen klar von dieser Problematik;
• der unerwünschte Zugriff auf Daten durch staatliche Organisationen. Der Snowden-Skandal, bei dem die weitreichenden Überwachungsaktivitäten der US-amerikanischen Geheimdienste einer breiten Öffentlichkeit bewusst gemacht wurden, zeigt wohl nur einen Teil des Problems auf.

Allerdings sollte man sich bewusst sein, dass lokale Rechenzentren in vielen Fällen denselben Risiken ausgesetzt sind. Und nicht immer kann davon ausgegangen werden, dass das Sicherheitsmanagement dort von höherer Qualität ist als bei einem Cloud-Provider.

Viele rechtliche Fragen sind noch ungelöst

Was die Sicherheits- und Datenschutzproblematik bei der Nutzung von Clouds so schwierig macht, ist die komplexe rechtliche Situation. Gesetzgebungen unterschiedlicher Länder greifen ineinander. Gesetzgeber haben Mühe, mit der technischen Entwicklung und den neuen Realitäten Schritt zu halten. Anwender sind zutiefst verunsichert durch die die daraus resultierenden Unklarheiten und Risiken sowie den entstehenden Mangel an Vertrauen in die verschiedenen Akteure. Ein typisches Problem entsteht aus der Tatsache, dass Cloud-Provider Teile ihrer Aktivitäten outsourcen. So nutzt zum Beispiel Dropbox die Webservice-Infrastruktur von Amazon. Die sich daraus ergebenden vertraglichen Abhängigkeiten und rechtlichen Gegebenheiten sind letztendlich für einen Nutzer – und selbst für Experten – praktisch undurchschaubar. Aus Sicht von Forschungseinrichtungen und Universitäten ergeben sich aus der rechtlichen Lage schwerwiegende Probleme zur Nutzung der Cloud. Bei strenger Auslegung der gesetzlichen Rahmenbedingungungen – zum Beispiel betreffend den Austausch von internen Dokumenten – wird die Nutzung von öffentlichen Cloud-Plattformen praktisch unmöglich. Dies führt wiederum zu signifikanten Nachteilen in Bezug auf Arbeitseffizienz, beispielsweise im Bereich der kollaborativen Dokumentbearbeitung oder der Nutzung mobiler Plattformen. Dienste für Mitarbeitende und Studenten, die auf Cloud-Plattformen im Ausland aufbauen, sind höchst problematisch, da persönliche Daten übermittelt werden. Eine Lösung ist es, Vereinbarungen mit Cloud-Providern zu treffen, Daten nur innerhalb des Landes oder in Ländern, mit denen geeignete Abkommen bestehen, zu speichern. Ein solches Abkommen wurde kürzlich zwischen Microsoft und den schweizerischen Erziehungsinstitutionen geschlossen.[1] Dies ist allerdings ein aufwendiger Ansatz und kann auch mit einer verminderten Funktionalität einhergehen, zum Beispiel bei der Nutzung sozialer Netzwerke.

Die Cloud als Ziel von Cyber-Attacken

Aus staatlicher Sicht stellt sich im Zusammenhang mit der Cloud insbesondere die Frage des Umgangs mit dem Informationskrieg (Information Warfare oder Cyberwar). Dieser betrifft den Bereich der Spionage sowohl für staatliche als auch ökonomische Zwecke ebenso wie Attacken auf kritische Infrastrukturen. Informationskrieg ist heutzutage eine Realität, wie die aktuellen Spannungen zwischen den USA und China in diesem Bereich aufzeigen. Die Nutzung dieser Mittel für politische und wirtschaftliche Ziele ist in vielen Staaten mehr oder weniger offen deklarierte Politik. Die Cloud stellt in diesem Zusammenhang ein Ziel solcher Attacken dar, zum Beispiel zur Erlangung vertraulicher Informationen. Sie ist aber auch ein Mittel für Attacken auf andere Infrastrukturen, zum Beispiel im Bereich Verkehr oder Energie. Hier eröffnet sich das grundlegende Spannungsfeld zwischen der Nutzung der Cloud-Infrastruktur als kritischem Wettbewerbsfaktor einerseits und dem Schutz der grundlegenden Interessen des Staates andererseits. Angepasste Rahmenbedingungen und Best Practices zur Nutzung der Cloud sind in diesem Zusammenhang ein wesentliches Element; sie können die Probleme aber nicht alleine lösen. Die Frage stellt sich, in welchem Grad ein Staat bereit ist, in eigene Cloud-Infrastrukturen und die Sicherung der bestehenden Infrastruktur – zum Beispiel Netzwerke – zu investieren, um nicht von Infrastrukturen anderer Staaten abhängig zu sein. Es braucht eine sorgfältige Analyse der kritischen Bereiche, bevor die notwendigen Investitionen getätigt werden.

Wie ist die aktuelle Situation in der Schweiz?

Das Bild der Lage in der Schweiz ist durchwachsen. Im privaten Sektor hat sich ein Ökosystem von Cloud-Providern entwickelt, die das positive Image und die verlässlichen Rahmenbedingungen nutzen, um erfolgreich sichere Datenhaltung insbesondere im Finanzbereich als Service anzubieten. Bei der Nutzung der Cloud sind Schweizer Unternehmen hingegen eher zögerlich. Sie sehen insbesondere Sicherheitsrisiken und neue Abhängigkeiten als Haupthindernisse. Im Umfeld der öffentlichen Verwaltung hat E-Government Schweiz eine Cloud-Computing-Strategie 2012–2020 erarbeitet, die insbesondere den Aufbau einer «Government Cloud» für Anwendungen mit erhöhtem Sicherheitsbedarf vorsieht.[2] Diverse Studien analysieren die Risiken und Defizite.[3] Insgesamt wird derzeit sehr viel zu dem Thema diskutiert, aber noch nicht allzu viel Konkretes getan. Als eine der ersten Initiativen entwickelt Switch derzeit einen Pilot für eine akademische Cloud. Kommerzielle Anbieter haben inzwischen erste Angebote für Cloud-Services entwickelt, die spezifisch auf öffentliche Anwender zugeschnitten sind. Sowohl im öffentlichen als auch im Forschungsbereich (siehe Kasten 1) ist es klar, dass Cloud-Lösungen nur durch Zusammenarbeit auf nationaler Ebene ökonomisch sinnvoll zu realisieren sind. Dies stellt sich aufgrund der sehr kleinräumigen und föderalen Struktur der Schweiz als ein nicht ganz triviales Unterfangen heraus.

Digitale Souveränität ist nicht umsonst zu haben

Die Cloud sollte grundsätzlich als Chance betrachtet werden. Die Schweiz bringt viele Voraussetzungen zur Nutzung der Cloud mit: eine hohe Rechtssicherheit, ein exzellentes Bildungs- und Forschungssystem sowie viele Branchen, die auf die Nutzung von Big Data angewiesen sind. Dazu gehören die Finanzbranche und die Pharmaindustrie. Natürlich bringt die Cloud viele Risiken mit sich; Hysterie ist allerdings nicht angebracht. Vielmehr braucht es eine sorgfältige Analyse der Risiken. Dabei wird das langfristige Ziel der digitalen Souveränität nicht umsonst zu haben sein, sondern massive Investitionen erfordern.[4] Doch angesichts der immensen Bedeutung des Rohstoffs Information sind solche Investitionen sicherlich zu rechtfertigen. Neben den notwendigen Investitionen werden auch eine bessere Koordination der Akteure und eine höhere Rechtssicherheit unabdingbar sein. Wenn all diese Faktoren zusammenspielen, eröffnen sich enorme ökonomische Chancen in Form von effizienterer Informationstechnologie, höherer Wettbewerbsfähigkeit und neuen Geschäftsfeldern. Ein grosses Potenzial liegt aber auch in der Steigerung der Lebensqualität durch Anwendungen in Bereichen wie der Medizin und neuer Formen der sozialen und politischen Interaktion.

1. Gemäss diesem Abkommen wird spezifiziert, in welchen europäischen Ländern Daten gehalten werden können, welche die Kontrollmöglichkeiten sind und dass in Streitfällen der Gerichtsstand Schweiz gilt. Vgl. dazu: www.srf.ch/news/schweiz/microsoft-laesst-mit-sich-reden. []
2. Siehe www.egovernment.ch, Umsetzung, Schwerpunkte, Cloud-Computing. []
3. Z.B.: www.switch.ch/de/uni/projects/cloud; www.satw.ch/projekte/projekte/cloud_computing; www.ta-swiss.ch/cloud-computing. []
4. Beispielsweise ist es noch relativ überschaubar, Infrastrukturservices auf nationaler Ebene aufzubauen, etwa zur Datenhaltung. Komplexere Dienste – wie zum Beispiel ein kollaboratives Dokumenten­management – erfordern einen ungleich höheren Aufwand. []