Was ist eigentlich Cloud Computing?
Cloud Computing beschreibt die Bereitstellung von IT-Infrastruktur wie beispielsweise Speicherplatz, Rechenleistung oder Anwendungssoftware als Dienstleistung über das Internet.
Technischer formuliert umschreibt das Cloud Computing den Ansatz, IT-Infrastrukturen über ein Rechnernetz zur Verfügung zu stellen, ohne dass diese auf dem lokalen Rechner installiert sein müssen.
Angebot und Nutzung dieser Dienstleistungen erfolgen dabei ausschließlich durch technische Schnittstellen und Protokolle, etwa mittels eines Webbrowsers. Die Spannweite der im Rahmen des Cloud Computings angebotenen Dienstleistungen umfasst das gesamte Spektrum der Informationstechnik und beinhaltet unter anderem Infrastruktur, Plattformen und Software.
Die Welt braucht immer mehr Rechenleistung. Bei Unternehmen ist alles computerisiert, von Industrieprozessen bis zur Buchhaltung. Das sogenannte Cloud Computing soll die Lösung dafür bringen.
Wenn jede Firma die für ihre computerisierten Arbeitsabläufe notwendige Rechenleistung im eigenen Haus unterhalten würde, wäre das ein gewaltiger Aufwand. Notwendig sind zahlreiche teure Server, die auch gewartet und regelmäßig erneuert werden müssen. An dieser Stelle entstand Nachfrage nach entsprechenden Dienstleistungen aus dem Netz, die heute unter dem Begriff Cloud Computing zusammengefasst werden – Rechenleistung aus der „Wolke“.
Die „Wolke“ ist das Netz. Im Idealfall funktioniert das wie mit Strom aus der Steckdose. Die Software muss nicht auf dem eigenen Computer laufen – sie arbeitet irgendwo in der Server-Farm des Cloud-Dienstleisters. Die Daten werden nicht auf der eigenen Festplatte gespeichert, sondern irgendwo im Netz – und sind damit auch von überall erreichbar. Auch wenn man mehr Rechenleistung braucht oder zum Beispiel eine neue Niederlassung eröffnet, muss man sich dafür keine neuen Computer kaufen, sondern mietet sich einfach zusätzliche Kapazität in der Wolke.
So attraktiv das Konzept ist, das Cloud Computing wirft auch Fragen und neue Ängste auf. Eine Grundvoraussetzung sind schnelle und stabile Internet-Zugänge. Auch kurzfristige Ausfälle bei Anbietern von Cloud-Diensten haben ihre Kunden in der Vergangenheit in arge Probleme gestürzt. Zudem macht die Sicherheit der Daten vielen Unternehmen Sorgen: Sie wollen nicht riskieren, dass vertrauliche Informationen verlorengehen oder in fremde Hände geraten. Schließlich muss es möglich sein, die Daten problemlos von einem Anbieter zu einem anderen zu übertragen.
Auch Verbraucher profitieren vom Cloud Computing. Schließlich brauchen auch Privatanwender zum Beispiel immer mehr Speicherplatz für Fotos und Videos. Deshalb gibt es für sie zahlreiche Angebote, die Daten nicht nur auf den eigenen Festplatten zu sichern, sondern auch in der Cloud. Mit Web-Anwendungen lassen sich die Dokumente dann auch online bearbeiten.
Datensicherheit
Die schöne Welt der vielen Daten - beherrschen wir sie, oder sie uns?
Datenschutz ist ein in der zweiten Hälfte des 20. Jahrhunderts entstandener Begriff, der teilweise unterschiedlich definiert und interpretiert wird. Je nach Betrachtungsweise wird Datenschutz verstanden als Schutz vor missbräuchlicher Datenverarbeitung, Schutz des Rechts auf informationelle Selbstbestimmung, Schutz des Persönlichkeitsrechts bei der Datenverarbeitung und auch Schutz der Privatsphäre. Datenschutz wird häufig als Recht verstanden, dass jeder Mensch grundsätzlich selbst darüber entscheiden darf, wem wann welche seiner persönlichen Daten zugänglich sein sollen. Der Wesenskern eines solchen Datenschutzrechts besteht dabei darin, dass die Machtungleichheit zwischen Organisationen und Einzelpersonen unter Bedingungen gestellt werden kann. Der Datenschutz soll der in der zunehmend digitalen und vernetzten Informationsgesellschaft bestehenden Tendenz zum sogenannten gläsernen Menschen, dem Ausufern staatlicher Überwachungsmaßnahmen (Überwachungsstaat) und der Entstehung von Datenmonopolen von Privatunternehmen entgegenwirken.
Angela Merkel hat die Bedeutung einer "hohen Datensicherheit" erkannt. Trotzdem predigt sie: "Aber wenn wir uns das Big-Data-Management, wenn wir uns die Verarbeitung großer Datenmengen selber zerstören durch einen falschen rechtlichen Rahmen, dann wird viel Wertschöpfung nicht mehr in Europa stattfinden." Das wäre für Deutschland "von großem Nachteil", so die Kanzlerin.
Es geht nicht nur um die Frage, ob der rechtliche Rahmen beim Thema "Big Data" richtig oder falsch ist, sondern auch darum, ob dieser Rahmen eingehalten wird. Das ist nicht immer der Fall: Im November 2015 hat zum Beispiel Posteo - ein Anbieter elektronischer Briefkästen - den Bundesinnenminister Thomas de Maizière dafür kritisiert, dass Polizeibehörden "unverschlüsselte Ersuchen um Bestandsdaten" an den Anbieter gerichtet hätten. In diesen Anfragen seien persönliche Daten (wie z.B. Namen und Tatvorwürfe) enthalten gewesen, "die seitens der Behörden nicht verschlüsselt" waren. Dies verstoße gegen das Bundesdatenschutzgesetz.
In einem Brief an den Vorsitzenden der SPD-Bundestagsfraktion Thomas Oppermann bestätigt der Innenminister den Tatvorwurf. Das "unverschlüsselte Auskunftsersuchen" stellt für den Minister jedoch die "absolute Ausnahme" dar.
Also haben die Strafverfolgungsbehörden im absoluten Ausnahmefall die Lizenz, den Verdächtigen zu bedrohen. Wer aber hat in der Behörde die Lizenz, einen solchen Ausnahmefall auszurufen? Und wer hat die Regel definiert, die normalerweise angewandt wird?
Sicherheitslücken auch bei der Bundespolizei
Die Bedrohung geht so: Vor Jahren wurden bei der Bundespolizei illegal Daten kopiert - anschließend wurden der Behörde von der eigenen Innenrevision "gravierende Sicherheitslücken" bescheinigt. Zu den Angegriffenen gehören dabei nicht nur Verurteilte und Verdächtige - öffentlich könnten jetzt auch die Namen von Ermittlern, Zeugen und vor allem der Organisationsstruktur der Bundespolizei sein.
Die Prüfer kamen damals zu dem Ergebnis: "Unter Beibehaltung des derzeitigen Netzbetriebes besteht eine erhöhte Wahrscheinlichkeit des unkontrollierten Abflusses von Informationen sowie des Befalls mit Schad-Software." Ein halbes Jahr später berichtete DER SPIEGEL vom erneuten Bruch des Systems.
Die Leistungsfähigkeit der Informationstechnik verdoppelt sich alle 18 Monate - und das bereits seit 50 Jahren. Im kommenden Internet der Dinge (IPv6) verfügt jeder der 80 Millionen Bundesbürger rein rechnerisch über 62,5 Trilliarden feste IP-Adressen. Wir können das gesamte Leben mit Sensoren und Aktoren pflastern und mit Hilfe von künstlicher Intelligenz auswerten.
Wir sind angreifbar - und die Angreifer haben eine immer bessere IT
Die Frage lautet: Wie gehen die Angegriffenen mit der Bedrohung der Datensicherheit um? Zu diesen Angegriffenen gehören die Entscheider in Politik und Wirtschaft sowie diejenigen, die auf Basis der Entscheidungen Software entwickeln, implementieren, administrieren oder nutzen, um vernetzte Geräte zu steuern oder personenbezogene Daten damit zu verarbeiten. Dabei stützen sie sich auf gesetzliche und/oder vertragliche Grundlagen. Oft sind sie der Ansicht, sie (und ihre jeweilige Klientel) hätten "nichts zu verbergen". Diese schlichte, naive Ansicht macht die gesamte Prozesskette angreifbar.
Zu den Angreifern gehören etwa Geheimdienste, Kriminelle, Terroristen oder Wirtschaftsspione - diese nutzen die Technik bis zum Anschlag, um menschliche und technische Schwächen automatisiert auszunutzen. Sie verfolgen unterschiedliche Ziele - etwa "jede von Menschen generierte Information zu verarbeiten", möglichst viel Geld zu machen oder eben auch maximale Zerstörung anzurichten.
Datenschutz in der EU: Unternehmen müssen mit Sanktionen rechnen
Die kommende EU-Datenschutzverordnung verlangt von Unternehmen und Behörden, für die Sicherheit von personenbezogenen Daten zu sorgen.
Unternehmen, die dabei versagen, müssen mit Sanktionen in Höhe von bis zu 4 Prozent des Jahresumsatzes rechnen. Über die Sanktionen, die den Behörden im Fall eines Versagens auferlegt werden, sollen die Mitgliedsstaaten entscheiden.
Einen möglichen Ausweg zeigt die VdS Schadenverhütung GmbH mit einer Norm "VdS 3473" - diese Norm will die Dienstleistungstochter der Versicherungswirtschaft 3,9 Millionen Unternehmen und Organisationen andienen. Es wird Jahre dauern und pro Institution tausende Euro kosten, diesen Basisschutz umzusetzen. Das reicht aber nicht: Die Angegriffenen benötigen einen rollenspezifischen Computerführerschein. Und bevor Produkte, Dienstleistungen und vor allem "Apps" mit der übrigen Welt vernetzt werden dürfen, sind unabhängige Zertifikate erforderlich, die ihnen Unbedenklichkeit bescheinigen.