Weitergabe von Cloud-Daten: E-Evidence vs Confidential Computing

Confidential Computing heißt, dass Daten nicht nur sicher übertragen und gespeichert werden, sondern auch bei der Verarbeitung geschützt sind. Die TÜV SÜD-Tochter uniscon setzt dieses Maß an Datensicherheit mit der Sealed Cloud um. Die Forderung nach einer Weitergabe von Cloud-Daten an Behörden passt da nicht ins Konzept – und ist auch aus anderen Gründen problematisch.

Mit der E-Evidence-Verordnung steht ein neues, internationales Regelwerk bereit, das Daten in Europa über Landesgrenzen hinweg für Behörden verfügbar machen soll. Konkret geht es dabei – wie der Name schon nahelegt – um den Zugang zu elektronischen Beweismitteln. Der vorliegende Verordnungsentwurf soll es künftig leichter machen, Dienstanbieter zur Herausgabe von Daten zu verpflichten. Das betrifft sämtliche Informationen, die dem Cloud-Dienstleister über seinen Kunden zur Verfügung stehen – einschließlich der in der Cloud gespeicherten Inhalte selbst.

Für eine effektive internationale Strafverfolgung mag das hilfreich sein. Doch die Forderung wirft grundsätzliche Fragen zur Datensicherheit von Cloud-Diensten auf – und darüber hinaus.

Daten-Zugriff ist technisch machbar

Technisch ist der Zugriff auf Inhaltsdaten sowie Metadaten durch den Anbieter prinzipiell möglich! Viele Anbieter von Cloud-Diensten können auf die in der Cloud gespeicherten Daten ihrer Kunden zugreifen. Das bedeutet allerdings, dass dieser Zugriff grundsätzlich auch ohne behördliche Anordnung erfolgen kann. Nicht nur für Unternehmen, die mit sensiblen Daten hantieren, ist das eine unangenehme Vorstellung. Wenn der Cloud-Betreiber so einfach an die Daten seiner Kunden herankommt – wer kann das dann noch alles?

Hinzu kommt, dass allein diese Möglichkeit zur Kenntnisnahme manche Berufsgruppen (nämlich Träger von Berufsgeheimnissen nach §203 StGB, wie beispielsweise Anwälte und Ärzte) eine Offenbarung von Geheimnissen im Sinne des StGB darstellt. Das hat Folgen: „So schließt man mit der Forderung nach der Möglichkeit des behördlichen Zugriffs gewisse Berufsgruppen von vornherein von der Nutzung von Cloud-Diensten aus und setzt sie den wirtschaftlichen Nachteilen aus, die sich daraus ergeben“, argumentiert Ulrich Ganz, Director Software Engineering bei uniscon.

Confidential Computing schließt Datenzugriff technisch aus

Schon jetzt setzen Unternehmen, die Zugriffe durch Dritte (und den Dienstbetreiber) zuverlässig verhindern wollen, auf Dienste, die das Prinzip des Confidential Computing umsetzen. Das heißt, sensible Daten sind nicht nur bei der Speicherung und Übertragung verschlüsselt, sondern bleiben auch während der Verarbeitung in der Cloud geschützt. Ziel des Confidential Computing ist neben einer allgemeinen Verbesserung der Datensicherheit, die Vorteile des Cloud Computing auch denjenigen Branchen zugänglich zu machen, die sonst davon ausgeschlossen sind, weil sie schützenswerte Daten verarbeiten.

uniscon setzt diesen Confidential-Computing-Ansatz in seiner hochsicheren Business-Cloud idgard® mit der sogenannten Sealed-Cloud-Technologie um. Dabei schließen eine gründliche Datenverschlüsselung und ein Satz ineinander verzahnter technischer Maßnahmen in speziell abgeschirmten Server-Käfigen jeglichen unbefugten Zugriff zuverlässig aus. Nur der Kunde ist im Besitz des dazugehörigen Schlüssels. Eine Anfrage von Dritten nach diesen Daten ist somit zwecklos, da auch der Betreiber keinen Zugang dazu hat.

So erlaubt die Sealed-Cloud-Technologie selbst den Berufsgruppen die Nutzung von Cloud-Diensten, die sonst davon ausgenommen wären: Ärzte und Kliniken, aber auch Steuerberater, Wirtschaftsprüfer und viele mehr. Gesetzgeberische Maßnahmen sollten nicht mehr Schaden anrichten, als sie Nutzen generieren. Die Forderung nach einer grenzübergreifenden Auslieferung von Cloud-Daten ist daher mit großer Skepsis zu betrachten.

Sie wollen idgard® selbst ausprobieren? Erstellen Sie jetzt einen kostenlosen Probe-Account!

Dies ist ein Gastbeitrag der uniscon GmbH. Weitere Blogbeiträge rund um die Themen Datenschutz und Datensicherheit finden Sie unter www.privacyblog.de.