In der Vergangenheit gerieten namhafte Technologieunternehmen wie Google, Facebook, Apple etc. in den Strudel von Spionageprogrammen wie PRISM und XKeyscore, welche von den amerikanischen Geheimdiensten betrieben wurden. Diese Enthüllungen haben zu berechtigten Bedenken hinsichtlich des Datenschutzes geführt. Die Warnungen vor chinesischen Apps wie TikTok, Temu etc. häufen sich. Stellen diese ein potenzielles Sicherheitsrisiko dar? Angesichts dieser Entwicklungen drängt sich die Frage auf, ob es unter solchen Umständen verantwortbar ist, Cloud-Infrastrukturen von Anbietern aus diesen Ländern zu nutzen. Können Unternehmen diesen Anbietern bedenkenlos ihre sensiblen Kundendaten, Forschungsergebnisse, Patente und andere persönliche Informationen anvertrauen?
Die Risiken im Blick: Datenschutz und Wirtschaftsspionage
Die IT-Infrastruktur, gemeinsam mit der Energieinfrastruktur, bildet das Rückgrat jeder modernen Gesellschaft und prägt massgeblich unser heutiges Leben. Entsprechend ist diese auch die Achillesferse jedes Unternehmens. Was die Notwendigkeit unterstreicht, sorgfältig zu prüfen, wo Daten gespeichert werden, mit welchen Tools gearbeitet wird und wie Daten übermittelt werden.
USA oder China: Wo liegt die grössere Gefahr?
Die Antwort auf diese Frage ist vergleichsweise simpel. Die meisten Büroanwendungen, die wir täglich verwenden, stammen von US-Unternehmen, während chinesische Anwendungen hauptsächlich im privaten Bereich, auf Smartphones, zum Einsatz kommen. Die Risiken für Unternehmen lassen sich bei Letzteren relativ einfach minimieren, indem die Verwendung kritischer chinesischer Apps auf Firmenhardware eingeschränkt wird.
Die Verlässlichkeit vertraglicher Zusagen von Big-Tech im Zeitalter von Datenschutzbedenken
In Zeiten zunehmender Skepsis hinsichtlich Datenschutzverletzungen und verschärfter staatlicher Regulierungen in der Schweiz, haben sich auch die Zusicherungen der Technologiegiganten weiterentwickelt. Verträge, die die ausschliessliche Datenspeicherung in der Schweiz garantieren und den Zugriff durch die Anbieter und Dritte untersagen, sollen Unternehmen ein gewisses Mass an Sicherheit bieten. Doch ist dies tatsächlich die Lösung?
Leider ist die Realität komplexer. Selbst wenn solche vertraglichen Zusagen existieren, könnten Daten wie Geschäftsgeheimnisse, Kundendaten, Patente und Forschungsergebnisse unbemerkt in unbefugte Hände gelangen. Das eigentliche Problem liegt jedoch darin, dass ein Datenabfluss in den meisten Fällen unbemerkt bleibt. Da die Daten in der Obhut des Anbieters liegen, ist das Unternehmen oft nicht in der Lage, auf einen möglichen Datenmissbrauch angemessen zu reagieren. So könnte beispielsweise ein amerikanisches Unternehmen aufgrund von durch Spionageaktivitäten erlangten Forschungsresultaten eines Schweizer Mitbewerbers sich einen Wettbewerbsvorteil verschaffen. Ohne Kenntnis des Vorfalls bleibt dem Schweizer Unternehmen eine rechtliche Handhabe versagt.
Selbst wenn ein Unternehmen beschliesst, Klage einzureichen, stellt sich die Frage nach den Beweisen. Die notwendigen Informationen liegen bei den Anbietern. Es obliegt dem Unternehmen, vor Gericht den Nachweis zu erbringen, dass der Cloud- oder Softwareanbieter für den entstandenen Schaden verantwortlich ist. Ein Unterfangen, das oft mit enormen Hürden verbunden ist, insbesondere wenn es gegen mächtige Tech-Giganten geht.
In Anbetracht dieser Herausforderungen steht es jedem Unternehmen frei, den Zusicherungen der Tech-Giganten zu vertrauen, dass sich die Zeiten von Datenschutzverletzungen wie denen von Edward Snowden und ähnlichen Skandalen, in der Vergangenheit befinden. Doch diese Zusicherungen könnten ebenso viel Wert haben, wie die Versprechen eines Partners, der einen bereits mehrfach betrogen hat und nun versichert, dass sich alles geändert hat und dass er einen nie wieder betrügen würde.
Wie können Unternehmen in die Cloud und die Risiken minimieren?
In Anbetracht der wachsenden Bedeutung von Cloud-Services für Unternehmen ist es unerlässlich, Strategien zu entwickeln, um die damit verbundenen Risiken zu minimieren. Dabei spielen verschiedene Faktoren eine entscheidende Rolle. Wo sind die Standorte der Rechenzentren des Cloud-/Softwareanbieters, der Standort des Firmensitzes und der Geschäftstätigkeit bis hin zur Sicherheit der eigentlichen IT-Infrastruktur.
Standort der Rechenzentren
Ein entscheidender erster Schritt besteht darin, die Standorte der Rechenzentren zu klären, in denen virtuelle Maschinen (VMs) und dedizierte Server betrieben werden. Hierbei stellt die EU einen soliden Silberstandard dar, da sie über strenge Datenschutzregulierungen verfügt als die meisten Länder ausserhalb. Doch der Goldstandard liegt zweifellos in der Schweiz, wo keine ausländischen Regulierungen, Behörden oder Richter über den Datenschutz und Zugriffsrechte entscheiden.
Firmensitz und Geschäftstätigkeit
Ein weiterer bedeutender Schritt ist die Berücksichtigung des Firmensitzes und der Geschäftstätigkeit des Cloud-Anbieters. Unternehmen unterliegen den Gesetzen, Regulierungen und Behörden ihres Firmensitzes. Gleiches gilt, wenn ein wesentlicher Teil der Cloud-Dienste in einem Drittland erbracht wird. Hier kann Druck auf den Anbieter ausgeübt werden, und der physische Standort von Servern und Daten rückt in den Hintergrund. Auch hier bieten die EU und insbesondere die Schweiz verlässliche Rahmenbedingungen.
Sicherheit der Infrastruktur
Die Sicherheit der Infrastruktur ist von höchster Bedeutung. Rechenzentren müssen redundant sein und sowohl physisch als auch technisch gegen Risiken geschützt werden. Standards wie ISO-Zertifizierungen und die Einhaltung der Richtlinien der FINMA bieten Orientierung in diesem Bereich. Insbesondere die Zertifizierung nach ISO 27001 sowie die Erfüllung der Anforderungen der FINMA gemäß RS 08/7 und 18/3 sind hierbei von Relevanz und dienen als Massstab für die Sicherheit von Cloud-Infrastrukturen.
Insgesamt erfordert die Nutzung von Cloud-Services eine sorgfältige Abwägung verschiedener Faktoren und eine strategische Herangehensweise, um die Risiken zu minimieren und gleichzeitig die Vorteile der Cloud voll auszuschöpfen.