In der Gesetzgebung der letzten Jahre gibt es den Trend, die sogenannte //Organhaftung// auszuweiten: Für Compliance-Verstöße wird auch die Vorstandschaft einer Kapitalgesellschaft tatsächlich öfters mal //persönlich// drangenommen. Im Sozialversicherungsrecht hat das bei Konzernen zur sogenannten //Freiberuflerpanik// geführt, und im Datenschutzrecht kam die im Mai inkraftgetretene DSGVO mit ihren potentiellen Auswirkungen für viele //sehr// überraschend. Jedenfalls, als ihnen klar wurde, dass ein Verstoß tatsächlich schmerzen könnte.
Nun ist es so, dass die IT-Anbieter sich auf die Nachfrage eingestellt haben. So gibt es etwa eine deutsche Azure-Cloud, die von der Telekom als Treuhänder betrieben wird - und wo Microsoft nur indirekt und streng reglementiert zugreifen darf. Dieses Cloud-Angebot soll sicherstellen, dass deutsche Unternehmen ihren Verpflichtungen im Umgang mit Kundendaten nachkommen können -- auch wenn sie für deren Verarbeitung ein eigentlich amerikanisches Cloud-Produkt verwenden. Amerikanische Unternehmen - wie Microsoft - unterliegen nämlich anderen gesetzlichen Vorgaben. Diese sind aus einem unlängst im [https://de.wikipedia.org/wiki/CLOUDAct CLOUD-Act] kodifizierten Rechtsverständnis geboren, das für sich völlig selbstverständlich eine //globale// Datenzugriffsmöglichkeit durch die US-amerikanischen (Geheim-)Behörden beansprucht. Dass das [https://de.wikipedia.org/wiki/SafeHarbor Safe-Harbor-Abkommen] im [https://de.wikipedia.org/wiki/EU-USPrivacyShield Privacy Shield] nur unzureichend fortgeführt wurde, bleibt aus europäischer Sicht in vielen Fällen nur die Wahl zwischen Pest und Cholera: Auf US-amerikanisch betriebene Plattformen beinahe blind zu vertrauen oder ganz auf deren Einsatz zu verzichten. Treuhänder-Angebote bieten sich da als ein vernünftiger Mittelweg jenseits von diesen Extremen an.
IT-Leiter, die das Thema Cloud für ihren Anwendungsfall kritisch bewerteten, haben daher dankbar das Angebot der Telekom angenommen: Ein sinnvolles Offering mit einem deutschen Betreiber und daher ohne die potentiell problematischen Nebenwirkungen, ISO 27k- und DSGVO-konform.
Leider ist das wohl nicht so. Es leaken auch aus der von der Telekom betriebenen Azure-Cloud Telemetriedaten an außereuropäische Gegenstellen. [https://www.heise.de/ix/heft/Glauben-statt-wissen-4140402.html Ein Artikel aus der aktuellen iX schließt folgendermaßen:]
Fazit: Auch unter der Obhut des „Treuhänders“ T-System sind die Daten der Azure-Instanzen nicht nachprüfbar sicher, nicht einmal vor US-Zugriff. Warum dieser Dienst trotzdem mit etlichen Zertifizierungen aufwarten kann, wissen wohl nur die Zertifizierer selbst. Tatsächlich die Systeme untersucht hat da offenbar niemand.
CIOs tun daher gut daran, sich nicht alleine auf die Versprechen von Cloud-Anbietern zu verlassen. Spätestens durch Artikel wie dem aus der aktuellen iX sind sie auf die Thematik von -- hier vermutlich gut gemeinten -- Quasi-Hintertüren aufmerksam gemacht worden: Aus der abstrakten Möglichkeit eines solchen Abflusses ist ein bestätigter Vorfall geworden.
IT-Verantwortliche sollten daher gemeinsam mit der hauseigenen Technik und den IT-Sicherheitsmenschen (etwa internen ISMS-Auditoren nach ISO 19011) //jeden// Einsatz eines Cloud-Angebots prüfen und risikomanagen. Natürlich gehört zum möglichen Umgang mit Risiko auch Risiko-Akzeptanz. Diese muss dann aber //bewusst// und nachvollziehbar geschehen.