Wir sind dem US Cloud Act nicht wehrlos ausgeliefert
Solange deutsche und europäische Unternehmen de facto dem US Cloud Act unterliegen, sind Datenschutz und Datensouveränität für sie Dinge der Unmöglichkeit. Doch es gibt Abhilfe – und die kommt vor allem aus der Open-Source-Community.
von Tobias Gerlinger
Die sensiblen Daten deutscher Unternehmen sind mitnichten nur durch Cyber-Kriminelle gefährdet. Sie unterliegen noch einer weiteren immensen Bedrohung – und die heißt US Cloud Act. Dieses relativ neue Gesetz legitimiert nämlich amerikanische Behörden, von US-amerikanischen Cloud-Betreibern die Herausgabe sämtlicher Daten einer Person oder eines Unternehmens zu verlangen. Das gilt selbst dann, wenn sie sich auf Servern befinden, die in Deutschland oder der Europäischen Union stehen. Solche Standorte außerhalb der USA werden von den Betreibern häufig dazu benutzt, um von „regionaler Datenhaltung“ zu sprechen und damit eine Geltung von deutschem oder europäischem Datenrecht zu suggerieren; dass die US-Regierung dennoch ein Durchgriffsrecht hat, wird dabei geflissentlich verschwiegen.
Mit dem deutschen und europäischen Datenschutzrecht ist der US Cloud Act nicht zu vereinbaren. Unternehmen, die ihm unterliegende Dienste nutzen, riskieren deshalb empfindliche Strafzahlungen. Aber mehr noch: Es läuft auch dem natürlichen Sicherheitsbedürfnis von Unternehmen diametral entgegen. Wenn US-amerikanische Behörden nach Gusto mitlesen können, verlieren die Unternehmen de facto die Souveränität über ihre Daten und laufen Gefahr, Opfer von Wirtschaftsspionage zu werden. Dass das nicht nur eine hypothetische Gefahr ist, haben bereits die Snowden-Enthüllungen eindrucksvoll gezeigt. In Zeiten von Handelskriegen, Donald Trump und „America First“ dürften nun auch noch die allerletzten Hemmungen dafür gefallen sein. Beispiele dafür, wie die USA unter Trump ihre Marktmacht über die IT- und Dateninfrastrukturen zu ihrem Vorteil ausnutzen, gibt es schließlich genug: siehe etwa den Android-Boykott gegen Huawei.
Ohne Software „made in USA“ geht heute praktisch nichts mehr
Das große Problem dabei: Ohne Software „made in USA“ geht in den meisten deutschen und europäischen Unternehmen heute praktisch nichts mehr. Die überbordende Marktmacht der US-amerikanischen Anbieter hat dazu geführt, dass sie allerorten mit ihren Tools und Systeme die digitale Zusammenarbeit abbilden und den Zugriff auf Daten organisieren.
Die Coronakrise hat diese Marktmacht noch einmal überdeutlich vor Augen geführt. Als binnen kürzester Zeit halb Deutschland ins Homeoffice ausweichen musste, nutzen viele IT-Abteilungen aufgrund des großen Zeitdrucks einfach kurzerhand die Public-Cloud-Dienste der US-amerikanischen Internetgiganten, um die Mitarbeiter zuhause mit den nötigen Tools auszustatten.
Vom US Cloud Act sind aber längst nicht mehr nur klassische Public-Cloud-Dienste wie Box, Dropbox oder Google Drive betroffen. Sein Geltungsbereich weitet sich in zunehmendem Maß auf Industriestandard-Software aus, da auch sie zunehmend in die Cloud verlagert wird. So verlangt beispielsweise Microsoft für sein Windows-Betriebssystem – mit Ausnahme der Enterprise-Edition – inzwischen Konten in einer US-amerikanischen Cloud. Microsoft Office wird komplett in die Cloud wandern und die Zukunft von selbstgehosteten Microsoft-Sharepoint-Instanzen ist mehr als ungewiss.
Mit dem deutschen und europäischen Datenschutzrecht ist der US Cloud Act nicht zu vereinbaren.
Open-Source-Community kann bereits zahlreiche Erfolgsprojekte vorweisen
Die deutschen und europäischen Unternehmen sind dieser Entwicklung aber keineswegs wehrlos ausgeliefert. Ihre Märkte bieten genügend Alternativen, die sich in eigenen Private-Cloud-Umgebungen betreiben lassen. Sie sind nur nicht so bekannt wie die Produkte der marktaggressiven US-amerikanischen Player mit ihren riesigen Marketingbudgets. Vor allem innerhalb der Open-Source-Community existieren bereits zahlreiche Erfolgsprojekte, die den Aufbau eigener, unabhängiger Cloud-Infrastrukturen vorantreiben. Sie ermöglichen es Unternehmen, von den unbestreitbaren Vorteilen des Cloud Computing profitieren, zu denen allen voran der universelle, orts- und geräteunabhängige Zugang zu Anwendungen und Dateien zählt. Gleichzeitig haben sie dabei aber auch die Möglichkeit, die Datensicherheit und Compliance der Anwendungen und Speicherlösungen gewährleisten.
Darüber hinaus bieten Open-Source-Produkte einige ureigene zusätzliche Vorteile. Durch ihren offenen Quellcode können sich Unternehmen selbst davon überzeugen, dass eine Software frei von Hintertüren ist, über die unbemerkt Daten an unbefugte Dritte abfließen. Zudem ist quelloffene Software leichter individuell anpassbar als Closed-Source-Produkte und unterstützt konsequenter offene Standards. Dadurch ist sie interoperabler und einfacher zu integrieren. Abstriche in Sachen Funktionalität, Performance und Benutzerfreundlichkeit brauchen Unternehmen dabei nicht zu machen, ganz im Gegenteil. Dafür sorgt schon alleine die Schwarmintelligenz der Open-Source-Community.
Ihre Lösungen sind dabei vielfältig und umfassend genug für einen kompletten Softwarestack. Als Betriebssystem kann eine Linux-Distribution zum Einsatz kommen, für Büroanwendungen Libreoffice, Collabora oder Onlyoffice. Als Groupware stehen Lösungen wie Kopano zur Verfügung, für Teamchats etwa Rocket.Chat, für Videokonferenzen Jitsi oder für das Projektmanagement Kanboard. Mit Content-Collaboration-Lösungen wie ownCloud lässt sich ein effizienter Austausch von Dateien und Dokumenten realisieren.
Beim Aufbau unabhängiger europäischer Cloud-Infrastrukturen mithelfen
Um solche Private-Cloud-Umgebungen aufzubauen und zu betreiben, sind gewisse IT-Ressourcen erforderlich, über die nicht alle Unternehmen verfügen. Ihnen stehen aber vertrauenswürdige und zertifizierte europäische Dienstleister für Support, Managed Services und Hosting zur Verfügung. Kleine Unternehmen, die komplett ohne eigene IT auskommen müssen, haben die Möglichkeit, Open-Source-Lösungen als Software-as-a-Service von Anbietern in der EU zu beziehen. Egal, für welches Modell sie sich entscheiden: Sie profitieren nicht nur selbst, sondern helfen auch dabei mit, europäische Cloud-Infrastrukturen zu schaffen. Damit leisten sie einen wertvollen Beitrag dabei, unseren gemeinsamen Wirtschaftsraum aus der digitalen Abhängigkeit von den USA zu befreien und ihn die Souveränität über seine Daten sicherzustellen.