Erstellt am: 24. 3. 2014 - 19:12 Uhr

EU-Projekt für sichere Clouds gestartet

Verschlüsseln sei eine bessere Idee als die Datenspeicherung im EU-Raum vorzuschreiben - Reinhard Posch, Professor für Informationssicherheit im Gespräch.

Am Freitag ist eine öffentliche Konsultation der EU-Kommission zum Thema "Sicheres Cloud Computing für Europa" angelaufen, die zum Ziel hat, das Cloud-Geschäft in Europa anzukurbeln. Im Vorstand des Thinktanks "Europäische Cloud-Partnerschaft" ist auch die Republik Österreich vertreten.

"Die zentrale Frage war, wie können wir Europäer den USA auf diesem Gebiet etwas entgegensetzen?", sagte Reinhard Posch, "Chief Information Officer" der Bundesregierung, am Montag zu ORF.at. "In der Praxis können Verträge mit Cloud-Anbietern derzeit nur nach amerikanischem Recht abgeschlossen werden", da die maßgeblichen Player ja alles Firmen aus den USA seien, so der Chef der Informationssicherheit im Bundeskanzleramt.

Das war auch das bestimmende Thema auf dem deutsch-französischen Gipfel im März gewesen. Die deutsche Kanzlerin Angela Merkel und ihr Gegenpart Francois Hollande hatten da den Schutz der europäischen Daten gegen Wirtschaftsspionage durch deren Speicherung im europäischen Rechtsraum propagiert. Kritiker vor allem aus den USA hatten hierauf vor einer "Balkanisierung des Internets" gewarnt. Reinhard Posch, Professor für Datensicherheit an der TU Graz, lehnt eine solche Maßnahme des Einhegens europäischer Daten in Europa aus ganz anderen Gründen ab.

"Guter Glaube nicht angebracht"

Reinhard Posch

"Natürlich ist so ein Ansatz möglich, das Problem dabei ist aber, dass de facto nicht überprüft werden kann, ob die Daten tatsächlich im europäischen Rechtsraum verbleiben", so der Sicherheitsexperte weiter, man müsste sich letztlich erst wieder auf die Angaben der Firmen selbst verlassen und: "Das Prinzip von gutem Glauben ist in der Sicherheitstechnik generell nicht angebracht."

Deshalb sei mittlerweile Konsens in der EU, dass ein anderes Kriterium für europäische Daten maßgeblich sein müsse, nämlich so sichere Verschlüsselung, dass der Cloud-Provider grundsätzlich nicht an diese Daten käme. Wo sie physisch abgespeichert würden, sei dann egal.

"Huawei und Cisco, gleiche Liga"

Das sei freilich nur eine der notwendigen Lösungen, zumal sich ja auch das Problem der Hardware stelle, die ebenfalls auf ihre Sicherheit überprüft werden müsse, sagte Posch: "Was Angriffe zum Zweck der Wirtschaftsspionage angeht, so spielen Cisco und Huawei für uns in der gleichen Liga." Gemeint sind damit die jüngsten Enthüllungen des "Spiegel" und der "New York Times" über die systematische Spionage der NSA gegen die chinesіsche Firma Huawei.

Wie die "geleakten" Präsentatіonen zeigen, wurden vom Huawei-Firmenchef abwärts so ziemlich alle denkbaren Angriffspunkte angegangen, wobei eine ganze Reihe verschiedener Spionagemethoden zum Einsatz kamen. Huawei ist derzeit die Nummer vier auf dem Weltmarkt für Router der Oberklasse, das sind die Kernkomponenten jeder Cloud.

Dominanz auf dem Router-Markt

Haushoher Marktführer ist hier seit Jahrzehnten Cisco, gefolgt von Alcatel-Lucent und Juniper, der Markt wird also von drei US-Firmen dominiert. Huawei wiederum hatte jahrelang mit mäßigem Erfolg versucht, auch Anteile am US-Markt zu erobern, wurde dabei aber stets von amerikanischen Behörden gestoppt. Huawei wurden enge Verbindungen zur chinesischen Volksarmee vorgeworfen, der Einsatz der Hardware wurde als Bedrohung für die nationale Sicherheit der USA hingestellt.

In Europa misstraut man mittlerweile beiden Seiten, europäische Firmen, die vergleichbares Equipment liefern könnten, gibt es hier derzeit freilich nicht. Werden allerdings End-to-End-Verschlüsselungssysteme eingesetzt, die unter europäischer Kontrolle stehen, wird der Aufwand für jeden Angreifer in die Höhe getrieben. Selbst wenn er über Möglichkeiten verfügt, auf der Strecke zum Rechenzentrum in Router einzudringen, oder überhaupt die Glasfaser angezapft hat, wird das kaum verwertbare "Intelligence" bringen, da sämtlicher Datenverkehr ja in beide Richtungen nahtlos verschlüsselt ist.

Clouds für Behörden als Pilotprojekte

Die für Europa ausgearbeitete Cloud-Strategie, die mit dieser EU-Konsultation bereits in die Phase ihrer Umsetzung eingetreten ist, sieht nun als Nächstes "Pre-Commercial Procurement" vor. Von der EU-Kommission wurden dafür 14 Millionen Euro aus der Forschungsförderung bereit gestellt, um einheitliche Sicherheitskriterien auszuarbeiten, die vorerst einmal auf behördlicher Ebene umgesetzt werden.

Warum diese Vorgangsweise gewählt wurde, erklärt die vergleichsweise kleinteilige europäische Wirtschaftsstruktur. "Kleine und mittlere Unternehmen sind hier naturgemäß den Cloud-Anbietern viel stärker ausgeliefert", sagte Posch, da KMUs nicht über entsprechend dimensionierte Sicherheitsabteilungen verfügten, wie die großen Player auf dem Markt.

Mit der Umsetzung erster, sicherer Cloud-Projekte im Behördenbereich sollte gleichzeitig eine Art Sicherheitsregelwerk für diese Unternehmen erstellt werden, sagte der oberste Sicherheitsbeauftragte für Kommunikationsdaten der Bundesregierung abschließend.

Europa, China, USA

Während die EU-Kommission also öffentlich erheben lässt, wie der Schutz europäischer Daten gegen Wirtschaftsspionage - ob aus China oder den USA - praktisch umgesetzt werden kann, hat auch das Weiße Haus eine Konsultation zur Datensicherheit lanciert. Dabei geht es allerdings um neue Datenschutzregeln für Zugriffe auf den Webserver der Regierung Whitehouse.gov, die schon am 18. April in Kraft treten sollen. Es ist gut möglich, dass an diesem Tag auch weitergehende Maßnahmen zum Thema Datenschutz vom Weißen Haus verkündet werden.

Nicht zufällig fiel die Veröffentlichung der NSA-Spionageangriffe auf eines der wichtigsten Unternehmen Chinas zeitlich mit dem Besuch von Michelle Obama in China zusammen. Dass sich die Präsidentengattin dabei bis jetzt in "Ping-Pong-Diplomatie" übt und heikle Themen strikt vermeidet, wird ebenfalls kein Zufall sein.