Europa verliert seinen Status als vermeintlich sicherer Hafen für Cloud Services. Die Zeiten, in denen Berater, Rechtsanwälte und Datenschützer den Finger vor den Bösen USA heben können sind vorbei. Der Feind ist Mitten unter uns und heißt ETSI (European Telecommunications Standards Institute).

Europa und Datenschutz… Kinder das waren noch Zeiten!

Werden wir wahrscheinlich unseren Kindern und Enkeln erzählen. Lange galt Europa als das Vorbild, wenn es um den Datenschutz ging. Die erste Frage die sich ein Cloud Anbieter von Beratern, Analysten und Kunden gefallen lassen musste war, ob er denn auch ein Rechenzentrum in Europa betreibe. Denn hier kommen die „bösen“ USA schließlich nicht an die Daten ran. Aus und vorbei. Geht es nach der ETSI, sind wir alle bald weltweit gleich gestellt, sei es in den USA, Asien, Afrika und ja, sogar in EUROPA!

Wie das ZDF bzw. ORF-Journalist Erich Moechel schreiben, will das ETSI „eine geheime Hintertür für die Cloud“. Dabei soll es darum gehen, den Sicherheitsbehörden das Abhören und Überwachen von Kommunikationsdaten in der Cloud zu erleichtern. Das soll neben Angeboten wie Facebook, Twitter usw. ebenfalls Unternehmensangebote wie die Amazon Web Services, Microsoft Windows Azure und andere Anbieter betreffen. Dazu habe sich das ETSI eine Backdoor überlegt, um unkompliziert den unautorisierten Zugriff zu ermöglichen.

SSL wird ausgehebelt

Bei der ETSI Idee handelt es sich, wie sonst oft diskutiert, allerdings nicht um rechtliche Themen wie bspw. dem „Patriot Act“. Hier geht es um reine Technik. Das ETSI will eine Schnittstelle definieren, mit der europäische Sicherheitsbehörden Zugriff auf die Cloud Services der Anbieter erhalten. Die ETSI-Arbeitsgruppe “TC Lawful Interception” stellt sich die Umsetzung so vor, dass die Internet-Anbieter sämtlichen Verkehr standardmäßig umleiten. Nutzt ein Anwender eine verschlüsselte HTTPS-Verbindung (was mittlerweile Standard ist), soll der Datenverkehr auf spezielle Server in das Rechenzentrum des Internet-Anbieter umgeleitet werden. Hier sollen die Sicherheitsbehörden dann den Zugriff auf die Daten erhalten. Um das zu realisieren, müssen die entsprechenden SSL-Zertifikate ausgehebelt werden. Der ETSI geht es nach eigenen Angaben nur um die Erfassung der Datenkommunikation und nicht um die Kontrolle der Inhalte. Der britische Sicherheitsspezialisten und Leiter des Computer Laboratory der Universität Cambridge Ross Anderson hingegen schreibt nach einer Analyse des ETSI-Entwurfs allerdings: „Wenn man die Infrastruktur baut, auf die sich das ETSI geeinigt hat, kann diese für Überwachungsaktivitäten genutzt werden.“

Willkommen Private Cloud

Wird die Idee Realität ist das Vertrauen in die Public Cloud zerstört und Public Cloud Services – die für das Cloud Computing in Reinform stehen – wären demnach tod! Interessant ist, dass die Marktforscher von Gartner für 2012 ein großes Wachstum in der Public Cloud sehen. Zudem sollen die Ausgaben für Enterprise Public Cloud Services bis 2016 die 207 Milliarden US-Dollar erreichen.

Ziehen wir diese neue Entwicklung heran, wird Gartner seine Prognosen wohl herunterschrauben müssen. Die Bedenken von CIOs, Public Cloud Services zu nutzen, sind derzeit eh schon höher als gedacht. Der Hauptgrund sind die Befürchtungen vor Datenlecks in der Public Cloud. Deutsche Unternehmen werden die Gedanken der ETSI ebenfalls nicht gerne hören. Eine Umfrage von IDC ergab vor kurzem, das ein Drittel der befragten deutschen Unternehmen in 2013 zwischen 26% – 50% ihres IT-Budget in die Private Cloud investieren wollen. Allerdings interessieren sich 90% der Unternehmen nicht(!) für die Public Cloud.

Bildquelle: http://mully1.wordpress.com