Thought Leadership
Deutschland ist Cloudland: Fast 50% der Deutschen setzen auf Online-Speicher für flexiblen Datenzugriff. Doch Vorsicht: Datenschutz variiert stark zwischen Anbietern. Christian Schneider von STRATO verrät im Interview, was Verbraucher über die Sicherheit ihrer privaten Fotos wissen müssen.
Herr Schneider, woran liegt es, dass Verbraucher nicht offen über die Sicherheit ihrer Daten informiert werden?
Christian Schneider: Dafür gibt es mehrere Gründe. Zunächst einmal spielt der Rechtsrahmen eine große Rolle. Hosting-Anbieter unterliegen den Gesetzen der Länder, in denen sie tätig sind. Diejenigen mit Sitz in der EU müssen sich deshalb an die DSGVO halten und somit höhere Auflagen erfüllen. Anbieter aus Nicht-EU Ländern haben da einiges weniger an Vorgaben. Darüber hinaus ist auch die Technologie entscheidend. Die Art und Weise, wie Cloud-Dienste entwickelt und verwaltet werden und nicht zuletzt, wo sie angesiedelt werden – in Eigenregie oder über Partner – beeinflusst die Sicherheit maßgeblich. Anbieter mit moderneren, sichereren und weitestgehend eigenen Infrastrukturen können einfacher guten Datenschutz bieten. Zuletzt ist es auch ein kulturelles Thema: Nicht alle Anbieter legen gleichermaßen Wert darauf, die Daten der Kunden in besonderem Maße zu schützen, sondern setzen ihre Prioritäten darauf, ein möglichst günstiges Produkt für den Massenmarkt zu schaffen.
Wie lässt sich denn dann eine sichere Cloud überhaupt erkennen? Kann ich erkennen, wo genau meine Daten gespeichert werden?
Christian Schneider: Was immer hilft, sind Zertifizierungen und Standards bei der Compliance. Wenn ein Anbieter Sicherheitszertifikate wie ISO 27001 oder SOC 2 Typ II vorweisen kann, ist das in jedem Fall ein gutes Zeichen. Denn wer Datenschutz ernst nimmt und diesen mit vielen aufzusetzenden Prozessen sicherstellt, der lässt das auch gerne prüfen, um das dann im Sinne der Transparenz für Kundinnen und Kunden zu belegen. Auch ein Blick in die Datenschutzrichtlinien des Anbieters kann aufschlussreich sein. Achten Sie auf Abschnitte, die beschreiben, wie und wo Ihre Daten gespeichert werden. Einige Anbieter geben genau an, in welchen Regionen oder Ländern ihre Datenzentren stationiert sind. Dies ist wichtig, um die rechtlichen Rahmenbedingungen zu verstehen, denen Ihre Daten unterliegen. Die Faustregel auch hier: Mitgliedsstaaten der EU unterliegen der DSGVO – Datenschutz wird dort in aller Regel ernst genommen, weil ansonsten hohe Strafen drohen. In den Datenschutzrichtlinien sollte auch etwas über die Verschlüsselung zu finden sein. Überprüfen Sie, ob der Anbieter Verschlüsselung für Daten im Ruhezustand und auch während der Übertragung anbietet – starke Verschlüsselungsstandards wie AES erhöhen die Datensicherheit maßgeblich.
Wie kann ich die Sicherheit meiner Cloud verbessern?
Christian Schneider: Der Vorteil einer Cloud im Vergleich zur Festplatte: Sie ist immer aktuell. Die Betreiber sorgen dafür, dass Security und Patches regelmäßig aktualisiert werden. Trotzdem ist es sinnvoll, Anbieter auf die schon angesprochenen Sicherheitsfragen hin zu überprüfen, bevor man sich für sie entscheidet. Doch auch wer sich schon entschieden hat, kann noch etwas tun: Wie auch beim Banking sind Funktionen wie mehrstufige Authentifizierung nützlich, um zu verhindern, dass die Cloud über Ihren Zugang geknackt wird. Wer keine Bilderflut, sondern vor allem einzelne Dateien online ablegen möchte, kann außerdem diese natürlich auch noch selbst verschlüsseln oder mit einem Passwort schützen. Das steigert die Sicherheit der Daten noch einmal, aber bedeutet natürlich auch etwas Aufwand.
Gibt es Daten, die besser nicht in der Cloud landen?
Christian Schneider: Prinzipiell gilt, je sensibler die Daten, desto genauer sollte ich mir überlegen, wo ich sie ablege. Geschäftsgeheimnisse, Unternehmens- oder Versicherungsdaten aber auch Privates wie Gesundheitsdaten, Passwörter oder Passdetails sollten wirklich nur am sicherst-möglichen Ort gespeichert werden. Wer bei seiner Cloud also leichte Bedenken hat, speichert so etwas besser Offline oder wechselt auf einen sicheren Anbieter, wenn er auf die mit Cloud einhergehende Flexibilität nicht verzichten möchte.
Bedeutet besserer Datenschutz auch immer höhere Kosten?
Christian Schneider: Für Anbieter: Ja. Datensicherheit wird ja wie bereits angesprochen, vor allem durch eine gute Infrastruktur sichergestellt, die es auf Vordermann zu halten gilt. Daneben über Technologien wie Verschlüsselungen und letztlich über Monitoring-Verfahren und Zertifizierungen. Das alles ist natürlich immer mit gewissen Kosten verbunden. Doch rechnen sich die höheren Kosten für besseren Datenschutz, vergleicht man sie mit den potenziellen Kosten für Datenverletzungen, Compliance-Strafen und vor allem eines drohenden Reputationsverlustes im Ernstfall. Das lässt sich dann nur schwer wieder einholen. Wie sich die Mehrkosten durch Sicherheitsbemühungen letztendlich auf den Verbraucherpreis auswirken, ist von Fall zu Fall zu unterschiedlich, um da Erwartungswerte angeben zu können. Wir versuchen das in aller Regel nicht an die Kunden weiterzugeben.
Die größten Cloud-Anbieter der Welt kommen nach wie vor aus den USA. Wie bewerten Sie das und welche Chancen haben Deutschland bzw. Europa aufzuschließen?
Christian Schneider: Sieht man sich die Namen der Anbieter an, ist es wenig verwunderlich, dass aktuell die USA den globalen Markt zu weiten Teilen unter sich aufteilt: Doch gerade beim Datenschutz haben Anbieter in der EU auch gegenwärtig schon die Nase vorn. Für Deutschland hat aktuell gerade ein Test der Stiftung Warentest gezeigt, dass etwa wir als deutscher Cloud-Speicher-Anbieter uns hinter den Schwergewichten gar nicht verstecken müssen. Wir sind um einiges besser aufgestellt, was den Schutz persönlicher Kundendaten anbelangt. Auch bei den AGBs gab es bei den globalen Playern “sehr deutliche” Mängel, während es bei uns keine Beanstandungen gab. Man darf zudem nicht vergessen: Auch wenn manche der großen Player neuerdings versuchen, gerade in Anbetracht der Kundenbedenken hier nun explizit europäische Rechenzentren aufzubauen – wenn man das nicht auch in der Firmierung vollkommen voneinander trennt, so unterliegen die amerikanischen Brands letztlich trotzdem der amerikanischen Datenschutz-Gesetzgebung in Form des Cloud Acts. Damit sind persönliche Daten also auch weiterhin im Zweifelsfall nicht vor Drittzugriff aus Übersee geschützt. Darüber sollte man sich bei der Wahl seines Anbieters im Klaren sein.
