Wer ist gefährlicher? Feindliche Hacker oder die USA

DDoS-Angriffe sind Erpressungstrojaner

Am 7. September 2022 kippte das OLG Karlsruhe Entscheidungen niedrigerer Instanzen, wonach Cloud-Anbieter von öffentlichen Ausschreibungen auszuschließen sind. Das betrifft vor allem Unternehmen aus den USA.

In der Bedingung, die Daten zwingend in Deutschland zu verarbeiten, erklingt zwar ein womöglich gesundes Misstrauen gegenüber dem US-amerikanischen Staat. Dennoch ist klargestellt: Es ist überzogen, die Cloud aus datenschutzrechtlichen Gründen zu verteufeln.

Tatsächlich ist sie heute – und genau darauf kommt es primär an – um Faktoren sicherer als ein eigenes Rechenzentrum. Außerdem zeigt die Begründung des Urteils: Es existiert praktisch keinerlei Risiko, sich rechtlich angreifbar zu machen, wenn man den vertraglichen Datenschutz-Zusagen eines US-Unternehmens vertraut. 

Falscher Debattenfokus

Die Diskussion hat Schlagseite: Während wir viel über die faktisch sehr seltenen Erlaubnisse US-amerikanischer Behörden diskutieren, auf Daten zuzugreifen, sind wir den massivsten Attacken von feindlichen Hackern ausgesetzt, die es in der Geschichte jemals gab. Tendenz: drastisch steigend. Ebenfalls hat sich die Vielfalt der Angriffsvektoren in einem unvorstellbaren Ausmaß vergrößert. Die Medien berichten nur über einen Bruchteil der Fälle.

Wir dürfen das Problem des niedrigeren Datenschutz-Niveaus in den Vereinigten Staaten nicht kleinreden; wir müssen es diskutieren und auf seine Anhebung hinwirken. Zuvörderst aber ist der Blick auf die drängendsten Probleme zu richten: Hacker, die Unternehmen lahmlegen und dort jeweils Schäden in Millionen- oder Milliardenhöhe verursachen. Provokativ und zugespitzt: Bin ich compliant, aber tot? Vermeintlicher Datenschutz ist eben nicht wichtiger als Datensicherheit und Business Continuity.

Zero Trust

Weitaus dramatischer als die ohnehin gefürchteten DDoS-Angriffe sind Erpressungstrojaner, die lokale Rechenzentren regelrecht lieben. Denn in der Cloud stehen ihre Chancen deutlich schlechter.
Der Grund: Dort herrscht immer Zero Trust. Alles, was miteinander arbeiten soll, muss ich miteinander bekannt machen. Anomalien, etwa der häufige Zugriff mit gleichen Passwörtern, sind erheblich schneller erkennbar, und selbst wenn sich ein Admin-Notebook Schadsoftware eingefangen hat, kann sie sich nicht ausbreiten. Die Hyperscaler investieren Milliardensummen in ihre Sicherheit, damit das auch so bleibt. Allein bei Microsoft gibt es rund 3000 Mitarbeitende, die sich ausschließlich um die Cloud-Sicherheit kümmern.

In Rechenzentren hingegen ist die Verwundbarkeit hoch. Ist ein Trojaner einmal eingedrungen, hat er leichtes Spiel. Das trifft bei hochsensiblen SAP-Daten die Achillesferse der Unternehmen. Wie lange kann man das Geschäft aufrechterhalten, wenn SAP nicht mehr funktioniert? Lagerzentrum per Post-it und Rechnungen per Word? Viele Unternehmen wären bereits nach einem Tag Stillstand schlicht pleite. 

Trotzdem bleibt der Datenschutz als offene Frage. Generell sind Datenweitergaben jedoch seltener, als man gemeinhin glaubt. In Online-Shops kommt es tatsächlich häufiger vor, dass Daten nach außen gegeben werden. Die Hälfte der Anfragen stammt von der Polizei, auch der deutschen, zur Strafverfolgung. Auskunftsbegehren mit besonderem Erkenntnisinteresse bilden einen minimalen Anteil und meistens steht die Frage im Mittelpunkt, ob es einen bestimmten Kunden gibt – nicht, welche Daten über ihn vorhanden sind. Rein auf Deutschland bezogen, ergibt sich eine mikroskopisch kleine, seit vielen Jahren relativ konstante Anzahl. Selbst im unwahrscheinlichen Fall, dass einer der Cloud-Kunden vom US-Geheimdienst als Terrorist geführt wird, sind immer noch Maßnahmen möglich, die Daten zwar zugreifbar, aber unlesbar zu halten. Kein Schutz ist absolut sicher, auch nicht dieser. Aber der Aufwand wäre sehr hoch. 

Wer heute aus Gründen des Datenschutzes zögert, sein SAP-System in der Cloud eines Hyperscalers zu betreiben, weicht einem winzigen Risiko aus und begibt sich tragischerweise genau dadurch in ein existenzbedrohend großes. Die wahren Gegner sind innerhalb weniger Jahre von einer Ausnahme zur Regel geworden. Es sind gut ausgerüstete Hacker mit enormer krimineller Energie.