Eidgenössische Ämter sollen US-Hyperscaler wie AWS, Google oder Microsoft laut der Datenschutzkonferenz nur noch eingeschränkt nutzen. Ein Vorbild für ganz Europa?
Die Software soll nur noch genutzt werden, wenn die Daten in der Cloud verschlüsselt sind, und Microsoft keinen Zugriff hat. Das geht aber im Grunde gar nicht.
Schweiz gegen Microsoft 365 – und Deutschland schaut genau hin - YouTube
Dazu müssten die Daten direkt am Client oder gleich an der Schnittstelle zu Cloud verschlüsselt werden. Diese Schlüssel dürften Cloud Anbieter nicht sehen.
PS: Nur historisch quer gefragt, ist die Cloud so etwas als eine Weiterentwicklung von MS DFS? Das kannte ich auch in meiner Tätigkeit.
Klar DFS war nicht eine MS Erfindung.
Zum Verteilten Dateisystem kam auch Software die von Server aus bereitgestellt wurde hinzu. Und Services, Deamons
Wenn ich das richtig verstehe, lag all dies bereits im Ur Unix ansatzweise vor, noch lange vor MS DOS!
IBM lies auf den Mainframes Linux laufen
Mea culpa für diesen Quer Ausflug 
Nein, die Cloud ist kein verteiltes Dateisystem. Aber es kann sein, dass eine Cloud ein verteiltes Dateisystem nutzt.
Das war aber schon vor Jahren klar, dass solche Verbote notwendigerweise in allen Staaten (nicht nur in der Schweiz ) kommen werden müssen, in denen Datenschutz tatsächlich ernst genommen wird- Datenschutz nicht nur von personenbezogenen Daten, sondern auch von sensitiven Untenehmensdaten, auch aus Entwicklungs- bzw Forschungsabteilungen, und von Daten über die Komponenten der systemkritischen staatlichen und privaten Infrastruktur.
Damals gehörte man mit solchen Meinungen aber noch zur sehr kleinen Schar der - ohnehin nur sehr leisen - “Rufer in der Wüste” , und musste sich vorwerfen lassen, mit der Ablehnung der Cloud als universellem Datenspeicher, den “Fortschritt der Technik” behindern/verweigern - und vielleicht wieder zu unseren tierischen Vorfahren “auf die Bäume zurückkehren” - zu wollen.
Es werden hier zwei Dinge vermischt:
„Die Cloud“ - als Technologie. Die ist vermutlich sicherer - auch für Datenschutz als die meisten „Besenkammern“ wo man früher Server betrieben hat.
„Datenschutz“ - das Thema ist hier die unterschiedliche Rechtsordnung z.B. in den USA und China, die nicht mit Europäischen Grundwerten vereinbar ist. In Europa hat man als Bürger das Recht sich vor Gericht zu verteitigen - in den USA weiß man nicht einmal dass gegen einen ermittelt wird und dass ein Gerichtsverfahren stattfindet. In China: „wir werden keinen Richter brauchen“ - gibt es gleich gar keines.
Es ist daher nicht die Cloud „böse“ - was böse ist, sind nicht kompatible Rechtsnormen und im Fall der Fälle - nicht ausreichende Sicherheitsmaßnahmen.
Ich meinte auch nur als Vorläufer in der Evolutionskette
Ein Cloud kann man ja auch zu Hause aufsetzen, ganz ohne Anbindung ans Internet.
Wie viele Maschinen wären notwendig, damit man Ausfallschutz hat, wenn eine Maschine kaputt geht?
Maschinen die voll ECC fähig sind, ein OS, dass ZFS beherrscht - sicher ist sicher! Natürlich alles RAID …
Ich fürchte man kann eine Cloud nur deswegen zu Hause aufsetzen, weil heutzutage alles Cloud genannt wird 
Bitte nur auf Meta Ebene sehen 
Den Begriff SaaS gabs auch schon zur 2k Wende.
Damals begann auch die Zeit des Remote Desktops, Citrix.
Vereint mit DFS landest man “on the road to the cloud“
Wege, Ansätze alles zentral laufen zu lassen, sind schon älter als Windows, sind schon im Unix vorhanden. AFAIK konnte man lokal eine Boot Mini Unix laufen lassen, alles andere entweder vom Server mounten, oder gleich per Terminal am Host laufen lassen.
Noch weiter zurück Mainframes wie IBM, Unisys, Fujitsu, usw.
Auf technischer Ebene Digital VAX auf dessen Terminals CAD bereitgestellt wurde.
So gesehen “Alles nur alter Wein in Neuen Schläuchen“
PS: Mit einer Prise Satire versehen.
Und Rechtsnormen sind - ganz unabhöngig davon, ob sie auch “kompatibel” sind - überhaupt kein Schutz gegen Verlust, Diebstahl, Auspionieren (…) von Daten.
Sie zeigen nur an , dass bestimmtes “Verhalten” nicht erwünscht ist, können aber dieses Verhalten - nicht nur wegen der für manche “Täter”/Unternehmen vohersehbar (und daher auch kalkulierbar) vernachlässigbaren bzw. praktisch nicht durchsetzbaren/exekutierbaren (Straf-) Konsequenzen - nicht verhindern.
Und in Zeiten des uneingeschränkten Egoismus “Wir zuerst” - wie er besonders exzessiv gerade in den USA “gefeiert” wird, indem dort jeder Gedanke und jedes Wort des dortigen Präsidenten über seinen Dekrete unmittelbar zum Gesetz wird - werden selbst alle bisher geltenden Rechtsnormen ad absurdum geführt.
Betroffene Unternehmen, deren Betriebsgeheimnisse dann in die Hände der Konkurrenz gefallen sind , oder Einzelpersonen deren Identitätsdaten dann im Darknet gehandelt werden, nutzen solche Rechtsnormen auch dann nichts, wenn sie stets “kompatibel” wären, denn ein breits eingetretener Schaden kann nicht mehr rückgängig gemacht werden.
Lieber Erich,
Schade, dass Du nicht beim Briefing am Montag dabei warst, dann würdest Du mehr wissen zum Thema.
Es ist hier nachzulesen, was man tun könnte, um einen rechtlich sauberen Zustand wieder herzustellen.
Genau diese Maßnahmen wären ein rechtlich sauberer Schutz vor „ausspioniert werden“ - unsere Freunde in den USA nennen das „economic Intelligence“, es wäre also vermessen von Wirtschaftsspionage zu sprechen.
LG Werner
Es gibt keinen rechtlichen Schutz, wenn rechtliche Regelungen einseitig als nicht mehr gültig/anwendbar erklärt werden und erkannte (und anerkannte) Verletzungen rechtlicher Regelungen ohne Konseqenzen bleiben und nicht verfolgt bzw. in irgendeiner Form “geahndet” werden können, weil eine auch nur irgendwie geahndete Rechtsverletzung vielleicht als “viel zu teuer” ( vielleicht sogar “arbeitsplatzgefährdend”) erachtet werden würde.
Ein allfälliger Schutz könnte von rechtlichen Regelungen nur prophylaktisch ausgehen, wenn durch Androhung deutlich spürbarer - und wirtschaftlich unvermeidlich schmerzhafter Konsequenzen zukünftige Rechtsverletzungen - und durch solche Rechtsverletzungen Geschädigte - vermieden werden könnten.
Bereits Geschädigte sind durch solche rechtlichen Regelungen jedenfalls nicht geschützt - sie wären ja dann gar nicht geschädigt worden, wenn es diese Schutzwirkung tatsächlich geben würde.
Leider gibt es im Wirtschaftsleben, wie auch in der Politik, aber immer mehr Amok-Läufer , ganz ähnlich wie bei Gewaltverbrechen von privaten Einzeltätern, die ihre Handlungen ohne nachzudenken in einem “Anfall” von Zorn und Wut setzen und durch keinerlei Androhung von ”schmerzlichen” Konsequenzen bzw. Strafmaßnahmen von ihren rechtwidrigen Handlungen abzubringen wären.
Genau diese Maßnahmen wären ein rechtlich sauberer Schutz vor „ausspioniert werden“
Nein - sie sind kein sicherer Schutz .
Punkt 11.1
Reduktion unnötiger Abhängigkeiten von Diensten, die US-Jurisdiktion auslösen.
Warum sind die “nötigen Abhängigkeiten” hier kein Problem ?
Wenn es aber ohnehin stets “nötige Abhängigkeiten” gibt, sind dann die “unnötigen Abhängigkeiten” nicht ohnehin schon irrelevant für die Auslösung einer US-Jurisdiktion ?
Wie wollen wir von nichteuropäischer Hard- und Software (nicht nur CPUs und anwendungsspezifische Controller, sondern auch Hard - und Soft-Ware für den Betrieb der Datennetze / des Intetnet, Netzwerkprotokolle, Verschlüsselungstechnologien, .. ) unbahängig werden, wenn wir fast keine Produkte aus allein europäischer Herkunft mehr haben ?
Architekturentscheidungen zugunsten offener Standards, Interoperabilität und technischer Exit-Strategien, um Lock-in-Effekte zu minimieren.
Offene Standards und Interoperabilität stellen aber ohne weitere Maßnahmen (z.B. durch regelmäßige tiefgehende Sourcecodeanalysen - auch für jedes Update und jeden Patch) nicht sicher, ob nicht irgendwo in den “Tiefen der Software” irgendwo Backdoors oder Schalter existieren, die das Mitlesen/Kopieren sensitiver Informationen/Daten oder die gezielte Außerbetriebnahme/Störung von IKT-Systemteilen erlauben könnten.
Dem urspünglichen Datenschutzkonzept, der “Daten-Minimalität” - so wenig Daten , wie zur Erfüllung der Aufgaben gerade noch benötigt, niemals aber “alle Daten” - in IKT-Systemen zu speichern / zu verarbeiten, sollten wir daher höchste Aufmerksamkeit widmen.
Jep. Verträge sind nur so lange funktionsfähig, wie sich beide Seiten daran halten oder eine Seite „größere Machtmittel“ hat, die ihr helfen, die Umsetzung der Vertragsbedingungen durchzusetzen. Zivilisiert steht dafür der Rechtsstaat zur Verfügung. Es gibt aber auch andere Möglichkeiten. Manche sind recht unzivilisiert.
In dem hier behandelten Fall befindet sich ein Unternehmen wie Microsoft in einem Dilemma. In der EU unterliegt das Unternehmen dem hiesigen Recht, in den USA aber dem dortigen. Da gibt es dann schon den einen oder anderen Widerspruch, was in Rechtssystemen eigentlich ein Regelfall ist (selbst in Österreich befindet man sich häufiger zwischen zwei sich widersprechenden Regelungen, und „es kommt darauf an“ – wie die Juristen sagen –, welche dieser beiden die andere bricht).
Ein Unternehmen wie Microsoft hat ein großes Interesse an einem guten Ruf und zufriedenen Kunden. Das erfordert, dass die Kunden diesem Unternehmen und dessen Angeboten vertrauen. Vertrauen! Nur dann kaufen die Kunden; nur dann kann ein Unternehmen Geld verdienen, was dessen Existenz sichern wird.
Ich denke, dass wir als Kunden Verständnis dafür haben werden, wenn sich das Unternehmen einer gerichtlichen Aufforderung beugt, Daten den Strafverfolgungsbehörden zugänglich zu machen, wenn es im Rahmen einer Strafermittlung passiert oder zur Vereitelung einer gravierenden Straftat erforderlich ist. Da würden wir uns von unseren eigenen Strafermittlungsbehörden auch erwarten, dass sie sich auch außerhalb der EU darum kümmern. Vor unseren eigenen Nachrichtendiensten brauchen wir da nicht die Augen zu verschließen.
Die Angst, die hier umgeht, ist das „Was wäre, wenn …“
Die Empörungswelle zu diesen Szenarien ist gerade ziemlich groß.
Der Ausgangspunkt ist aber doch, dass die Menschen, Unternehmen und Politiker:innen in Europa aufgrund der medialen Darstellungen den Eindruck gewonnen haben, dass der US-Regierung nicht mehr zu trauen wäre, dass diese irrational und egoistisch handeln würde; nicht mehr an einem Interessenausgleich mit internationalen Partnern interessiert.
Also ist das Vertrauen gesunken, und man befürchtet in Europa, ordentlich unter die Räder zu kommen.
In Unternehmen solltest du eigentlich eine Risikobetrachtung machen. Ähnlich, wie es im Ingenieurwesen – spätestens seit dem Apollo-Desaster – üblich ist. Dort gibt es die Methode FMEA für eine Risikofolgenabschätzung.
Risikoprioritätszahl = Bedeutung/Schwere der Folgen × Auftretungswahrscheinlichkeit der Ursache × Entdeckungswahrscheinlichkeit
Wie gravierend ist es für mein Unternehmen, wenn die US-Regierung meine Daten abgreift oder mir der Zugang zu Office 365 entzogen wird?
Wie wahrscheinlich ist es, dass die US-Regierung das veranlassen wird und mein Unternehmen im Fokus sein wird?
Danach kann man nüchtern bewerten, ob man handeln sollte – oder halt nicht.
So wären die Folgen für mich, wenn mich ein Meteorit auf den Kopf treffen würde, recht gravierend. Aber dass dieser Umstand tatsächlich eintritt, ist in der Wahrscheinlichkeit eher gering.
Welche Schlussfolgerung sollte ich nun daraus ziehen?
Wenn man zu dem Schluss kommt, dass das Risiko zu hoch ist, dann sollte man sich auch dringend Gedanken machen, wie man das Risiko senken kann.
Dann besteht dringender Handlungsbedarf.
Offene Standards und Interoperabilität würden es aber ermöglichen, leichter von A nach B zu wechseln.
Es geht nicht um Nicht-Europäisch. Etwas Europäisches ist per se nicht besser. Etwas Nicht-Europäisches ist nicht per se schlechter.
Das kann man weniger pauschal und deutlich differenzierter betrachten.
Du rennst bei mir offene Türen ein. Ich habe manchmal den Eindruck, dass Informatiker einfach süchtig nach Daten sind und alles sammeln, erfassen und analysieren wollen, was sie in die Finger bekommen können, um die Kontrolle zu behalten.
Mich ärgert es jedes Mal, wenn ich mich zu einer Veranstaltung anmelde und sogar meine Schuhgröße abgefragt wird. Ich bin bei Unternehmen und Behörden immer wieder empört darüber, was sie alles verbindlich von mir wissen wollen – nur weil es für sie einfach und vorteilhaft ist, diese Daten zu besitzen, während es für mich nur Last und Mühsal bedeutet und keinerlei Nutzen bringt.
Marketing ist ebenfalls eine Abteilung, die möglichst viele Daten haben möchte, um zu verstehen, wie ihre Werbung funktioniert und wie die Kunden ticken. Der Wunsch, den Kunden besser zu kennen, ist dabei ziemlich einseitig.
Formeln sind zwar mathematisch gut und schön , aber für die Praxis weitestgehend bedeutungslos, wenn die Ermittlung der konkreten Werte der Variablen in solchen Formeln praktisch nicht möglich ist - nicht nur weil ihre Werte zeitlich - und vor allem auch politisch - bedingt, sehr starken Schwankungen unterliegen.
Die Ergebnisse aus solchen Formeln sind für langfristige Planungen ( z.B.: als Grundlage für irgendwelche “Strategien” ) absolut unbrauchbar, weil ein am Vormittag ermittelter Wert vielleicht am Nachmittag des gleichen Tages schon wieder vollkommen falsch sein könnte - weil vielleicht nur die Verantwortlichen für die Ermittlung dieser Werte ausgewechselt wurden.
Wen ich das weiter ausgeführt hätte , wäre mein Text halt noch erheblich länger geworden.
Ich denke jeder weiß hier, dass ich damit nicht einen neuen Nationalismus - diesmal halt in europäischem Kontext - meine, auch wenn die physische Abschottung Europas durch Zäune und Auffang-/Abschiebe-Lager und die Wahlergebnisse in vielen Staaten Europas derzeit ein deutliches Zeichen für die Wiederauferstehung des vormals schon überwunden geglaubten Nationalismus sein dürften.
Ich habe mich ja nicht gegen offene Standards ausgesprochen, sondern wollte mit meinem Text nur darauf hinweisen, das offene Standards allein nicht zu mehr Schutz gegen Verletzungen des Datenschutzes (oder gegen Cyberangriffe) führen, wenn nicht deren Umsetzung auf konkreter Hardware mit konkreter Software vor jeder Änderung ( und jedem Softwarerupdate ) genauestens auf mögliche Umgehung von Datenschutzbestimmungen bzw. auf vielleicht vorhandene Einfallstore für Cyberangriffe geprüft - also durch europäische behördliche Instanzen für die Verwendung “freigegeben” bzw. “zugelassen” wird.