Datenschutzexperte Eike Wolf ist mit den von uns in der Ausgabe 4 der COMPUTERWELT getroffenen Aussagen betreffend Cloud Computing nicht einverstanden. [...]
Sehr geehrter Herr Wolschann!
In Ihrem Editorial stellen Sie die CA-Technologie Studie (im Auftrag der IDC) vor, die von den Company Information Officer’s (CIO) mehr Mut zum Risiko einfordert. Es sollen die Cloud basierenden Anwendungen mehr genutzt werden und sie sollen sich nicht mehr hinter vermeintlichen Sicherheitsrisiken oder dem hohen Administrationsaufwand verstecken.Ich bin als selbständiger Konsulent kein CIO, aber ich kann die Bedenken hinsichtlich der Sicherheitsrisiken der CIO’s nachvollziehen. Die Versprechungen der Cloud-Anbieter sind nämlich keineswegs überzeugend. Ist es für einen mittleren Betrieb in Österreich mit 150 bis 500 Mitarbeitern schon schwierig genug, die Sicherheit der IT für den eigenen Betrieb halbwegs befriedigend herzustellen, dann ist es für einen Cloud-Anbieter mit 20 bis 100 Kunden dieser Größenordnung noch viel schwieriger, weil die Software dafür um einige Komplexitätsgrade größer ist und die Mitarbeiter des Anbieters nur wenig besser ausgebildet und motivierter sind. Warum soll daher der Cloud-Anbieter wesentlich sicherer sein, als man selbst die Sicherheit der eigenen IT im Griff hat?
Da werden Marktaussagen höher bewertet als die eigenen Erfahrungen, nur um das Geschäft der Cloud-Anbieter anzukurbeln. Insbesondere habe ich Bedenken hinsichtlich des Schutzes personenbezogener Daten von denen ich weiß, dass die Forderungen des DSG2000 bzw. der EU Richtlinien immer nur zum Teil umgesetzt werden und wurden. Dabei sind diese Forderungen des Gesetzgebers – wie die Erfahrungen (siehe Rechtsprechung und sonstige Meldungen über schwer wiegende Datenschutzverletzungen) zeigen – keineswegs überzogen.
Das Fazit der zitierten Studie: „Es gibt keine Alternative zur Konsumerisierung!“ ist das genau Gegenteil zu einem verantwortungsvollen Umgang mit personenbezogenen Daten. Wie die sozialen Netzwerke wie Facebook etc. mit den Schutz personenbezogener Daten umgehen ist doch hinlänglich bekannt oder?
Ihr Editorial ist daher naiv und hinsichtlich des Schutzes personenbezogener Daten kontraproduktiv.
Aber auch wenn der Cloud-Anbieter den Schutz personenbezogener Daten ernst nimmt, vorbildlich sind sie bisher alle nicht. Es hat nämlich noch keiner eine Zertifizierung seines Dienstes nach EuroPriSe beantragt und zu Ende führen können.
Darüber hinaus habe ich massive Bedenken bei Cloud-Anbietern hinsichtlich ihrer Insolvenzfestigkeit, d.h. wenn ein Konkursverfahren (nicht bloß ein Sanierungsverfahren) eingeleitet wird, was geschieht dann mit den Daten und den von den Kunden verwendeten Programmen? Meine Erfahrung lehrt, dass die Kunden in der Mehrzahl schwer geschädigt oder gleich mit in den Konkurs gerissen werden, obwohl sie diesen nicht mit verursacht haben. Und in den AGB’s der Cloud-Anbieter liest man höchstens etwas über den Konkurs des Kunden, aber praktisch nie über den Konkurs des Anbieters, als ob so etwas undenkbar wäre.
Und wie soll man die Sicherheitsaussagen der Cloud-Anbieter amerikanischer Provenienz bewerten, wenn diese alle unter der Kuratel des Heimatschutzministeriums stehen? Dass die US-Administration den Schutz personenbezogener Daten als hinderlich empfindet, weiß man spätestens, wenn man seine sensiblen Daten (Religion, Ethnik, etc.) für einen simplen Touristikflug hin und zurück bekannt geben muss, als wäre man ein gefährlicher Terrorist.
Alles in allem sind daher die Bedenken der CIO’s mehr als gerechtfertigt und Sie sollten daher deren Bedürfnisse eher unterstützen statt als überflüssige Forderungen abzuwerten.
Die ENISA (auf derselben Seite der Ausgabe der Computerwelt) warnt zu Recht vor den Datenrisiken beim Cloud-Computing. Dass für KMUs Cloud-Computing eine kosten- und sicherheitstechnisch eine günstige Alternative darstellen kann, ist offensichtlich, weil der kleine Gewerbetreibende sich keinen Sicherheits-IT-Fachmann leisten kann und er schon froh sein muss, wenn die üblichen Programme halbwegs laufen. Da ist er in einem Cloud-Betrieb sicher besser und kostengünstiger aufgehoben. Trotzdem unterliegt er den gleichen Bedenken, die ich schon oben geäußert habe. Die Abwägung nur dieser Risken gegen die Risken einer eigenen IT ist schwierig und keinesfalls eindeutig zu Gunsten der Cloud.
CIO müssen Chancen über vermeintliche Risiken stellen (Seite 7 der Ausgabe):
„Die IT-Chefs sträuben sich gegen soziale Medien und private mobile Endgeräte. Die Analysten der IDC halten wenig von dieser Philosophie und ermahnen CIO und IT-Leiter zu zeitgemäßen IT-Policies.“
Da kann man nur sagen: „Wen wunderts? Die IDC Analysten tragen ja nicht die Folgen der Verletzung der Sicherheit.“
Aus langjähriger Erfahrung mit den Studien der gesamten Analystenbranche kann ich nur feststellen, dass deren Aussagen aus markttechnischen Gründen immer positiv für einen Markttrend sein müssen, sonst wird die Studie gar nicht über das Executive Summery hinaus gelesen und verschwindet in einer Ablage. Fast immer sind die Prognosen viel zu optimistisch. Das ist deren Geschäft, positive Trends zu prognostizieren, sonst werden diese Studien nicht in Auftrag gegeben und verkauft.
In einer Fachzeitschrift sollte jedoch eine etwas kritischere Haltung eingenommen werden, sonst ist der Wert der Fachzeitschrift konform des Wertes dieser Studien.
Im besonderen Fall werden unkritische Aussagen über Konsumerisierung übernommen, ohne eventuelle Bedenken der Konsumenten zu reflektieren. Die Aussage der IDC, dass sie mehr als 1.000 Konsumenten befragt hätte, ist bestenfalls hinsichtlich der statistischen Stichprobe aussagekräftig. Offen bleibt was und wie wurde gefragt. Und nur das ist entscheidend. Bei richtiger Fragestellung kann man jede Aussage statistisch signifikant untermauern. Ich weiß das aus eigener Erfahrung, weil ich oft telefonisch und schriftlich befragt werde und immer wieder feststelle und mich wundere, dass man keine negativen Erfahrungen abfragt und wissen will. Dabei könnte man gerade aus den negativen Erfahrungen der Konsumenten mehr lernen als aus den positiven Aussagen.
Das gleiche gilt aber auch für die Befragung der 800 IT-Entscheider. Welche Fragen wurden Ihnen gestellt und in welchem Umfeld leben diese?
Das die Konsumerisierung erhebliche Datenschutzprobleme aufwirft, sollte einer Fachzeitschrift wie der Ihrigen auch nicht verborgen bleiben und gleichgültig sein. Es werden von der Wirtschaft ohnehin schon genug offene und noch mehr verborgene Datenschutzverletzungen begangen als nötig sind, auch unter dem Gesichtspunkt des Kostendrucks. Die nun schon seit einigen Jahren propagierte Philosophie des „Privacy by Design“, die wesentliche Verwaltungsvereinfachungen und Kostenersparnisse bringt, wird leider noch immer nicht verstanden und angewendet, obwohl sie jedem IT-Leiter unmittelbar einsichtig sein sollte.
Die Konsumerisierung verursacht einen Teil jener Verwischung von Arbeit und Freizeit, die ein zunehmendes Problem darstellt, weil sie mit verantwortlich ist für den erhöhten Arbeitsdruck und „Burn-out“. Dieses Phänomen wird von vielen Managern ausgeblendet und es fällt eines Tages auf sie selbst zurück. Dann aber ist es zu spät. Dass nämlich keine Zeit mehr zum Nachdenken bleibt, weil die verlangte Aufgabe ja schon gestern erledigt sein sollte, ist erst ein Phänomen der letzten 20 Jahre und keineswegs positiv.
Die in dem Artikel als selbstverständlich gepriesene Vermischung sollte vielmehr kritisch beleuchtet, anstatt als zwingende Notwendigkeit dargestellt zu werden.
MfG
Ing. Dr. iur. Eike Wolf
Unser Leser Eike Wolf ist Konsulent sowie EuroPriSe-zertifizierter Datenschutzexperte.
Be the first to comment