Bundesheer

Cloud-Computing ist nicht länger ein sich entwickelnder Trend, sondern bereits fester Bestandteil der unternehmerischen und behördlichen IKT-Infrastruktur Österreichs. Die Ausprägungen reichen dabei von aktiv durch die Organisationen vorangetriebenen Cloud-Migrationen bis zur unkontrollierten Datenverwaltung auf Filesharing-Diensten wie Dropbox oder Verwendung Cloud-basierter E-Mail- Dienste wie GMail von Google.

Ein Großteil der in dieser Arbeit analysierten Cloud-Computing-Dienste befindet sich entweder ausserhalb des EU-Raums (meist in den USA) oder wird innerhalb der EU mit aus den USA stammenden Produkten betrieben. Jüngste Entwicklungen wie der NSA-Überwachungsskandal, die laschen Anforderungen an US-Unternehmen, welche dem Safe-Harbor-Abkommen unterliegen und der Zwang von US-Unternehmen unter dem "Patriot Act" mit amerikanischen Behörden zu kooperieren, haben gezeigt, dass die Datenhaltung bei Anbietern, welche diesen Gegebenheiten unterliegen, höchst kritisch zu betrachten ist.

Auf Basis österreichischer und europäischer Datenschutzgesetze kann die Empfehlung gegeben werden, (i) sensible Daten gar nicht oder nur unter besonderen Sicherheitsvorkehrungen an Dritte innerhalb des EU-Raums auszulagern, (ii) personenbezogene Daten unter Berücksichtigung des österreichischen Datenschutzgesetzes nur an zertifizierte Anbieter im EU-Raum auszulagern und (iii) sonstige Daten nur dann an globale Anbieter auszulagern, wenn die Daten keine wirtschaftliche oder sonstige Bedeutung für die jeweilige Behörde oder das Unternehmen haben.

Prinzipiell sollte die Public Cloud als unsichere, z.T. sogar feindliche Umgebung betrachtet werden und Anwender müssen sich bewusst sein, die Kontrolle über die abgegebenen Daten verloren zu haben, sobald sie diese in Public Clouds transferieren. Aus diesem Grund empfehlen wir Vertragsinhalte hinsichtlich der Einhaltung gesetzlicher Bestimmungen genau zu prüfen (z.B. Datenschutzgesetz) und technische Maßnahmen zur Vermeidung von Ausspähungen zu implementieren (z.B. Verschlüsselung der hochgeladenen Daten).

Zur Verminderung der bestehenden US- und asiatischen Technologie-Dominanz und den damit verbundenen Problemen muss eine Stärkung der europäischen Cloud-Industrie erfolgen. Diese Stärkung kann über folgende Maßnahmen erreicht werden: (i) Bewusstseinsbildung innerhalb der Kundengruppen hinsichtlich der Problematik, um mehr Nachfrage nach europäischen Angeboten zu generieren, (ii) Schaffung von anerkannten Zertifikaten für Cloud-Computing-Anbieter, um dem Kunden die Auswahl zu erleichtern, und (iii) verstärkte Kooperation unter europäischen Cloud-Computing-Anbietern, um beispielsweise bewusstseinsbildende Maßnahmen gemeinsam zu leisten.