«Swiss IT Magazine»: Herr Zbinden, es gibt das Swiss-US Data Privacy Framework, aber zuletzt kamen immer wieder Bedenken auf, inwiefern dieses tatsächlich Sicherheit beim Einsatz von US-Cloud-Diensten bietet. Vor allem aufgrund des Cloud Acts, der US-Behörden im Fall der Fälle Zugriff auch auf gespeicherte europäische Daten gewährt. Können sich Schweizer Unternehmen sicher fühlen? Können sie guten Gewissens in die US-Cloud gehen?
Reto Zbinden: Ich frage zurück: Wieso sollten sie das nicht können? Wieso sollten sie ein schlechtes Gewissen haben? Ich muss – fernab von ökologischen Fragen – auch kein schlechtes Gewissen haben, wenn ich Auto fahre. Denn ich darf Auto fahren, solange ich die Regeln einhalte. Und mit dem Einsatz von US-Cloud-Services werden die Regeln eingehalten. Das Swiss-US Data Privacy Framework bietet dafür die rechtliche Grundlage. Ein schlechtes Gewissen muss ich nur dann haben, wenn ich keine Datensicherung, keine Zwei-Faktor-Authentifizierung und andere Schutzmechanismen anwende. Und dieser Widerspruch ist es ja auch, der die öffentliche Verwaltung – in Anführungszeichen – an den Rand des Wahnsinns treibt. Viele Behörden möchten dringend mit MS Teams und anderen Tools arbeiten. Sie dürfen das aber nicht – obwohl sie es eigentlich dürften.
Aber seit einigen Monaten werden Stimmen lauter, die befürchten, dass die Regierung Trump Cloud-Services als Verhandlungsmasse im Zollstreit nutzt, oder gar davor warnen, dass in einer Krise von heute auf morgen der Cloud-Stecker gezogen werden könnte. Muss man sich keine Sorgen machen?Für Sorgen sehe ich keinen Grund. Aber jeder sollte natürlich seine Hausaufgaben machen. Daten sollten tunlichst nicht nur an einem Ort liegen. Das gilt aber nicht nur für US-Anbieter wie Microsoft, sondern grundsätzlich für alle Szenarien. Es geht um eine zuverlässige Datensicherung, um Backups und auch die generelle Anforderung, klar zu unterscheiden, welche Daten wo liegen dürfen. Und jedes Unternehmen sollte klären, was passiert, wenn ein Service einmal nicht mehr funktioniert. Aber ich muss auch sagen, dass in der aktuellen Debatte sehr stark der schwarze Peter an die Wand gemalt wird: Trump könnte den Not-Aus-Knopf drücken etcetera. Das ist oft keine sachliche Diskussion mehr. Denn aus einer technischen Frage wird eine Gewissensfrage gemacht. Dazu trägt auch die Position der Datenschutzaufsicht der Schweiz bei.
Gibt es aus Ihrer Sicht dann überhaupt Handlungsbedarf? Welche Fragen müssen aktuell gestellt werden?Handlungsbedarf gibt es vor allem in der öffentlichen Verwaltung. Viele Kantone ringen derzeit damit, effizient mit ihren Daten und Applikationen umgehen zu können. Umso mehr wäre aber eine fachliche Auseinandersetzung mit dem Thema wichtig. Es darf nicht nur darum gehen zu sagen, dass ihr das nicht dürft, dass die Daten nicht souverän sind, dass ihr fahrlässig handelt und ihr Trump in die Hände spielt. Man sollte viel mehr über Best Practices sprechen und darüber, wie man Daten effektiv trennt, die in die Cloud dürfen und die auf keinen Fall in die Cloud dürfen. Das gilt auch für Fachapplikationen und letztlich für die Frage, wie man das durchsetzen kann. Man sollte nicht rigoros sagen, dass das gar nicht geht und dass die Verwaltungen fahrlässig handeln. Denn sie handeln aktuell vor allem unter Druck.
Also weniger Aktionismus und mehr Pragmatismus?Ja, genau. Natürlich finde ich die Diskussion aus demokratischer Sicht und aus schweizerischer Sicht richtig und wichtig. Aber sie wird zu moralisch und zu ethisch geführt. Natürlich muss man mit einem Worst Case rechnen, man sollte aber in der öffentlichen Debatte nicht nur ausschliesslich dieses Szenario projizieren. Das haben auch wir bei
Swiss Infosec in unserer Arbeit gelernt. Wir machen seit 35 Jahren Datenschutz, und es kommt nicht gut an, wenn wir immer nur aufzählen, was verboten ist. Wir müssen auch Lösungen aufzeigen können.
Wie würden Sie in diesem Kontext denn den Begriff Datensouveränität interpretieren? Verschiedene Experten bekräftigen, dass umfängliche Datensouveränität nur möglich ist, wenn wir auch die komplette Infrastruktur in der Schweiz beziehungsweise Europa betreiben und dass wir europäische Hyperscaler oder zumindest wettbewerbsfähige Alternativanbieter brauchen. Datensouveränität ist für mich die Möglichkeit, die Kontrolle über die Daten zu behalten. Selbstständig zu entscheiden, durchzusetzen und zu überprüfen, wer diese Daten sieht, verwendet und wo sie gespeichert werden. Für welchen Zweck, mit welchen Mitteln und für wie lange – und auch transparent aufzeigen zu können, wenn ein Lieferant oder Auftragnehmer auf die Daten zugreift. Mit zugegebenermassen sehr komplexen Gebilden wie Bring your own key, Hold your own key oder auch HSM ist das heute schon möglich. Aber das überfordert viele Organisationen sehr stark. Daher bin ich auch ein Anhänger davon, je nach Art des Schutzbedarfs genau zu prüfen, welche Daten wo gespeichert werden. Und das sind dann nicht nur Patientendaten im Gesundheitswesen, sondern in der Privatwirtschaft beispielsweise auch wirtschaftlich relevante Geheimnisse, die man nicht in solche Clouds legen sollte.
Ist es also ein guter Zeitpunkt für Unternehmen, nochmal genau zu prüfen, welche Daten wo gespeichert sind und was man vielleicht ins Land holen sollte – On-Premises oder in eine Schweizerische Cloud?Ich bin auf jeden Fall überzeugt, dass künftig hybride Cloud-Angebote entstehen werden, die wir so heute noch nicht kennen. Die massentauglich und auch für KMU beziehungsweise mittelständische Unternehmen geeignet sind. Gleichzeitig sollten Unternehmen aber auf keinen Fall aufs eigene Blech zurückkehren. Denn unter dem Strich sind Sicherheit und Verfügbarkeit der Daten mit Anbietern wie Microsoft und Co. in den letzten Jahren massiv gestiegen. Das muss man bei allen Diskussionen über Datensouveränität beachten: Die Hyperscaler, das sagt der Name schon, können skalieren und komplexe Sicherheitsmassnahmen entwickeln und übergreifend anwenden. Sicher, wo gehobelt wird, da fallen immer auch Späne. Hundertprozentige Sicherheit gib es nie. Aber in Summe passiert hier wirklich sehr wenig.
Was halten Sie denn von Vorstössen wie Gaia-X, die versuchen, europäische Alternativen aufzubauen? Solche Aktivitäten gab es ja immer wieder, um auch regional am Erfolg teilzuhaben oder eben die eigene Souveränität zurückzuholen. Und ich hätte auch nichts dagegen, wenn das funktioniert. Aber ich weiss auch, dass es in Vergangenheit oft nicht geklappt hat. Daher würde ich aktuell keine Aktien kaufen (lacht).
Sind hybride Infrastrukturen, die lokale Datenhaltung mit Public Clouds verbinden, mit Blick auf die individuellen Sicherheitsbedarfe der Daten also letztlich der Königsweg?Ja, auf jeden Fall. Und das mit gewissen Knautschzonen. Also mit Alternativoptionen und einem Ersatz für Notfälle. Und natürlich muss auch immer der Preis stimmen. Das lässt sich nicht wegdiskutieren.
Wo sehen Sie denn aus Ihrer Erfahrung als Berater grundsätzlich den grössten Nachholbedarf in Schweizer Unternehmen, wenn es um das Thema Datensicherheit geht?
Mein Steckenpferd der letzten Jahre ist das Thema Information Governance und damit die Verbindung aller Bereiche wie Datenschutz, Compliance und Risikomanagement. Und von vielen Unternehmen wird dieses Thema noch nicht wirklich gelebt, allenfalls punktuell. Sie reagieren auf Missstände und entwickeln dafür eine Lösung oder einen Prozess. Aber es gibt keine Instrumente, um flächendeckend mit der Digitalisierung umzugehen. Denn viele Unternehmen haben Altlasten, wissen nicht, wo ihre Daten liegen, haben keine Übersicht und keine übergreifenden Regeln. Und das hindert dann oft auch dabei, neue Technologien einzusetzen, beispielsweise Künstliche Intelligenz. Es gibt nicht die eine verlässliche Datenquelle, sondern potenziell hunderte Quellen. Und das führt dann auch dazu, dass man die Daten nicht effektiv schützen kann und dass sich Nutzer andererseits darüber aufregen, dass sie zum dritten Mal ein Passwort eingeben müssen. Wer hingegen Ordnung schafft, der kann auch Schutzmassnahmen viel leichter, gezielter und auch kostengünstiger umsetzen und muss nicht mit dem Giesskannenprinzip vorgehen.
Ist es vor diesem Hintergrund nicht kontraproduktiv, auf Hybrid- oder Multi-Cloud-Strategien zu setzen? Immerhin nimmt damit die Komplexität abermals zu.
Viele Unternehmen wissen ja nicht, ob es überhaupt komplexer wird, weil sie eben diese Übersicht nicht haben. Aber wenn man die Übersicht mal hat, dann kann man ohne weiteres sagen: das blaue Feld kommt jetzt zu Microsoft und das grüne Feld kommt jetzt zum Schweizer Anbieter. Der Übergang in die Cloud sollte unbedingt damit verbunden sein zu wissen, in welchen Töpfen welche Unternehmensdaten heute liegen.
In Summe geht es also nicht um ein Ja oder Nein zur US-Cloud, sondern Schweizer Unternehmen müssen vor allem für Ordnung und eine klare Kategorisierung des eigenen Datenbestandes sorgen, um Datensouveränität und -sicherheit zu gewährleisten?
Absolut, damit verbunden sind dann auch Risikoanalysen und das Festlegen des Schutzbedarfs, was schon gemäss Datenschutzgesetz notwendig ist. Wo liegen meine Informationen und wo dürfen sie liegen? Gibt es hier eine Diskrepanz? Dürfen sie in die Cloud, und wenn ja, in welche Cloud dürfen sie? Heute sind die technischen Instrumente vorhanden, um das sicherzustellen. Auch bei Microsoft und anderen Hyperscalern. Und wenn man diese anwendet, ist man aus meiner Sicht auch auf der sicheren Seite.
Schweizer Unternehmen müssen also nicht überstürzt aus den US-Clouds flüchten?
Aus meiner tiefen Überzeugung: nein, das müssen sie nicht. Sicher gilt es immer kritisch zu hinterfragen, Aktionismus ist aber fehl am Platz, vor allem, wenn die aktuellen Spielregeln gewahrt bleiben. Niemand muss nervös werden. Diese Diskussion sollte wie erwähnt technisch und nicht politisch oder moralisch geführt werden.
(sta)
