WiWo App Jetzt gratis testen
Anzeigen

Cyber-Kriminalität Wer haftet, wenn die Datenwolke versagt?

Ob Dropbox, Evernote, iCloud oder Google Drive: Millionen parken bei Datendiensten ihre Daten in den Weiten des Web. Gehen dem Anbieter die Daten des Nutzers verloren, ist der juristisch auf verlorenem Posten.

Während Cloud Computing längst auf dem Vormarsch ist, bleiben bei vielen Nutzern Sicherheits- und Rechtsbedenken Quelle: REUTERS

Anfang März meldete der Notizspeicher-Dienst Evernote einen Einbruch in seine Server. Hacker kopierten 50 Millionen Nutzernamen, E-Mail-Adressen und Passwörter. Der große Datenklau blieb nur aus, weil Evernote die Passwörter seiner Kunden verschlüsselt speichert – wenn auch recht einfach. Doch der Fall zeigt das Risiko der ganzen Cloud-Computing-Branche, die davon lebt, Daten ihrer Kunden zu speichern.

Cloud-Computing ist praktisch. Ob Evernote, Dropbox oder GoogleDrive, wer seine Daten bei solchen Diensten hochlädt, kann sie von überall her abrufen, solange er einen Internetzugang hat. Das ist gerade für Menschen komfortabel, die mit unterschiedlichen Geräten und Betriebssystemen arbeiten.

Kontrollverlust der Daten

Neben Komfort birgt Cloud-Computing aber eben auch Risiken. Wer seine Daten auf fremden Servern speichert, gibt Kontrolle ab. Wer also hat die Verantwortung für die Daten, wenn sie auf fremden Servern liegen? Wer muss einstehen, wenn sie verloren gehen, wenn sie verändert werden? Der Nutzer, der Anbieter oder der Betreiber der Serverfarm?

Zehn Vorurteile gegen die Cloud
1. Die Cloud ist nicht sicher  Falsch. Vielmehr gilt: Wer billig kauft, kauft teuer. Die Begründung: Wichtig ist es, für seine Anforderungen das richtige Modell zu finden. Hierfür muss zwischen der öffentlichen Public Cloud und der geschlossenen, nur angemeldeten und abgesicherten Nutzern zugänglichen Private Cloud unterschieden werden. In vielen Public Cloud Angeboten gibt es bis dato keine Modelle, die dem Kunden Sicherheit garantieren. In einem Private Cloud Modell dagegen lassen sich Sicherheitszusagen sowie Zusagen für Performancewerte durchaus treffen. Wichtig ist es, für seine Anforderungen das richtige Modell zu finden. Ob ein Service die für den Kunden ausreichende Sicherheit liefert, wird in Private Clouds durch Zertifikate wie zum Beispiel das SSAE16 sowie die verwendete Architektur und Technologie  sichergestellt. Neben einem Zertifikat ist das SLA (Service Level Agreement) zwischen Anbieter und Nutzer von entscheidender Bedeutung. Im Übrigen kann selbst ein Cloud-Anbieter nicht auf die Daten des jeweiligen Kunden zugreifen. Auch dann nicht, wenn er zu administrativen Zwecken auf die Netzinfrastruktur und Systeme zugreifen muss. Quelle: dapd
2. Ich verliere die Rechte an meinen DatenFalsch. Lesen Sie das Kleingedruckte. Die Begründung: Tatsächlich ist es oft schwierig, seine Daten einfach und sicher zu einem Cloud Provider zu migrieren. Man sollte denken, es wäre selbstverständlich, die Hoheit über seine Daten zu behalten. Leider sehen die SLA´s einiger Anbieter hierfür keine geregelte Strategie vor. Daher müssen Unternehmen bei manchen Anbietern mit hohen Aufwänden für die Migration ihrer Daten rechnen. Dann wird ein vermeintlich attraktives Angebot schnell zum kommerziellen Desaster. Es lohnt sich, das Kleingedruckte aufmerksam zu lesen, zu verstehen, und gegebenenfalls Transparenz einzufordern.  Quelle: dapd
3. One size fits allEine flexible, uneingeschränkte Skalierung ist Trumpf. Die Begründung: Cloud Angebote basieren auf Virtualisierung, also einer vernünftigen Auslastung von Ressourcen, um die Kosten niedrig zu halten. Darum sollten Anwender darauf achten, daß sie Ressourcen gemäß ihrer individuellen Anforderungen frei skalieren können. Nur dann lassen sich weitreichende kommerzielle Vorteile erzielen. Quelle: dpa/dpaweb
4. Es gibt nur zwei Abrechnungsmodelle: "Pay as you go" oder LaufzeitenvertragFalsch. Die Lösung liegt in einer klugen Mischung aus beidem. Die Begründung: Es ist klar, dass das "Pay as you go", also ein bezugsabhängiges Abrechnungsmodell ohne Vertragsbindung, grundsätzlich teurer ist als eine vertraglich vereinbarte Abnahme von Leistungen. Sobald Anwender jedoch eine maximale Flexibilität oder stark schwankende Anforderungen erkennen, ist es lediglich ein Rechenbeispiel, welches Modell ihren Anforderungen am besten entspricht. Spielen der Faktor Flexibilität in Zukunft eine wesentliche Rolle, kann sich ein "Pay as you go"-Modell schnell rechnen.  Quelle: dpa
5. Cloud Services reduzieren ArbeitsplätzeFalsch. Durch die Nutzung von Coud Services entstehen neue Arbeitsplätze, beim Anbieter wie beim Anwender. Die Begründung: Die Nutzung von Cloud Services dient zunächst der Reduzierung von Bedarf und Kosten in der IT. Im Anschluss werden dadurch Ressourcen für hochwertige Aufgaben verfügbar gemacht, die bis dahin nicht oder nur extern bedient werden konnten. Damit führt die effektive und exzellente Unterstützung der Unternehmensprozesse durch die Cloud zu mehr Produktivität und damit zu mehr Geschäft– was zusätzliche Arbeitsplätze im Unternehmen schafft. Quelle: dapd
6. Die Cloud ist nur das Outsourcing von gesternFalsch. Jeder kann seine Cloud selbst betreiben. Die Begründung: Unternehmen können ihre Private Cloud im eigenen Hause betreiben und lediglich die Vorteile nutzen. Letztendlich bieten die verschiedenen Modelle der Cloud-Anbieter eine maximale Anpassung an den individuellen Bedarf der Anwender. So ist im Private Cloud Modell von Dimension Data auch vorgesehen, die Hardware im Rechenzentrum des Kunden zu platzieren. Anwender können hierbei die IT-Kontrollsoftware des Anbieters nutzen, welche Orchestrierung und Provisionierung sowie Reporting und Billing in einer einfachen Nutzeroberfläche zur Verfügung stellt. Das Hosted Private Cloud Modell hingegen sieht die Hardware in einem der Rechenzentren des Dienstleisters vor. Eine Kombination ist möglich, ebenso wie eine Kombination von Private Modellen und Pay as you go Modellen innerhalb der Public Services.   Quelle: REUTERS
7. Anforderungen weltweit tätiger Unternehmen kann die Cloud nicht bedienenFalsch. Verlässliche Anbieter liefern heute auf allen Kontinenten und in mehreren Rechenzentren global ausgerichtete Cloud-Angebote. Die Begründung: Verteilte Rechenzentren in jedem Kontinent sowie eine technologisch fortschrittliche Verwaltung der Cloudressourcen ermöglichen den Rollout von globalen Systemen innerhalb kürzester Zeit. Anwender sollten dabei sicherstellen, dass die SLA´s sowie die Supportmodelle des Anbieters zu ihnen passen und die eingesetzte Technologie sicher und verlässlich funktioniert. Wichtig ist, dass die Administration der verschiedenen geografischen Standorte zentral zur Verfügung stehen kann und dass an allen genutzten Standorten die entsprechenden Sicherheitsstandards eingehalten werden.  Quelle: dpa

In der Regel lehnen die Anbieter jede Haftung ab – selbst im Falle von Datenverlust. Es ist etwa nach den Allgemeinen Geschäftsbedingungen von Evernote egal, wie Evernote einen Schaden verursacht hat, haften muss das Unternehmen dafür nicht. Evernote schreibt, man garantiere nicht für die Sicherheit des Dienstes, Kunden würden ihn auf eigene Gefahr nutzen. So ähnlich formulieren es auch die Cloud-Anbieter GoogleDrive, iCloud und Dropbox.

Vor- und Nachteile des Cloud Computing

Nach deutschem Recht können Anbieter ihre Haftung allerdings nur begrenzen, wenn sie frei von Schuld oder leicht fahrlässig handeln. Geschieht etwas absichtlich oder grob fahrlässig, haften sie nach deutschem Recht weiter, auch wenn in den Geschäftsbedingungen etwas anderes steht. Skydrive und Evernote erklären das deutsche Recht ausdrücklich für anwendbar. Das heißt, die Haftungsausschlüsse, wie sie in den AGBs von Evernote formuliert sind, gelten nicht.

Wenn die Cloud in Amerika verteidigt werden muss

Die wichtigsten Cloud-Computing-Anbieter
Logo von United Internet Quelle: Presse
Logo der Deutsche Telekom Quelle: AP
Logo von Salesforce
Logo von SAP Quelle: dpa
Logo vom Rackspace Hosting
Microsoft-Chef Steve Ballmer Quelle: AP
Diverse Google-Logos Quelle: rtr

Schwieriger wird es, wenn Anbieter das deutsche Recht nicht anwenden. Bei einer Firma mit Sitz innerhalb der Europäischen Union gilt vereinfacht das Recht des Landes, in dem der Verbraucher sitzt. Das geht aus der Rom-I-Verordnung hervor. Allerdings enthält diese Verordnung für Dienstleistungsverträge eine Ausnahme. Wenn Verträge mit Cloud-Anbietern Dienstleistungsverträge sind, könnte es also kompliziert werden.

Jens Ferner ist Rechtsanwalt für IT-Recht. Er sagt, Cloud-Verträge lassen sich nicht einfach einer Vertragsart zuordnen: "Das sind meist Mischverträge. Es wird innerhalb Europas entscheidend darauf ankommen, an welchen Verbraucherkreis sich das Cloud-Angebot richtet. Danach bestimmt sich dann der Gerichtsstand." Wer also auf einer französischen Seite einen Server für seine Daten sucht, der wird im Zweifel seine Rechte vor einem französischen Gericht verteidigen müssen. So sind die Regeln in Europa.

Wer dagegen mit Firmen außerhalb Europas einen Cloud-Vertrag abschließt, muss seine Ansprüche in der Regel in Amerika durchsetzen. Das ist kompliziert, denn jeder der 50 US-Bundesstaaten hat eigene Gesetze, wie er mit derartigen Streitigkeiten verfährt. Bei iCloud von Apple und Skydrive von Microsoft verweisen die Konzerne in ihren Geschäftsbedingungen auf das Recht des Verbraucher-Wohnsitzes. Ansprüche der Verbraucher könnten dann vor deutschen Gerichten durchgesetzt werden.

Die Dropbox-Alternativen
DropboxDropbox wurde 2007 gegründet. Das Netzwerk für die Synchronisation von Dateien zwischen verschiedenen Rechnern wurde von den Nutzern gut angenommen - vor allem zwecks Datensicherung. Quelle: Screenshot
Microsoft SkydriveSkyDrive ist eine Cloud-Festplatte von Microsoft mit sieben Gigabyte freiem Speicherplatz. Jeder angemeldete User hat die Möglichkeit, Videos, Fotos oder andere Dokumente im Internet zu speichern und Dateien für andere Nutzer zum Download freizugeben. Quelle: Screenshot
WualaWuala ist eine Internet-Plattform, die fünf Gigabyte Online-Speicher kostenlos zur Verfügung stellt. Mit dem angebotenen Tool ist vor allem der sichere Upload auf eine sogenannte "Online-Festplatte" möglich. Der Dienst arbeitet dabei dezentral und speichert Dateien verschlüsselt auf gleich mehreren Festplatten. Bei Freigabe seines persönlichen Schlüssels können die Daten auch von anderen Internet-Nutzern abgerufen werden. Quelle: Screenshot
Frost WireFrostWire erlaubt den Zugriff auf die Gnutella- und BitTorrent-Netzwerke. So können Nutzer auf der ganzen Welt Dateien austauschen. Auf Knopfdruck ist die gewünschte Datei auf dem Rechner angelegt. Das Programm erkennt doppelte Dateien in den Suchergebnissen und gruppiert diese. Neben MP3s findet man mit Frost Wire Daten aller Art. Die Suche kann so eingestellt werden, dass nur Audio-, Video- oder Programmdateien gesucht werden. Suchanfragen werden zwischengespeichert, so dass man zwischen mehreren Seiten mit verschiedenen Suchergebnissen umschalten kann. Um Frost Wire benutzen zu können, wird die Java Runtimes benötigt. Quelle: Screenshot
BitTorrentDer Unterschied zwischen BitTorrent und den meisten anderen Filesharing-Börsen besteht darin, dass Dateien innerhalb des Netzwerks geteilt werden können. Der Nutzer wird noch bei laufendem Download selber zu einer Download-Quelle für andere. Quelle: Screenshot
Double Twist DesktopDie kostenlose Software ist ein Medienverwalter für Windows, der gut mit Android-Handys harmoniert. Die Idee ist es, dass jeder Song, jedes Foto und jedes Video mit beliebigen mobilen Playern synchronisiert werden kann. Egal welches Format, Double Twist verspricht, die Dateien so zu konvertieren, dass sie auf dem Handy, iPhone, PSP und auf MP3-Playern abgespielt werden können. Das Programm nimmt dabei keine Rücksicht auf geschützte Songs aus dem iTunes Store. Die dort erworbenen Titel im AAC-Format werden von der Freeware im Hintergrund in doppelter Geschwindigkeit abgespielt und als MP3 gespeichert. Quelle: Screenshot
Apple JuiceApple Juice ist ein Filesharingprogramm, das sowohl Multiple-Sources als auch Swarming beherrscht. Außerdem können HTML-Links auf Webseiten angefertigt werden, die dann direkt auf eine entsprechende Datei im Netzwerk verlinken. Getauscht werden können alle bekannten Dateiformate. Die Oberfläche nutzt Java-Engine. Nutzern von Mac OS, Linux und Be OS und Solaris werden andere Programme zum Download angeboten. Quelle: Screenshot

Finanzielle Risiken

Bei GoogleDrive und Dropbox ist hingegen das kalifornische Recht vorgeschrieben. Rechtsanwalt Ferner schätzt einen Prozess im Ausland als aufwändig ein: "Deutsche Anwälte sind in den USA erst einmal nicht zugelassen und für den Prozess gibt es auch keine Prozesskostenbeihilfe. Ein Verfahren würde sich also nur bei sehr großen Schadenssummen lohnen." Im Zweifel müssen Verbraucher also ein weiteres finanzielles Risiko eingehen, um ihren Schaden vielleicht ersetzt zu bekommen.

Aber auch wenn der Gerichtsstand Deutschland ist, löst das nicht alle Probleme. Denn hierzulande fehlt es an Urteilen, an denen sich Opfer von Datenverlusten orientieren könnten.

In einem fiktiven Prozess um Schadensersatz würde es zwangsläufig darum gehen, wann ein Cloud-Anbieter fahrlässig handelt. Wie gut muss er zum Beispiel die Passwörter seiner Kunden verschlüsseln? Dabei könnten Normierungen wie ISO-Standards helfen. Seit einigen Jahren gibt es diese auch für Sicherheit in der Informationstechnik. Viele Behörden und IT-Unternehmen orientieren sich schon heute an den Standards der Reihe 2700x und den ISO-Standard 15408. Für vertrauliche Dokumente wird in der Norm etwa eine starke Verschlüsselung über einen VPN-Tunnel empfohlen.

Es bleibt Rechtsunsicherheit

Welche Wolke ist die richtige für mich?
DropboxDer US-Anbieter Dropbox ist bekannt für seine besonders elegante Cloud-Lösung: Unter Windows, Mac OS X (Bild) oder Linux wird nach der Installation der Software einfach ein Internet-Ordner im Dateisystem eingebunden, in dem jede Art von Datei ganz normal gespeichert werden kann. Die Online-Festplatte wird so auf die einfachste mögliche Art realisiert. Der Zugriff von mobilen Systemen wie iPhone, Blackberry oder Android funktioniert per App. Ebenfalls möglich ist der Zugriff via Webinterface, falls die Software an einem Rechner nicht installiert ist. Dateien lassen sich nicht nur mit anderen Nutzern des Dienstes teilen, sondern auch per Link, falls dies ausgewählt wird. 2 Gigabyte gibt es bei Dropbox gratis. Der Speicher wird zusätzlich mit jedem geworbenen Nutzer um 250 Megabyte größer – bis zu einer Höchstgrenze von bis zu 8 Gigabyte. Ansonsten kostet ein zusätzliches Gigabyte 19 Dollar pro Monat (etwa  16 Eurocent). Bei einem Jahres-Abo gibt es 50 Gigabyte für 100 Dollar im Jahr (etwa 80 Euro). Beim Up- und Download der Dateien gibt es keine Beschränkung. Bei der Nutzung eines US-Anbieters wie Dropbox muss der Nutzer beachten, dass das Unternehmen US-amerikanischem Recht unterliegt. Damit ist es  beispielsweise verpflichtet, mit US-Behörden im Rahmen des Patriot Act zusammenzuarbeiten. Die Daten werden verschlüsselt gespeichert – ein Test des Fraunhofer-Instituts für sichere Informationstechnologie bemängelte jedoch, dass die Daten nicht direkt beim Kunden verschlüsselt werden, sondern erst auf dem Online-Speicher. Dem Anbieter muss damit entweder vertraut werden – oder der Anwender verschlüsselt die Cloud-Daten selbst mit einem Programm wie TrueCrypt. Quelle: Screenshot
Strato Cloud Computing Quelle: Screenshot
Telekom-Cloud Quelle: dpa
Computer Bild Quelle: Screenshot
Livedrive Quelle: Screenshot
Skydrive Quelle: Screenshot
Google Drive Quelle: Screenshot

Die ISO-Standards enthalten ein ganzes Bündel an Empfehlungen, die ein System für Informationssicherheit schaffen. Diese Ideen gelten aber nicht als Rechtsquelle vor Gericht. Sie könnten in einem Prozess allenfalls als Richtschnur dienen, um grobe von leichter Fahrlässigkeit abzugrenzen. "Man würde sich wahrscheinlich darauf einigen können, dass Cloud-Anbieter die Passwörter verschlüsselt auf ihren Servern hinterlegen müssen", sagt Ferner, "aber wie stark die Verschlüsselung sein muss, ist wiederum nicht geklärt."

In Deutschland gibt es bislang kaum Prozesse, die sich einer Antwort auf diese Frage genähert haben. Das hat einen Grund: In der Vergangenheit waren es vor allem Fälle im Zahlungsverkehr, die verhandelt wurden. Die deutschen Banken und Sparkassen zeigten sich aber stets kulant, wenn es um den Schaden ihrer Kunden ging. Sie sind per Gesetz dazu verpflichtet, für einen Schaden über 150 Euro einzustehen, selbst für Verluste durch Methoden wie Skimming oder Phishing. Das ist gut für die Bankkunden und schlecht für die Cloud-Nutzer. Denn wo kein Schaden ist, ist kein Prozess und auch kein Urteil.

Es bleibt also bei einer gewissen Rechtsunsicherheit. Und es gibt noch einen weiteren Punkt zu berücksichtigen. Die meisten Cloud-Dienste sind zunächst kostenlos. Völlig unklar ist, ob die Anbieter überhaupt Kopien der Kundendaten anfertigen müssen. Ein solches Backup bedeutet die doppelte Datenmenge auf den Servern. Das ist mit Kosten verbunden. Es ist also nicht abwegig, dass Nutzer in einem Prozess um Datenverlust gefragt werden, warum sie nicht selbst ein Backup ihrer Daten erstellt haben. Ist ein Backup zwischen Cloud-Anbieter und -Nutzer nicht geregelt, könnte es die Pflicht des Kunden sein. Das sind sogenannte Mitwirkungspflichten.

In Arbeit
Bitte entschuldigen Sie. Dieses Element gibt es nicht mehr.

Rechtsanwalt Ferner glaubt, viele Kunden seien beim Thema Cloud-Computing etwas leichtgläubig: "Ich würde mein Geld auch nicht zu irgendeiner Person ins Wohnzimmer legen. Man muss sich schon auch fragen: Warum sind diese Dienste kostenlos?"

Wer als Nutzer Informationen zum Thema Haftung in der Cloud sucht, kann sich bei „Surfer haben Rechte“ von der Verbraucherzentrale Bundesverband sowie irights.info informieren.

© Handelsblatt GmbH – Alle Rechte vorbehalten. Nutzungsrechte erwerben?
Zur Startseite
-0%1%2%3%4%5%6%7%8%9%10%11%12%13%14%15%16%17%18%19%20%21%22%23%24%25%26%27%28%29%30%31%32%33%34%35%36%37%38%39%40%41%42%43%44%45%46%47%48%49%50%51%52%53%54%55%56%57%58%59%60%61%62%63%64%65%66%67%68%69%70%71%72%73%74%75%76%77%78%79%80%81%82%83%84%85%86%87%88%89%90%91%92%93%94%95%96%97%98%99%100%