US-Regierung plant erstmals Regulierung von Cloud-Anbietern
Nachdem sich Cloud-Dienste über Jahre in zahlreichen Bereichen zur Datenspeicherung etabliert haben, arbeitet die US-Regierung an einem Plan zur Regulierung der Sicherheitspraktiken der Anbieter wie Amazon, Microsoft, Google oder Oracle. Diese Dienste stellen von Privatpersonen und kleinen Unternehmen bis hin zu Behörden und Geheimdiensten Datenspeicherung und Rechenleistung zur Verfügung.
Störungen in der Cloud werden zu Störungen in Wirtschaft und Regierung
Die amtierende nationale Cyber-Direktorin, Kemba Walden, hält die Cloud für unseren Alltag für unverzichtbar. Störungen der Cloud könnten katastrophale Auswirkungen auf Wirtschaft und Regierung haben. Die Cloud sei schlicht „too big to fail“. Für Hacker seien Cloud-Dienste konzentrierte Angriffsziele, die eine Vielzahl von Opfern gleichzeitig beträfen. Kritische Infrastruktur wie Krankenhäuser oder Häfen könnten lahmgelegt werden und selbst Datenbanken in Behörden könnten ausgelöscht werden. So hätten Hacker bereits Cloud-Server von Unternehmen wie Amazon und Microsoft für ihre Angriffe auf andere Ziele genutzt. Zudem mieteten cyberkriminelle Gruppen regelmäßig Infrastruktur von US-amerikanischen Cloud-Anbietern, um Unternehmen zu erpressen oder Daten zu stehlen.
Identitätsüberprüfung und neue Regulierung
Als erste Maßnahme kündigte die US-Regierung an, zukünftig von Cloud-Anbietern eine Identitätsprüfung ihrer Nutzer vorzunehmen. Damit solle verhindert werden, dass ausländische Hacker Speicherplatz auf US-Cloud-Servern mieten. Zudem sollen weitere Cloud-Vorschriften im Rahmen der nationalen Cybersicherheitsstrategie kommen, um Regulierungslücken zu schließen. Als Vorschläge stehen derzeit auch eine Haftung für Softwarehersteller von unsicherem Code und strengere Sicherheitsvorschriften für kritische Infrastrukturunternehmen im Raum. Allerdings gibt es in den USA keine nationale Behörde, die für die Cloud zuständig wäre.
Cloud-Anbieter zeigen sich bisher nicht so ablehnend wie von den US-Behörden erwartet. Microsoft beispielsweise begrüßte die nationale Cybersicherheitsstrategie und betonte, dass Cybersicherheit Teamsport sei.
Auswirkungen auf Europa
Aus europäischer Perspektive ist eine Regulierung der US-Cloud-Dienste ebenfalls relevant. Auch den europäischen Cloud-Markt führen US-Anbieter weitestgehend an. Angesichts der immer wieder auftretenden Bedenken hinsichtlich des Datenschutzes in den USA könnten strengere Regeln für die Cloud auch die Sicherheit der Daten verbessern.