Schlagwort: Speicherung in der Cloud

Public Cloud: Daten aus der Schweiz sollen nach China ausgelagert werden

9. Juli 2021

Die Regierung in Bern vergibt einen Großauftrag für Cloud-Dienste an fünf Unternehmen. Unter anderem an einen chinesischen Anbieter. Der finanzielle Rahmen des gesamten Auftrags beläuft sich auf 110 Millionen Franken.

Cloud-Dienste haben eine wichtige Bedeutung für Privatpersonen, Unternehmen, aber eben auch für staatliche Stellen. Unter Cloud-Computing ist das Auslagern von Daten und Datenverarbeitung an eine externe IT-Infrastruktur zu verstehen. Vor allem aus Kostengründen spricht vieles dafür, in die Cloud zu gehen. Dadurch kann bei den Ausgaben für Hard- und Software gespart werden. Zudem werden die Rechen- und Speicherkapazität nach Bedarf bezahlt.

Kostengründe gaben wohl den Ausschlag

Doch das Auslagern staatlicher Daten an große ausländische Konzerne birgt auch Risiken, weshalb der Großauftrag an vier US-Firmen und einen chinesischen Konzern in der Schweiz auf Kritik stößt. Maßgeblicher Ausschlag war wohl der Preis. Die öffentlich einsehbare Meldung über die Vertragsvergabe gibt Hinweise: Erstens lautete eine der Bedingungen für die Bewerber, dass sie Rechenzentren auf mindestens drei Kontinenten haben und ihre Dienstleistungen einer internationalen Kundschaft zur Verfügung stellen müssen. Und zweitens hatten unter den Zuschlagskriterien die Faktoren Qualität und Preis das größte Gewicht. Kleinere Anbieter aus der Schweiz oder Europa hatten entsprechend wenig Chancen bei dieser Ausschreibung. Der Auftrag unterstreicht die derzeitige Dominanz weniger Cloud-Provider.

Jens Klessmann, der Leiter des Bereichs Digital Public Services am Fraunhofer-Institut für Offene Kommunikationssysteme, hält die Schweizer Entscheidung diesbezüglich für bemerkenswert und aus deutscher Sicht für „etwas Neues“. Jedoch bezeichnet er die US-Anbieter ebenfalls als schwierig, wenn es um Datenschutz geht. Wie sicher Schweizer Daten bei diesen Anbietern letztlich sind, hänge von der Art der Daten und ihrer Form ab, so Jens Klessmann. „Man kann beispielsweise Daten an ein chinesisches Unternehmen weitergeben, die ohnehin öffentlich sind. Und sensiblere Informationen können vorab verschlüsselt werden.“

Die Schweizer Bundesverwaltung hat gleichwohl im vergangenen Dezember ihre Cloud-Strategie veröffentlicht. Darin steht unter anderem, dass „in einem ersten Schritt“ nur solche Informationen in Clouds landen sollen, die nicht als „vertraulich“ oder „geheim“ klassifiziert sind. Laut Strategiepapier liegt es grundsätzlich in der Verantwortung der Schweizer Bundesministerien zu entscheiden, an welchen Stellen sie Cloud-Dienste in Anspruch nehmen wollen. Diese Entscheidung müssen sie „basierend auf einer Risikobeurteilung und Prüfung der Rechtkonformität“ treffen.

Steuer-App: Speicherung personenbezogener Daten in der Cloud

19. September 2018

Eine Schweizer Steuerberatungsfirma bietet eine kostenpflichtige App für die Erstellung einer Steuererklärungen an. Dazu muss der Nutzer Dokumente und Belege abfotografieren und mit der App hochladen. Alle abfotografierten Dokumente sowie die erhobenen Nutzerdaten wurden beim Cloud Anbieter Amazon Web Services (AWS) gespeichert. Durch die Speicherung in der öffentlich einsehbaren Cloud von Amazon, waren die Nutzerdaten für jeden einsehbar, der über ein Konto bei AWS verfügt. Folglich waren Steuerklärungen, Steuerbescheide, Lohnabrechnungen, Heirats- und Geburtsurkunden usw. in einem öffentlich lesbaren AWS Bucket abgelegt.

Ein Sicherheitsforscher bemerkte dieses Problem und fand zudem die per bcrypt gesicherten Passwörter der Admins heraus. Zudem waren die Chatverläufe zwischen der Steuerberaterfirma und dem Nutzer, in denen teilweise über die Steuererklärung gesprochen wurde, im Klartext gespeichert.

Der App-Entwickler hatte also nicht dafür gesorgt, dass die personenbezogenen Daten in einem gesicherten Bereich gespeichert werden.