Cyber Security ist in der EU seit jeher ein Thema in der Politik. Mit neuen Entwicklungen kommen neue Aufgaben innerhalb der Cyber Security auf die Entscheidungsträger zu. Die EU-Kommission arbeitet derzeit an einer Cloud-Zertifizierung, die unter anderem Microsoft Azure und Amazon Web Services (AWS) betrifft und für viele Unternehmen relevant werden könnte. Setzt sich das geplante Gesetz durch, sind Kosten in Milliardenhöhe zu erwarten.
Die DSGVO und ausländische Clouddienste
Die Bedenken sind nicht neu: Unzählige Unternehmen – und auch Privatpersonen – nutzen die Cloud-Dienste von Microsoft, Amazon und Google. Da diese Cloud-Dienste allesamt von Unternehmen mit Hauptsitz außerhalb der Europäischen Union bereitgestellt werden, sind die Datenschutzrichtlinien, wie sie die Europäische Kommission vorsieht, höchstens am Rande des Blickfelds der Cloud-Entwickler.
Seit das Europäische Parlament im Jahr 2016 die Datenschutz-Grundverordnung (DSGVO) veröffentlichte, gelten innerhalb der EU strengere Regeln zur Verarbeitung von Daten, der Speicherung von Informationen und der Abfrage personenbezogener Inhalte. In den USA ist der Datenschutz anders geregelt: Anstelle eines umfassenden, allgemeingültigen Gesetzes, stehen einzelne Gesetze für einzelne Branchen und Bereiche. Im Grunde legen US-Unternehmen das Niveau ihres Datenschutzes intern fest. Die Unternehmen sind dazu verpflichtet, ihre eigens aufgestellten Regeln einzuhalten, externe Regelungen gibt es jedoch nur wenige.
Bieten US-Unternehmen wie Microsoft, Amazon und Google ihre Dienste außerhalb der Vereinigten Staaten und vor allem innerhalb der EU an, beißen sich die unterschiedlichen Gesetzgebungen und es entstehen Probleme. Diese Probleme will die Europäische Union aus der Welt schaffen und dafür sorgen, dass Cloud-Dienste aus dem Ausland DSGVO-konform in Europa eingesetzt werden.
Was sind die Pläne der EU für ausländische Clouddienste?
Im Mai 2023 legte die EU bereits einen Entwurf vor, in dem vorgesehen war, dass die Anbieter von Cloud-Diensten durch eine Beteiligung an einem EU-Unternehmen ein Cybersicherheitssiegel verliehen bekommen. Dafür wäre eine Minderheitsbeteiligung notwendig und die Mitarbeiter:innen mit Zugang zu den EU-Daten, müssten innerhalb der EU ansässig sein. Zudem wäre eine spezielle Überprüfung notwendig.
Allerdings hat die EU jetzt ein viel größeres Sicherheitsrisiko in US-Cloud-Diensten erkannt und diskutiert sogar ein EU-weites Verbot der Clouds von Microsoft, Amazon und Google. Der Grund: Die US-Unternehmen sind dazu verpflichtet, auf Anfrage alle Daten an die US-Behörden weiterzugeben. Das beinhaltet auch alle Daten von EU-Unternehmen und EU-Bürger:innen, die entsprechende Cloud-Anwendungen nutzen. Die Aushändigung der Daten entspricht einem Verstoß gegen die europäischen Datenschutzrichtlinien und schafft ein Dilemma, dessen Lösung komplex ausfallen dürfte.
Das diskutierte Verbot ist insgesamt sehr unwahrscheinlich. Allerdings zeichnet sich ab, dass die Cloud-Dienste aus „kritischen Bereichen“ ferngehalten werden sollen. Welche das sind, entscheiden die EU-Mitgliedstaaten individuell. Im Fokus stehen Bereiche wie das Gesundheitswesen und die öffentliche Verwaltung, also Bereiche, die sehr sensible Daten verarbeiten.
Laut einer Studie des European Center for International Political Economy (ECIPE) würde die Umsetzung eines Verbots in bestimmten Bereichen alleine Deutschland wirtschaftlich bis zu 130 Milliarden Euro kosten. EU-weit schätzt die Studie die Kosten auf bis zu 610 Milliarden Euro.
Der Entwurf ist innerhalb der Europäischen Union sehr umstritten und es ist davon auszugehen, dass viele Mitgliedstaaten in dieser Form keine Zustimmung erteilen. Vermutlich läuft es also auf eine abgeschwächte Version dieses Gesetzes hinaus, das keine allzu starken Auswirkungen auf die meisten Unternehmen haben wird.
Datenschutz in AWS lernen
Der Datenschutz und die Cyber Security sind grundlegende Fähigkeiten, die im Umgang mit Cloud-Diensten vorhanden sein sollten. Unabhängig von EU-Richtlinien bieten die US-Anbieter in aller Regel eine sichere Umgebung in ihren Anwendungen.
In unserem dreitägigen Seminar Security Engineering on AWS lernst du die Best Practices für den Datenschutz und die Cyber Security in Amazon Web Services. Neben Strategien für den Datenschutz bietet der Kurs dir unter anderem auch Übungen in der Sicherheitsautomatisierung und der Webserver-Protokollanalyse.
