Cloud-Sicherheit: Wer hat wirklich Zugriff auf Ihre Daten?

Die Cloud erklärt: Mehr als nur Speicherplatz

Für viele Menschen bleibt die Cloud ein mysteriöses Konzept. Fragen wie 'Wie funktioniert sie eigentlich?', 'Wohin gehen unsere Daten?' und 'Wer kann auf unsere persönlichen Informationen zugreifen?' haben durch aktuelle Entwicklungen in der Cloud-Branche neue Dringlichkeit erhalten.

Im Wesentlichen bedeutet Cloud Computing, dass Daten auf externen Servern gespeichert oder Anwendungen ausgeführt werden, anstatt auf Ihrem eigenen Gerät. Wie Mark de Reuver, Professor für digitale Plattformen an der TU Delft, erklärt: 'Die meisten Menschen nutzen die Cloud, um ihre Daten irgendwo zu speichern, denken Sie an Google Drive.' Aber sie wird auch für Anwendungen genutzt: 'Einige Leute verwenden beispielsweise Microsoft Word in der Cloud oder Dienste wie Gmail.'

Der Begriff 'Cloud' entstand aus frühen Netzwerkdiagrammen, in denen komplexe Internetinfrastruktur durch ein Wolken-Symbol dargestellt wurde. Heute repräsentiert er das weitläufige, miteinander verbundene Netzwerk von Rechenzentren, das unsere digitalen Informationen speichert und verarbeitet.

Verschlüsselung und Zugriff: Wer verwaltet die Schlüssel?

Obwohl Cloud-Anbieter Nutzerdaten in der Regel verschlüsseln, ist die entscheidende Frage, wer die Verschlüsselungsschlüssel verwaltet. Professor de Reuver klärt auf: 'Im Prinzip haben nur Sie - als Eigentümer - Zugriff auf Ihre Dateien in der Cloud. Allerdings kann der Anbieter des Cloud-Dienstes manchmal auch Zugang haben.' Er fügt einen kritischen Punkt hinzu: 'Die Schlüssel liegen oft auch in den Händen des Unternehmens, insbesondere bei Verbraucherdiensten wie Gmail. So kann das Unternehmen, wenn wirklich etwas vorfällt, dennoch Zugang erhalten.'

Diese Regelung bedeutet, dass, obwohl Ihre Daten vor unbefugtem Zugriff geschützt sind, der Dienstanbieter technische Zugriffsmöglichkeiten behält. Dies wird besonders relevant, wenn Regierungen über rechtliche Kanäle Zugang zu Daten anfordern. 'Was seiner Meinung nach passieren könnte,' erklärt de Reuver, 'ist, dass eine Regierung sagt: 'Wir möchten diese Informationen von dieser 'verdächtigen' Person haben.' In diesem Fall kann eine offizielle Anfrage an den Administrator gestellt werden, um Zugang zu erhalten.'

Die Solvinity-Übernahme: Eine niederländische Sicherheitsbesorgnis

Die jüngste Übernahme des niederländischen Cloud-Unternehmens Solvinity durch den amerikanischen Tech-Giganten Kyndryl hat erhebliche Bedenken hinsichtlich Datenhoheit und Sicherheit aufgeworfen. Solvinity liefert kritische Infrastruktur für niederländische Regierungsdienste wie DigiD und MijnOverheid, was diese Übernahme besonders sensibel macht.

Professor de Reuver betont die Kernsorge: 'Worüber viele besorgt sind, ist, dass, wenn die Daten in den USA gespeichert würden, die US-Regierung auf diese Weise Zugang zu Ihren Daten erhalten könnte.' Er erklärt, dass es nicht nur darum geht, wo Rechenzentren physisch stehen, sondern auch um die Rechtshoheit des Heimatlandes des Cloud-Anbieters.

Die niederländische Regierung wurde Berichten zufolge von der Übernahme überrascht, wobei Amsterdamer Beamte angaben, 'unangenehm überrascht' von der Entwicklung zu sein. Die Sorge erstreckt sich über Datenschutz hinaus auf mögliche operationelle Risiken. 'Die Angst liegt seiner Meinung nach im theoretischen Szenario, dass die US-Regierung sagen könnte: 'Schalten Sie DigiD einfach ab, denn wir sind jetzt keine guten Freunde mehr mit den Niederlanden oder Europa.' bemerkt de Reuver, während er anerkennt, dass dies 'vor allem ein theoretisches Risiko ist und in der Praxis unwahrscheinlich.'

Europäische Alternativen und digitale Souveränität

Für diejenigen, die sich um Datenhoheit sorgen, entstehen europäische Alternativen. NextCloud, ein deutsches Unternehmen, bietet eine Open-Source-Cloud-Lösung, die Aufmerksamkeit erregt. 'Was daran interessant ist,' sagt de Reuver über NextCloud, 'ist, dass sie alles Open Source machen.' Diese Transparenz ermöglicht es Nutzern, Sicherheits- und Datenschutzpraktiken direkt zu überprüfen.

NextCloud hat kürzlich Nextcloud Workspace in Zusammenarbeit mit dem deutschen Rechenzentrumsanbieter Ionos gestartet und schafft damit eine europäische Alternative zu Microsoft 365 und Google Workspace. Der Dienst wird ausschließlich in Deutschland gehostet, was Schutz vor US-amerikanischer rechtlicher Exposition unter Gesetzen wie dem Cloud Act bietet.

Andere Quellen für das Finden europäischer Cloud-Alternativen sind European Alternatives und PublicSpaces, die umfangreiche Listen mit datenschutzorientierten Diensten anbieten.

EU-Regulierung: Cloud-Wechsel einfacher machen

Die Europäische Union arbeitet aktiv daran, die Abhängigkeit von Cloud-Anbietern durch neue Vorschriften zu verringern. Der EU Data Act, der im September 2025 in Kraft trat, führt neue Wechselanforderungen für Cloud-Dienstanbieter ein. Diese Regeln sollen es Kunden erleichtern, zwischen Anbietern zu wechseln oder zu ihrer eigenen Infrastruktur überzugehen.

Professor de Reuver erklärt die aktuelle Marktdynamik: 'Wenn Sie sich die Cloud jetzt ansehen, wird der gesamte Markt von etwa drei Akteuren dominiert: Google, Amazon und Microsoft. Diese Unternehmen mögen es, wenn Sie bei ihnen bleiben. Sie schaffen daher spezifische Dienste und Speichermethoden, die es schwierig machen, von einem Cloud-Dienst zum anderen zu wechseln.'

Die neuen EU-Vorschriften gehen dieses Problem an, indem sie standardisierte Datenformate und Interoperabilität zwischen Cloud-Diensten vorschreiben. Dies stellt einen wichtigen Schritt zur Schaffung eines wettbewerbsfähigeren und flexibleren Cloud-Marktes in Europa dar.

Praktische Überlegungen für Nutzer

Für einzelne Nutzer, die sich um Cloud-Datenschutz sorgen, können verschiedene praktische Schritte unternommen werden. Erstens: Verstehen Sie, wo Ihre Daten physisch gespeichert sind und unter welcher Rechtshoheit sie fallen. Viele Dienste bieten jetzt regionsspezifische Speicheroptionen an.

Zweitens: Erwägen Sie die Nutzung von Ende-zu-Ende-verschlüsselten Diensten, bei denen Sie selbst die Verschlüsselungsschlüssel verwalten. Obwohl dies mehr technisches Wissen erfordert, bietet es größere Datenschutzsicherheit.

Schließlich: Bleiben Sie über Datenschutzrichtlinien und Nutzungsbedingungen informiert. Wie de Reuver uns erinnert: 'Es ist natürlich so, dass ein anderes Unternehmen Ihre Daten verwaltet, aber das bedeutet nicht, dass sie einfach in Ihre Daten schauen dürfen.' Die technische Möglichkeit des Zugriffs besteht jedoch, was Transparenz und Vertrauen zu entscheidenden Faktoren bei der Wahl von Cloud-Anbietern macht.

Die Cloud-Revolution hat transformiert, wie wir Daten speichern und darauf zugreifen, aber auch neue Fragen zu Privatsphäre, Sicherheit und Souveränität geschaffen. Wie die Solvinity-Übernahme zeigt, sind dies nicht nur theoretische Bedenken, sondern reale Fragen mit erheblichen Auswirkungen für sowohl Einzelpersonen als auch Regierungen.