Wie in Zeiten von Trump mit US-Cloud-Risiken umgehen

Neu: Szenario-basierte Beurteilung des Foreign Lawful Access Risikos

Die Methode arbeitet neu mit vier Szenarien, wie sich die Situation in den USA (oder auch sonst einem Land) im Beurteilungszeitraum weiterentwickeln kann, und beurteilt die Wahrscheinlichkeit anhand dieser vier Szenarien. Diese sind in einem Arbeitsblatt beschrieben (wir haben vier Musterszenarien für die USA 2025-2030 bereitgestellt, die nach der eigenen Einschätzung angepasst oder übernommen werden können und sollen).

• In einem ersten Schritt muss die Eintrittswahrscheinlichkeit jedes Szenarios beurteilt werden (zusammen sollte dies 100 Prozent ergeben).

• In einem zweiten Schritt werden dann anhand der bestehenden Methode für jedes dieser Szenarien die bestehenden Faktoren beurteilt. Es kann dazu beispielsweise das heutige "Vor-Trump"-Basisszenario aus einer bereits vorliegenden Beurteilung auf das Arbeitsblatt in das erste Szenario übertragen werden. Es kann dann beurteilt und festgehalten werden, wie sich die Beurteilung in den relevanten Punkten für die drei anderen Szenarien verändern dürfte. Naturgemäss werden sich dabei nur jene Faktoren ändern, die von der politischen und rechtlichen Lage in den USA bzw. dem betreffenden Land abhängig sind. Diese sind fett gedruckt. Achtung: Beim Wert in Ziff. 2.13 wird zwecks besserer Verständlichkeit der invertierte Prozentwert verwendet, d.h. wenn in der Original-Methode 80% steht sind hier 20% einzutragen. Wir haben die längere Beschreibung aus der Original-Methode zusammengefasst; inhaltlich ändert sich nichts.

• Aus diesem Set der vier Beurteilungen wird dann in einem dritten Schritt ein nach Eintrittswahrscheinlichkeit des Szenarios gewichtetes Mittel berechnet, das schliesslich als Endergebnis dient. Es wird wieder die bekannte Kenngrösse der Anzahl Jahre berechnet, bis mit einer 50- oder 90-prozentigen Wahrscheinlichkeit mit mindestens einem Fall gerechnet werden muss. Der Regierungsrat des Kantons Zürich hat hier beispielsweise festgelegt, dass beim Wert für die 90 Prozent ein neuer Risikoentscheid des Regierungsrats erst nötig ist, wenn dieser Wert unter 100 Jahre fällt, was einer Eintrittswahrscheinlichkeit von ungefähr 10 Prozent über fünf Jahre entspricht. Jeder muss allerdings seine Grenze selbst festlegen.

Für die Berechnung der konkreten Werte wird weiterhin das bisherige Excel verwendet (im Excel sind die vier Arbeitsblätter, die dazu benutzt werden, ausgeblendet). Es ändert sich also nichts an der Methode.

Neu: Beurteilung der Geschäftsfortführungsrisiken

Die Methode erlaubt neu auch, das Geschäftsfortführungsrisiko zu beurteilen, d.h. die Möglichkeit, dass aufgrund der Entwicklungen in den USA der zur Diskussion stehende Cloud-Dienst nicht oder nicht mehr in der erforderlichen Weise zur Verfügung steht und er daher nicht mehr weitergenutzt werden kann. Dieses Risiko ist selbstverständlich nicht neu und wir haben es in unserer Cloud-Beratung von öffentlichen und privaten Stellen regelmässig behandelt: Cloud-Dienste oder wichtige Aspekte (z.B. Speicherung in der Schweiz oder bestimmte Funktionen) können mehr oder weniger unvermittelt eingestellt oder geändert werden, sollte dies rechtlich erforderlich werden, Dienste können das Opfer von technischen Ausfällen oder Cyberangriffen werden.

Erhöht ist in den Augen mancher das Risiko, dass die US-Regierung die Abhängigkeit Europas von den US-Hyperscalern für politische Zwecke nutzt oder sonst Massnahmen trifft, die eine weitere Nutzung der Hyperscaler in Frage stellen. Ob und wie wahrscheinlich solche Entwicklungen sind, muss jeder selbst beurteilen. Auch ist eine Gegenwehr europäischer Regierungen denkbar. Dasselbe gilt für Vorkehrungen der Cloud-Anbieter selbst, wie etwa jene von Microsoft, die oben beschrieben wurde. Diese zusätzlichen, der politischen Lage in den USA geschuldeten Risiken und Gegenmassnahmen können neu ebenfalls beurteilt werden:

• In einem ersten Schritt muss angegeben werden, welche Konsequenzen es hätte, wenn eine Organisation die Cloud-Nutzung mehr oder weniger kurzfristig aufgeben muss, was davon abhängt, ob sie einen "Plan B" hat. Diese Einschätzung sollte jede Organisation im Rahmen ihres Cloud-Risiko-Managements schon bisher gemacht haben. Wir sehen allerdings in unseren Beratungen, dass viele Projekte in diesem Punkt schwach sind. Wir empfehlen beispielsweise beim Einsatz von M365 ein Notfallkonzept, welches mindestens einen Notbetrieb entsprechender Funktionen ausserhalb der Cloud vorsieht und Backups, die ebenfalls nicht in der Cloud erfolgen (siehe dazu auch unten).

• In einem zweiten Schritt wird beurteilt, welche möglichen weiteren, bisher nicht beurteilten Umstände eintreten könnten, welche die Fortführung der Cloud-Lösung ver- oder behindern könnten, also beispielsweise der Fall, dass die US-Regierung den weiteren Zugang als Druckmittel zur Durchsetzung von politischen Forderungen in einem anderen Bereich einsetzt. Hier wird die Eintrittswahrscheinlichkeit dieser Umstände für alle vier Szenarien beurteilt.

• In einem dritten Schritt können etwaige Gegenmassnahmen beurteilt werden, etwa dass die EU die Hyperscaler zwingt, ihren Betrieb in Europa so auszugestalten, dass er von den USA unabhängig ist oder die Hyperscaler ihr Europageschäft von den USA abkoppeln. Es kann auch hier für alle vier Szenarien beurteilt werden, wie wahrscheinlich es ist, dass eine solche Massnahme getroffen wird, die auch tatsächlich wirksam ist. Diese Wahrscheinlichkeit wird dann gegen die Wahrscheinlichkeiten aus dem zweiten Schritt gegengerechnet.

• Schliesslich wird anhand der Ergebnisse aus allen drei Schritten ein Gesamtrisiko pro Szenario ausgerechnet, wobei daraus wiederum ein gewichtetes mittleres Risiko errechnet und ausgewiesen wird. Anders als bei der Beurteilung des Behördenzugriffs, wo nur die Eintrittswahrscheinlichkeit beurteilt wird (weil nach dem Prinzip beurteilt wird, dass jeder Zugriff den maximalen Schweregrad darstellt), wird bei der Geschäftsfortführung tatsächlich das Risiko (Schweregrad x Eintrittswahrscheinlichkeit) berechnet, auf einer Risikomatrix von 4 x 4.

Auch hier haben wir wieder Musterwerte eingetragen. Jede Stelle muss die Beurteilung der Wahrscheinlichkeiten selbst vornehmen. Die Musterwerte dienen der Illustration.

Wie der Markt die gegenwärtige Lage einschätzt

Wir haben bereits diverse Anfragen erhalten, wie Organisationen mit den politischen Unwägbarkeiten und Entwicklungen in den USA in Bezug auf ihre Cloud-Projekte mit US-Hyperscalern umgehen sollen. Dabei zeigt sich, dass in der Privatwirtschaft der Leidensdruck wesentlich geringer zu sein scheint als in der öffentlichen Verwaltung. Das ist auch nicht erstaunlich: Geht der Staat in die Cloud, spielen Themen wie die "digitale Souveränität" und US CLOUD Act in den Köpfen der Kommentatoren, Politiker und Datenschutzbehörden eine grössere Rolle, als wenn eine Bank, ein Industriebetrieb oder ein Handelsunternehmen dies für sich tut. Dass die Entwicklungen in die USA das Risiko eines Cloud-Einsatzes erhöht, wird kaum bestritten. Ob diese Erhöhung wesentlich genug ist, um Änderungen erforderlich zu machen, darüber scheiden sich allerdings die Geister. Auch erfolgt die öffentliche Diskussion in vielen Fällen polemisch und emotional. Das überrascht nicht; schon die frühere Auseinandersetzung um das Risiko eines Zugriffs unter dem US CLOUD Act war über weitere Strecken unsachlich und basierte auf falschen Annahmen zur Rechtslage. Das ist bedauerlich, weil sich in Bezug auf die aktuelle Situation in den USA tatsächlich relevante Fragen stellen, mit denen wir uns beschäftigen sollten:

• So stimmt es zwar (weiterhin) nicht, dass der US CLOUD Act US-Behörden freien Zugriff auf in der Cloud gespeicherte Daten liefert. Richtig ist allerdings, dass der Schutz vor solchen Zugriffen unter anderem auf geltendem US-Recht basiert und davon abhängig ist, dass die Behörden und die Gerichte sich an solches halten – oder dies mindestens die Gerichte tun. Der Schutz erfordert somit eine funktionierende Gewaltenteilung. Vor diesem Hintergrund sind die Bestrebungen der Trump-Regierung diese auszuhebeln für die Risikobeurteilung relevant. Wie sich die Situation in den USA weiterentwickelt, wissen wir zwar nicht, aber wer heute eine Risikobeurteilung gewissenhaft vornehmen will, muss diese Unsicherheiten berücksichtigen. Das geht mit der bisherigen und der erweiterten Methode; im letzteren Fall kann dabei insbesondere berücksichtigt werden, wie sich die Lage in den USA in den nächsten Jahren ändern könnte, da gerade dies vielen Beobachtern besondere Sorge bereitet und nicht so sehr die Situation heute. Dabei kann in den neuen Szenarien nicht nur die Verlässlichkeit der juristischen Argumente gegen einen Lawful Access beurteilt werden, sondern auch die Frage, ob die US-Regierung ein erhöhtes Interesse an tatsächlichen Zugriffen auf europäische Cloud-Daten oder gar einer Ausweitung der ausländischen Massenüberwachung hat. An beidem sind unseres Erachtens Zweifel angebracht, auch wenn Donald Trump nicht als besonders zimperlich bekannt ist, wenn es um Aktionen gegen andere geht. Zu bedenken ist jedoch, dass das US-Recht ihm wesentlich bequemere und wirksamere Mittel in die Hand gibt um beispielsweise Europa im Bereich der Cloud unter Druck zu setzen, sollte er dies tun wollen (dazu sogleich). Motive und Anzeichen für einen Ausbau der Kabelaufklärung im Ausland sehen wir beispielsweise nicht. Ebenso sehen wir nicht, warum die Regierung unter Trump ein erhöhtes Interesse haben sollte, auf dem Rechtsweg über die Provider an die Daten auf dem Mail-Server beispielsweise eines Kantons, einer Ausgleichskasse oder des Bundes zu gelangen. Das passt schlicht nicht zu seinem Profil.

• Die Cloud-Verträge mit Microsoft, AWS und Google schliessen europäische Unternehmen üblicherweise mit den europäischen Tochtergesellschaften der drei Hyperscaler ab. Dass diese ihre Leistungserbringung gegenüber europäischen Unternehmen aufgrund der politischen Entwicklungen in den USA einstellen oder einschränken, erscheint uns und den meisten Kunden, mit welchen wir uns unterhalten, unwahrscheinlich. Es ist jedoch denkbar geworden, dass die Trump-Regierung auch im Bereich der Cloud-Dienste aus irgendeinem Grund zum Schluss kommt, dass sich die europäische Abhängigkeit von solchen Diensten zur Durchsetzung irgendwelcher damit sachlich nicht zusammenhängenden Forderungen gegenüber einzelnen Staaten oder Branchen nutzen lässt. Doch auch hier ist eine nüchterne Betrachtung erforderlich: Würden Cloud-Nutzer eines Landes von der Regierung Trump tatsächlich als "Geisel" genommen etwa für die Zwecke eines Handelskriegs, was würde das für die einzelnen Nutzer bedeuten? Sollten sie aufgrund eines solchen Risikos vorsorglich auf die Cloud verzichten? Oder muss opportunistisch nicht völlig anders gerechnet werden: Wenn bereits heute schätzungsweise die Hälfte bis drei Viertel aller Mail-Server auf Microsoft-Software läuft und dann auch in der Cloud sein werden, ist Microsoft diesbezüglich "too big to fail". Würde der Zugriff auf diese Ressource tatsächlich bedroht, würden sich die Kunden nicht auf den Standpunkt stellen, dass es am Staat wäre, sie zu schützen – nach dem Prinzip "Das Lösegeld zahlt nie die Geisel"? Selbstverständlich kann diese Denkweise als unverantwortlich bezeichnet werden. Faktisch läuft es nach unserem Eindruck jedoch darauf hinaus. Dem einzelnen, durchschnittlichen Kunden, der sich wie "alle anderen" für M365 entscheidet, wird kaum einer einen Vorwurf machen können, weil es für ihn aus seiner Sicht oft der einfachste Weg sein wird, sein Bedürfnis zu lösen. Das mag auch erklären, warum sich kaum ein Kunde über das Szenario einer Welt ohne Exchange Online – um ein Beispiel zu nehmen – Gedanken macht. Es wird der Weg der Herde gewählt, und so ganz falsch ist das Vertrauen auf den Herdenschutz im Ergebnis aus einer rein opportunistischen Betrachtungsweise für viele private und öffentliche Stellen nicht. Aus diesem Grund sehen wir in unserer Methode vor, dass auch diese nach unserer Erfahrung bestehende Realität abgebildet werden kann – so wie jeder das für seinen Fall tun will. Eine andere Frage ist, ob der Staat seinerseits Handlungsbedarf für Regulierung sieht, wie er dies beispielsweise anderenorts sieht, wo es "Too big to fail"-Risiken gibt. Das Argument, dass unter den drei grossen Cloud-Anbietern Konkurrenz besteht, löst angesichts der Tatsache, dass sie alle US-basiert sind nicht alle Probleme. Wir haben jedoch nicht den Eindruck, dass der Leidensdruck im Moment hoch genug ist, dass der Staat hier einen Bedarf zum Eingreifen sieht.

• In der Öffentlichkeit wird immer wieder auf Open-Source-Alternativen zu den Angeboten der grossen Cloud-Anbieter hingewiesen; für die öffentliche Verwaltung wird regelmässig das Beispiel von Schleswig-Holstein zitiert, in der Schweiz wäre aber auch das Bundesgericht zu nennen. Wir haben jedoch den Eindruck, dass kundenseitig bislang kaum oder kein Interesse an einem Rückzug aus der Cloud, so insbesondere aus M365, besteht. Dass sich öffentliche Stellen mit M365 oder Plänen zur Einführung dieser Lösung kurz- oder mittelfristig wieder aus der Cloud verabschieden, glaubten hinter vorgehaltener Hand selbst diverse bekennende Open-Source-Vertreter nicht, als wir uns mit ihnen unterhielten. Daran hat auch die Situation in den USA bislang nichts geändert und dürfte so rasch auch nichts ändern, es sei denn, dramatischere Entwicklungen ergeben sich. Die US-Entwicklungen sorgen jedoch für zweierlei: Es besteht erstens ein wachsendes Bedürfnis, die mit den Entwicklungen in den USA entstandenen Unsicherheiten einzuschätzen, und zwar sachlich, nicht emotional. Das war schon bisher einer der Hauptgründe für den Einsatz unserer Methode. Zweitens realisieren auch immer mehr öffentliche Stellen, dass neben dem Thema des Lawful Access aus dem Ausland die Sicherstellung der Geschäftsfortführung (Business Continuity Management) ebenso, wenn nicht sogar wichtiger ist. Gerade in den Kreisen der Datenschutzbehörden ist dieser Aspekt aufgrund der mitunter blinden Fokussierung auf den ausländischen Behördenzugriff untergegangen – wir haben immer wieder darauf hingewiesen. Praktisch bedeutet dies, dass öffentliche wie private Stellen den Weg in die Cloud nicht ohne einen "Plan B" oder sogar "Plan C" machen sollten. Dieser muss einerseits ein Backup aller Daten ausserhalb der Cloud umfassen und andererseits eine Möglichkeit, die Grundfunktionen etwa von M365 auch dann anbieten zu können, wenn die Cloud aus irgendwelchen Gründen mittel oder langfristig nicht mehr wie erforderlich zur Verfügung steht (was nichts mit Trump zu tun haben muss). Das sollte sich gerade bei Mail- und Fileserver-Anwendungen mit vertretbarem Aufwand realisieren lassen, auch wenn eine solche Notlösungen nach Ansicht mancher nicht an den Komfort der heutigen Lösungen herankommen werden. Der Knackpunkt solcher Notlösungen ist nicht die Software, sondern die Bereithaltung der nötigen Rechnerkapazitäten und die Erstellung eines Plans zur Notmigration; in der Schweiz bietet sich für öffentliche Stellen hier insbesondere der Plan des Bundes für eine Swiss Government Cloud an (die auch Kantonen und Gemeinden zur Verfügung stehen soll) und Rechenzentren Schweizer Anbieter an, die es durchaus gibt. Das Vorhalten von Rechnerkapazitäten kostet freilich etwas. In unserer Methode können solche Business Continuity Massnahmen im ersten Block abgebildet werden; dort werden die organisationsspezifischen Geschäftsfortführungsrisiken beurteilt und dokumentiert. Wir haben dieses Thema in unserem Cloud Compliance und Risk Assessment "CCRA" in den Cloud-Vorhaben, in denen wir beraten haben und beraten, regelmässig beurteilen lassen (siehe Box). Hier sahen wir in der Praxis sehr viel mehr Handlungsbedarf als beim Risiko eines ausländischen Behördenzugriffs.

Zusammenfassend empfehlen wir insbesondere in der öffentlichen Verwaltung beim Einsatz von US-Cloud-Angeboten, sich mit den möglichen Auswirkungen der politischen Entwicklungen in den USA auseinanderzusetzen, diese zu bewerten und dies entsprechend zu dokumentieren. In den meisten Fällen wird dies jedenfalls für den Moment keine Änderungen der Vorgehensweise zur Folge haben, jedenfalls wenn ein "Plan B" besteht, aber die Hausaufgaben sind gemacht. Der Aufwand ist letztlich begrenzt. In der Praxis eignen sich hierzu wie schon bisher Workshops, in welchen die diversen internen Stakeholder eine gemeinsame Einschätzung der sich stellenden Fragen erarbeiten und dies festhalten. Der Entscheid, ob die Cloud-Dienste eines US-Konzerns neu oder weiterhin eingesetzt werden, liegt dabei einzig und allein beim jeweiligen Organ. Er ist insbesondere nicht von den Datenschutzbehörden zu treffen; diese werden naturgemäss immer warnen. Öffentliche Stellen, die ihre Hausaufgaben ordentlich gemacht haben und die Risiken für tragbar erachten und sie sie in guten Treuen auch akzeptieren, sollten sich davon nicht einschüchtern lassen und den Mut haben, ihre Vorhaben auch entsprechend umzusetzen.

David Rosenthal