Swiss IT Magazine: Herr Caceda, wie sicher sind Daten in Schweizer Rechenzentren im internationalen Vergleich tatsächlich? Man hört immer wieder das Argument, dass der Standort eigentlich gar nicht so wichtig ist.
Alexis Caceda: Meiner Meinung nach verfügt die Schweiz über einige Standortvorteile. Die Infrastruktur und die Dienstleistungen befinden sich auf einem sehr hohen Qualitätsniveau. Dies auch, weil wir uns trotz Fachkräftemangel nach wie vor auf sehr gut ausgebildete Mitarbeitende verlassen können. Mit der politisch stabilen Lage, der verlässlichen Rechtsprechung und einem zuverlässigen Stromnetz bietet die Schweiz Rahmenbedingungen, die anderswo nicht auf diesem Niveau vorhanden sind.
Rein technisch betrachtet, spielt der Standort eine untergeordnete Rolle. Können die notwendigen Infrastrukturen zur Verfügung gestellt werden, kann man überall ein Rechenzentrum bauen. Für Kunden, denen Sicherheit, Verfügbarkeit und Datenschutz wichtig sind, ist der Standort des Rechenzentrums aber essentiell. Liegen die Daten im Ausland, sind sie vor dem Zugriff ausländischer Behörden nur unzureichend geschützt. Denn der Standort des Servers legt fest, welche Rechtsordnung gilt. Die jeweiligen Bestimmungen und vor allem die Zugriffs- und Auskunftsrechte unterscheiden sich zum Teil gravierend vom Schweizer Recht.
Bleibt das auch in Zukunft noch so, also wenn die Revision des Bundesgesetzes betreffend der Überwachung des Post- und Fernmeldeverkehrs (BÜPF) erfolgt ist?
Ja und nein. Es gibt in der Schweiz heute schon rechtliche Möglichkeiten, Überwachungen anzuordnen. Das BÜPF erweitert diese Möglichkeiten. Im Vergleich zu anderen Ländern muss aber ein dringender Tatverdacht bestehen und alle anderen Untersuchungshandlungen müssen erfolglos gewesen sein, bevor das BÜPF zur Anwendung kommt. Das BÜPF hat aber eine unschöne Nebenwirkung. Da die Provider die Kosten für die notwendige Infrastruktur und angeforderte Überwachungen selbst tragen müssen, könnten sie gezwungen sein, diese auf die Kunden abzuwälzen. Überspitzt formuliert: Wir zahlen für unsere eigene Überwachung. Mit Blick auf diese rechtliche Entwicklung kann man wohl sagen, dass die Datenintegrität in der Schweiz hoch bleibt. Technische Sicherheitslösungen können aber nicht vor behördlichen Eingriffsermächtigungen schützen.
Was müssen Kunden punkto Datensicherheit beachten und unternehmen, wenn sie ihre IT oder wichtige Teile davon in ein Rechenzentrum auslagern?
Wenn sich Unternehmen überlegen, Daten sowie Soft- und Hardware auszulagern, sollten sie sich bei der Evaluation nicht nur auf die Vor- und Nachteile einer externen Lösung konzentrieren. Man muss auch die Eigenschaften klassischer, interner Lösungen mit einbeziehen. Während zum Beispiel der Datenaustausch in einer Cloud-Lösung auf eine klar definierte Plattform beschränkt werden kann, können intern gespeicherte Dokumente oftmals unkontrolliert per E-Mail verschickt werden. Eine potentielle Sicherheitslücke, die viele oft ausblenden.
Bei der Auswahl des Dienstleisters sollte man darauf achten, dass dieser punkto Grösse, Fachwissen und Service zu einem passt. Wobei Grösse nicht zwangsläufig ein Qualitätsmerkmal sein muss. Ein langjähriger Leistungsausweis ist wichtiger. Denn mit der Gewährleistung eines professionellen Betriebs erhöht sich die Sicherheit und die Gefahr von Service-Stopps wird reduziert.
Trotz allem kann es zu einem Datenverlust oder Datenklau kommen, eine 100-prozentige Sicherheit gibt es bekanntlich nicht. Wie ist die Haftung in diesem Fall geklärt? Wer steht dafür gerade?
Die technischen Sicherungsmöglichkeiten sind heute bereits sehr fortgeschritten. Man könnte zwar noch mehr machen, zurzeit ist vieles aber noch nicht kosteneffizient beziehungsweise benutzerfreundlich umsetzbar. Dass es die absolute Sicherheit nicht gibt, haben die letzten Monate gezeigt.
Die Haftungsfrage kann nicht so einfach pauschal beantwortet werden. Als Unternehmen sind wir prinzipiell für Fehlverhalten unsererseits, die zu Schäden führen, haftbar. Und teilweise auch dann, wenn von uns beauftragte Dritte nicht korrekt gearbeitet haben. Im Falle von Datenverlust oder Datenklau kommt es zusätzlich noch auf die Umstände an. Liegen die Ursachen ausserhalb unseres Einflussbereiches, können nur die Drittpersonen, die bewusst oder unbewusst den Schaden verursacht haben, zur Rechenschaft gezogen werden. Und die sind leider nicht immer zu ermitteln.
(mv)