Autor – Hartwig Laute, Geschäftsführer Recommind
Immer mehr Unternehmensdaten wandern in die Cloud und über kurz oder lang wird sich ein Großteil deutscher Unternehmensdaten in der Cloud befinden. Auch der hochsensible Bereich der E-Discovery geht diese Entwicklung mit, denn für Anbieter erschließen sich zum einen neue Geschäftsfelder, zum anderen passen sie auch selbst ihre Services diesem Trend an und bieten – neben der klassischen Vor-Ort-Installation – mit OnDemand- und SaaS-Varianten zusätzliche Cloud-Lösungen an.
Doch gerade beim Einsatz von E-Discovery-Lösungen spielen Datenschutz und -sicherheit längst nicht überall die Rolle, die ihnen zustehen sollte, denn der Erwerb komplexer Analysesoftware ist teuer – nicht nur in der Anschaffung, sondern auch hinsichtlich Implementierung, Betrieb, Wartung und Update. Für Großkonzerne und bestimmte Branchen, die ständig Untersuchungen durchführen müssen, ist das kein Problem. Für alle anderen jedoch, die lediglich turnusmäßig Revisionen, Audits oder Compliance-Checks durchführen, lohnt sich eine solche Investition nicht.
Private Cloud verspricht hohe Sicherheit – theoretisch
Doch wer sich aus finanziellen oder anderen Gründen entscheidet, mit oder in der Cloud zu arbeiten, muss nicht zwangsläufig den Wermutstropfen der mangelnden Datensicherheit hinnehmen. Wenn man sich die beiden technischen Ansätze ansieht, die unter dem Begriff Cloud subsumiert werden, dann stellt sich heraus, dass sich die Situation durch die zwei vorangestellten Wörter „private“ oder „public“ deutlich entspannt. Handelt es sich um Lösungen in der Public Cloud, sprechen wir tatsächlich über Anbieter wie Dropbox, OneDrive & Co., die Daten auf meist räumlich weit entfernten Rechnersystemen speichern. Die Daten lassen sich von jedem ans Internet angeschlossenen Gerät abrufen und die Sicherheitsrichtlinien entsprechen oft nicht dem zumindest hierzulande gewünschten Standard.
Private Clouds hingegen stellen exklusiv aufbereitete Umgebungen zur Verfügung, bei denen die Daten mittels VPN (Virtual Private Network) oder dedizierten Standleitungen übertragen werden, um somit einen hohen Sicherheitsgrad gewährleisten zu können. Unternehmen setzen daher bei der tiefgreifenden Analyse von kritischen Geschäftsinformationen wie Kommunikationsdaten im Rahmen juristischer Auseinandersetzungen, interner Audits, Revisionen oder Compliance-Überprüfungen mit der Zielsetzung, mögliche Straftaten aufzuklären, auf die Private Cloud. Global agierende, große Softwareanbieter haben eine Private Cloud-Variante jedoch gar nicht erst im Angebot.
Doch auch wenn Lösungsanbieter die Analyseumgebung für ihre Kunden hochgesichert in eigenen Rechenzentren vorhalten und jede Untersuchung gekapselt in einer von allen anderen abgeschirmten Instanz läuft, stellt dies keine wirkliche Sicherheit im Sinne der europäischen und deutschen Datenschutzgesetze dar. In diesem Fall hilft auch der Zugriff mittels verschlüsselter Datenleitungen wenig. Den wer einen genaueren Blick auf den Standort von Private Clouds wagt, erlebt oftmals folgendes Szenario: Die sensiblen Daten werden von hochspezialisierten Forensikern im Unternehmen eingesammelt, auf mobile Festplatten überspielt und mit einem Spezialkurier in das Servicecenter des Software-Providers gebracht. Anschließend werden die gesamten Daten dann ins außereuropäische Ausland überspielt. Zu diesem eklatanten Bruch in der Datenschutzkette kommt es, weil die meisten Lösungsanbieter aus den USA stammen und dort auch ihre Rechenzentren betreiben.
Daten sollten europäischen Raum nicht verlassen
Die Wirksamkeit von Safe-Harbour-Zertifizierungen in den USA, mit denen sich dort ansässige Unternehmen in einer Selbstverpflichtung seit 2000 einem ähnlich strengen Datenschutz wie in der EU unterwerfen können, wird von den hiesigen Datenschutzbehörden nicht erst seit der NSA-Affäre offen in Frage gestellt. Bereits 2010 hat der „Düsseldorfer Kreis“, das Gremium in der Konferenz der Datenschutzbeauftragten von Bund und Ländern, erklärt, dass sich Datenexporteure nicht auf die Safe-Harbour-Zertifizierung von US-amerikanischen Unternehmen verlassen dürfen. Durch den US Patriot Act gerät das Abkommen immer mehr in die Kritik und im März dieses Jahres hat das Europaparlament mit deutlicher Mehrheit für eine Aussetzung des Abkommens gestimmt.
Experten raten daher dazu, deutsche oder europäische Anbieter zu wählen, die garantieren, dass die bei ihnen gespeicherten Daten den deutschen oder europäischen Raum nicht verlassen dürfen und möglichst zugriffsgeschützt sind. So hat auch der deutsche E-Discovery-Spezialist Recommind, der auch international zu den führenden Anbietern von Analysesoftware gehört, von Anfang an auf ein deutsches Rechenzentrum gesetzt. Dort befinden sich die Daten innerhalb einer geschützten Umgebung und sind zu 100 Prozent vor unerlaubtem Zugriff sicher. Zudem werden sie auf der Grundlage der hiesigen Gesetze verarbeitet.
Analyse von Informationen – datenschutzkonform aus der Public Cloud
Ein weiterer Aspekt von E-Discovery in der Cloud, der leicht zu einer Fehleinschätzung des Sicherheitsstandards von potenziellen Softwareanbietern führt, ist die verstärkte Anbindung von Public Clouds an die Analysesoftware. Denn in großen Untersuchungen mit Millionen von relevanten Dokumenten ist das Erheben der Daten ein erheblicher Kostenfaktor, der durch automatisiertes Einlesen erheblich effizienter gestaltet werden kann. Deswegen bieten E-Discovery-Lösungen Schnittstellen zu unzähligen Unternehmensanwendungen und beschleunigen damit den Prozess deutlich. Inzwischen werden – meist außerhalb des europäischen Wirtschaftsraums – zunehmend Unternehmensdaten, die für Gerichtsverfahren oder interne Untersuchungen von Bedeutung sein können, in den kostengünstigen Internetspeichern von Google, Amazon, Microsoft und Co. abgelegt.
Folglich werden von den Anbietern auch entsprechende Konnektoren zu diesen Speicherformen angeboten. Über Schnittstellen zu diversen Internet-basierten Cloud-Diensten wie Box werden die Informationen beispielsweise von der Recommind-Software gezielt, aber auch datenschutzkonform eingesammelt. Damit werden sie von einer unsicheren in eine hoch abgesicherte Umgebung übertragen. Ob diese Konnektoren in deutschen und europäischen Untersuchungen jemals ein Kriterium für die Auswahl des E-Discovery-Anbieters sein werden, lässt sich derzeit nicht absehen. Eine deutliche Anhebung der Sicherheitsstandards der Public Cloud-Provider wäre zunächst vonnöten, damit für hiesige Unternehmen ein solcher Speicherort überhaupt in Frage kommt. Solange das nicht der Fall ist, verbieten die internen Security Policies nahezu überall die Nutzung dieser Dienste.
Fazit
Zusammenfassend lässt sich sagen, dass „E-Discovery in der Cloud“ eindeutig mehr Chancen als Risiken birgt, wenn ein paar wenige, grundlegende Punkte beachtet werden. Zunächst sollte die Entscheidung auf einen europäischen Lösungsanbieter fallen, mit dem Verträge nach deutschem Recht geschlossen werden. Dessen Rechenzentrum sollte sich in Europa befinden, zertifiziert sein und der Anbieter sollte garantieren können, dass die überlassenen Daten das Land nicht verlassen. Eine Vereinbarung zur Auftragsdatenverarbeitung rundet das Paket ab. Wenn diese Rahmenbedingungen gewährleistet sind, ist der Einsatz von E-Discovery-Lösungen in der Cloud in einem Großteil aller Szenarien eine vernünftige Entscheidung.
www.recommind.de
Hartwig Laute, Geschäftsführer Recommind. Einem der weltweit führenden Anbieter von E-Discovery-Lösungen, E-Mail-Management-Systemen und intelligenter Suchmaschinentechnologie. Behörden, Großkanzleien, Medien- und Pharmaunternehmen, Automobilkonzerne, Versicherungsgesellschaften und Forschungsinstitute setzen Produkte von Recommind ein. Recomminds E-Discovery-Lösungen werden besonders in kartellrechtlichen Untersuchungen sowie internen Revisionen und Analysen genutzt.
