Experten befürchten, dass US-Präsident Donald Trump Zugriff auf europäische Daten erhalten könnte, da beispielsweise viele niederländische Ministerien in der öffentlichen Cloud arbeiten.
WERBUNG
Die niederländische Regierung nutzt zunehmend Cloud-Dienste, aber nur wenige Ministerien sind sich der potenziellen Risiken bewusst, die damit verbunden sind.
Das geht aus einer kürzlich durchgeführten Prüfung des niederländischen Rechnungshofs hervor, der außerdem feststellte, dass die Dienste und Vorgänge der Regierung "zu großen Risiken ausgesetzt" sind.
"Der potenzielle Schaden, der durch eine Unterbrechung der öffentlichen Dienste entsteht, könnte das Land und die Gesellschaft stören", so die staatliche Rechnungsprüfungsbehörde.
Die niederländische Prüfung ergab, dass Google, Microsoft und Amazon Web Services die ausländischen Cloud-Dienste sind, die die Regierung am meisten nutzt.
Microsoft definiert Cloud Computing als Zugang zu Servern, Datenspeicherung und Intelligenz über das Internet.
Es gibt Befürchtungen, dass die neue Trump-Administration entweder Tech-Unternehmen dazu zwingen könnte, den USA niederländische Daten zur Verfügung zu stellen, oder sie dazu zwingen könnte, keine Cloud-Dienste mehr in Europa anzubieten, was zu massiven Unterbrechungen der öffentlichen Dienste führen würde, so Experten gegenüber Euronews Next.
Es ist nicht das erste Mal, dass diese Frage aufgeworfen wird. Die französische Datenaufsichtsbehörde wiederholte im vergangenen Jahr ihren Standpunkt, dass sensible Datenbanken "vor einer möglichen Weitergabe an Behörden in Drittländern geschützt werden sollten".
Welche Risiken bestehen derzeit in den USA?
Maaike Okano-Heijmans, Senior Research Fellow am Clingendael Institute, sagte, das erste Risiko für die niederländische Regierung bei der Nutzung öffentlicher Clouds bestehe darin, dass Daten auf Anfrage an die Trump-Administration übermittelt werden könnten.
Trump hat während seiner ersten Amtszeit den Clarifying Lawful Overseas Use of Data Act (CLOUD) in Kraft gesetzt. Er ermöglicht es den Strafverfolgungsbehörden, in den USA ansässige Technologieunternehmen aufzufordern, Daten, die auf einem beliebigen Server in der Welt gespeichert sind, anzufordern, um sie bei der Untersuchung schwerer Straftaten zu unterstützen.
Evert-Jan Mulder, Gründer des Beratungsunternehmens für digitale Transformation Red Plume, sagte, dass verschiedene Schutzmaßnahmen in anderen US-Gesetzen diese Art von Übertragungen ebenfalls ermöglichen.
"Diese Gesetze haben einen sehr weiten Geltungsbereich, es geht nicht nur um US-Bürger. Es geht um jeden Bürger", sagte Mulder. "Ob man Europäer, Amerikaner oder Chinese ist, spielt keine Rolle", fügte er hinzu.
Okano-Heijmans sagte, das Problem liege nicht bei den in den USA ansässigen Big-Tech-Firmen an sich, denn sie hielten sich an die bestehenden Gesetze, damit sie weiterhin in Europa tätig sein könnten.
"Sie sehen einen großen Wert darin, diese vertrauensvolle Beziehung aufrechtzuerhalten, aber wenn man eine Führung in den Vereinigten Staaten hat, die sich darüber hinwegsetzt, dann haben wir ein Problem", sagte sie.
Trump hat zwar nicht angegeben, ob er das CLOUD-Gesetz anwenden oder erweitern würde, um Zugang zu ausländischen Daten zu erhalten, aber eine seiner ersten Durchführungsverordnungen hat alle Sicherheitsentscheidungen aus der Ära Joe Biden innerhalb von 45 Tagen außer Kraft gesetzt.
Amerikanische Medien berichteten auch, dass die Demokraten aus dem von Biden gegründeten Privacy and Civil Liberties Oversight Board (Aufsichtsbehörde für Datenschutz und bürgerliche Freiheiten) ausgeschlossen wurden, einer Organisation, die dafür sorgte, dass der Datentransfer zwischen der EU und den USA den Datenschutzstandards entsprach.
Euronews hatte zuvor berichtet, dass "Tausende" von Unternehmen und Behörden in der EU ohne diesen Rahmen möglicherweise auf die Nutzung von Google, Microsoft oder Amazon für ihre Cloud-Dienste verzichten müssten.
Bislang sind sich Okano-Heijmans und Mulder einig, dass es sich eher um ein Risiko auf dem Papier" handelt, das aber ernst genommen werden sollte.
"Wenn die niederländische Regierung oder europäische Regierungen in der Cloud arbeiten und diese abgeschaltet wird, können wir unsere Arbeit nicht mehr machen", so Okano-Heijmans.
Wie reagiert die niederländische Regierung darauf?
Laut Mulder gehen die Sicherheitsfragen auf das Jahr 2016 zurück, als die Ministerien begannen, öffentliche Clouds von ausländischen Unternehmen mit ihren internen Richtlinien zu übernehmen.
Das änderte sich 2022, als die Regierung den Ministerien mitteilte, dass sie Public Clouds nur dann nutzen könnten, wenn sie über angemessene Datenschutzprotokolle verfügten, fuhr er fort.
Laut der niederländischen Zeitung de Volkskrant stoppte die niederländische Regierung im Dezember vorübergehend eine geplante Cloud-Migration, weil sie Bedenken wegen der Abhängigkeit von amerikanischen Unternehmen hatte.
Die niederländische Regierung räumte in ihrer Antwort auf eine parlamentarische Anfrage zur Nutzung von Google Analytics ein, dass der US CLOUD Act es der amerikanischen Regierung erlaubt, Daten von in den USA ansässigen Unternehmen anzufordern.
Sie erklärte jedoch, dass die Daten von der staatlichen Beschäftigungsseite anonymisiert seien und nicht in den Anwendungsbereich des US-Gesetzes fielen.
In der Antwort wird darauf hingewiesen, dass die Regierung "statistische Einrichtungen" entwickelt, um die Abhängigkeit von externen Anbietern für das Datenhosting zu verringern, dass dies jedoch "erhebliche Investitionen in Zeit, Geld und Fachwissen" erfordert.
Mulder sagte, die Regierung entwickle auch eine neue nationale digitale Strategie, die einige der Sicherheitsprobleme mit öffentlichen Cloud-Diensten aus dem Ausland angehen könnte.
Die jüngste niederländische Prüfung besagt, dass ein ausländischer Sicherheitsdienst, der Daten anfordert, "eines der Hauptrisiken für die digitale Souveränität" darstellt, während eine Analyse des US-amerikanischen CLOUD-Gesetzes ergab, dass solche Informationen "selten angefordert werden".
Euronews Next hat die niederländische Regierung um ein Update zu diesen Maßnahmen gebeten, aber zunächst keine Antwort erhalten.
"Es gibt keine andere Option als Microsoft"
Okano-Heijmans sagte, dass es zwar niederländische oder europäische Cloud-Dienste gebe, die als Alternativen in Frage kämen, aber keiner von ihnen biete ein "All-in-One-Paket" wie die amerikanischen Unternehmen.
Das Beratungsunternehmen KPMG stellte in einer Studie für die niederländische Regierung fest, dass die acht untersuchten europäischen Cloud-Anbieter im Vergleich zu den US-amerikanischen Cloud-Anbietern nur eine begrenzte Bandbreite an Dienstleistungen anbieten.
In dem Bericht wird empfohlen, eine Kombination aus mehreren europäischen und niederländischen Anbietern für Cloud-Dienste zu wählen.
"Wir haben im Grunde eine staatliche Beschaffung, die oft sagt, dass es keine andere Option als Microsoft gibt", sagte Okano-Heijmans.
Okano-Heijmans stimmte zu, dass die Regierung die Beschaffungsregeln ändern müsse, damit "wir nicht alles in einen Korb legen" und stattdessen die Dienste "diversifiziert" werden.