Microsoft und der CLOUD Act

Okt 12, 2020
Raphael Scherrer

Aussagen wie, «meine Daten sind in der Microsoft Cloud nicht sicher» oder «Microsoft untersteht ja dem CLOUD Act», hören wir oft. Grund genug, diesen Aussagen einmal auf den Grund zu gehen.

Was ist der CLOUD Act überhaupt?

Per Definition ist der CLOUD Act (engl. Clarifying Lawful Overseas Use of Data Act) ein amerikanisches Gesetz, welches amerikanischen Internet-Firmen und IT-Dienstleister oder US-Behörden den Zugriff auf gespeicherte Daten auch dann auf rechtlichem Weg ermöglicht, wenn die Speicherung nicht in den USA erfolgt.  Das betrifft natürlich u.a. die Microsoft Corporation als amerikanisches Unternehmen direkt. Dasselbe gilt auch für die konkurrierenden Hyperscaler Amazon oder Google. Der CLOUD Act sollte in jedem Fall sachlich analysiert werden und beispielsweise Cloud-Projekte in Microsoft Azure nicht verhindern. Im Übrigen unterliegt die Microsoft Schweiz GmbH zu 100 % der Schweizer Rechtsprechung.

Microsoft und der CLOUD Act

CLOUD Act schreckt vor grossen Cloud-Projekten ab? Nein, grosse Schweizer Unternehmen machen es vor. Die Mobiliar, SwissRe, UBS, Helsana, Clarunis Spital, Kinderspital Zürich, Kantonsspital Baden und viele Kunden der ProCloud zeigen grosses Vertrauen in den Hyperscaler Microsoft, trotz dem CLOUD Act. Um es deutlicher zu machen, hier noch ein Auszug an sensitiven Daten, welche bereits jetzt in den Schweizer Datacenter von Microsoft liegen:

  • AHV-Daten
  • Renten- und Lohndetails der Ausgleichskassen
  • Gesundheitsdaten von Versicherungen
  • Kundendaten von mehreren Schweizer Banken

Das erscheint Vertrauenserweckend aber dennoch reissen die Diskussionen rund um den CLOUD Act nicht ab. Die Thematik ist komplex. Es gibt hierzu einen wunderbaren Artikel eines renommierten Schweizer Anwaltes, David Rosenthal von der VISCHER AG, welcher sich genau dieser Thematik annimmt und erläutert wieso der US Cloud-Act Cloud-Projekte nicht verhindern sollte. Wer es also genau wissen will, sollte sich diesen Artikel nicht entgehen lassen. Er ist in jeder Hinsicht aufklärend und kommt mit einer Excel Vorlage, um das Risiko quantifizieren zu können.

Sehen Sie dazu auch unser Interview mit Marc Holitscher, National Technology Officer Microsoft Schweiz, welcher zur Thematik rund um den CLOUD Act Stellung nimmt.

 

Wird der CLOUD Act schon jetzt durchgesetzt?

Seitens Microsoft gibt es den „Digital Trust Report“. Dieser liefert u.a. klare Zahlen bezüglich dem CLOUD Act und in welchem Ausmass dieser im Ausland durchgesetzt wird: “In the first half of 2019, Microsoft received 4,860 legal demands for consumer data from law enforcement in the United States. Of those, 126 warrants sought content data which was stored outside of the United States. In the same time frame, Microsoft received 43 legal demands from law enforcement in the United States for commercial enterprise customers who purchased more than 50 seats. Of those demands, 1 warrant resulted in disclosure of content data related to a non-US enterprise customer whose data was stored outside of the United States.

Microsoft Cloud und Cyber-Security

Das offensichtlich grössere Risiko zeigt die aktuelle Cyber-Security Lage. Eine rechtlich begründete Anfrage bezüglich Datenauslieferung ist das Eine – das ist übrigens auch ohne CLOUD Act Gebrauch, auch international – ein Datenleak aufgrund von Cyber-Risiken und Daten in den Händen von Cyber-Kriminellen das Andere. Cyber-Attacken haben enorm zugenommen. Grund genug also, dass auch Microsoft hier nach wie vor viel in Cyber-Security investiert. Die folgenden Zahlen und Fakten belegen die Bemühungen von Microsoft, diesbezüglich Exzellenz zu demonstrieren und an der Spitze zu bleiben:

Marc Holitscher, National Technology Officer bei der Microsoft Schweiz, bringts in unserem Interview auf den Punkt:

«Wir haben im Windschatten von Corona und der doch deutlichen Beschleunigung der Cloud-Adoption auch eine Zunahme von Cyber-Attacken gesehen. Es ist aber so, dass die Cloud genau davon profitiert, dass sie weltweit auf einen schier unendlichen Fundus von Signalen zurückgreifen, diese verdichten und dann weltweit allen Kunden zur Verfügung stellen kann. Dies hat dazu geführt, dass die Cloud-Plattformen diese Feuertaufe von Krisen und veränderter Bedrohungslage extrem gut gemeistert haben. Ich würde sagen, wir sind heute ganz klar an dem Punkt, an welchem sich die Unternehmen für die Cloud entscheiden, weil Sie davon ausgehen, dass der Datenschutz oder eben die Datensicherheit höher ist, als wenn Sie es in der eigenen Infrastruktur umsetzen würden.»

Angebote der ProCloud

Die ProCloud AG positioniert sich als Multi-Cloud-Provider mit eigener Infrastruktur in zwei Datacenter in der Schweiz. Als reines Schweizer Unternehmen und mit eigener Infrastruktur sind wir eine passende Wahl für Unternehmen, die sich noch nicht ganz wohl fühlen mit dem CLOUD Act. Daneben sind wir Microsoft Partner of the Year, Microsoft Gold Partner und durften als erste die Microsoft Datacenter Schweiz nutzen – noch vor der offiziellen Eröffnung. Wir sind gut informiert über die Datenschutzsituation und beraten Sie gerne. Ebenso Verfügen wir über das Knowhow der Praktiken zur Verschlüsselung der Daten, beispielsweise in Azure oder Microsoft 365, um beispielsweise auch Patientendaten in der Microsoft Cloud betreiben zu dürfen. Im Übrigen sind wir ISO-27001-zertifiziert – schauen Sie sich unser Zertifikat an.

Bezüglich Cyber-Security bieten wir mit unserem Enterprise Cyber Defense Center eine High-End Lösung im Cyber-Security Bereich. Mit dem enthaltenen 24/7 proaktivem Security Operation Center erkennen wir Anomalien und eskalieren diese jederzeit.

Wir würden uns freuen, wenn wir Sie beraten dürften. Buchen Sie jetzt Ihre kostenlose Online Beratung.