Titelbild-SAP-Leonardo-Hongkong

16.02.2018 – Lesezeit: 4 Minuten

Prozesse / Technologie

SAP: Datensicherheit in der Cloud – auch in China und Indien

China und Russland sind sehr wichtige Märkte für SAP. Großkunden haben aber Besorgnis über die Datensicherheit von SAP-Anwendungen aus der Cloud in diesen Ländern geäußert. Die hat Vorstandschef Bill McDermott jetzt zu zerstreuen versucht.

15 Prozent des weltweiten Umsatzes macht SAP im Asien-Pazifik-Raum, einschließlich Japan. Auf das Land der aufgehenden Sonne entfielen 2016 rund 24 Prozent davon, der Rest zumeist auf Australien, China und Indien. Das zeigt, welch große Bedeutung die beiden asiatischen Milliardenreiche für den deutschen Softwarehersteller haben. Indiens Bevölkerungszahl hat sich seit Ende der 1970er Jahre auf 1,339 Milliarden glatt verdoppelt und fast Gleichstand mit der Volksrepublik China (1,373 Milliarden) erreicht. In den GUS-Staaten mit Russland im Zentrum kam SAP 2013 auch auf einen nicht unerheblichen Umsatz von 445 Millionen Euro.

Drohanrufe der chinesischen Internetaufsicht

Unternehmen in China sollen gezwungen werden, sämtliche Kundendaten zu speichern. (Quelle: iStock/SaidMammad)

Nach einem Bericht der WirtschaftsWoche von Ende Mai 2017 haben zahlreiche deutsche und europäische Unternehmen, die in China aktiv sind, Drohanrufe von der chinesischen Internetaufsicht CAC (Cyberspace Administration) erhalten. Denn ein neues Gesetz mit Wirkung ab 1. Juni sollte die Unternehmen zwingen, sämtliche Daten von Kunden und Mitarbeitern in der Volksrepublik China zu speichern. Viele Unternehmen hätten das aber bisher vermieden, um die teils sehr sensiblen Daten vor dem Zugriff durch Behörden oder die Konkurrenz zu schützen.

Ein IT-Manager von Trumpf wurde in dem Magazin mit den Worten zitiert, dass das die größte Herausforderung für den Maschinenbauer in China sei und niemand wissen könne, was das Gesetz für den Standort im Reich der Mitte bedeute. Clas Neumann, der SAP-Labs im indischen Bangalore aufgebaut hatte und heute die SAP-Labs weltweit leitet, sprach die Hoffnung aus, dass Beijing noch einlenken werde. Tatsächlich wurden einigen Unternehmen ihm zufolge bei einem Treffen in der chinesischen Hauptstadt eine Übergangsfrist von 18 Monaten eingeräumt. Eine offizielle Übergangsfrist gab es aber nicht.

McDermotts Versprechen und was es wert ist

Vor diesem Hintergrund wundert nicht, dass SAP-Vorstandschef Bill McDermott laut einem Bericht der WirtschaftsWoche von Anfang September 2017 besorgten Großkunden, die SAP-Internetanwendungen aus der Cloud beziehen, die Datensicherheit auch in Ländern wie China und Russland garantierte. Auch in Russland gilt die Vorschrift, dass die Cloud-Daten vor Ort gespeichert werden müssen. „Es gibt keinerlei Hintertüren in SAP-Software. Wer unsere Technologie nutzt, kann sicher sein, dass ausschließlich er selbst Zugriff auf die Daten hat. Die Daten gehören nicht uns, sondern unseren Kunden. Dafür stehen wir als SAP. Auch in China“, so McDermott der WirtschaftsWoche gegenüber.

Wie die neue CAC-Direktive zeigt, gelten in China aber ganz andere Spielregeln. Viele große IT-Unternehmen und Internetanbieter sind schon vor den Behörden in der Volksrepublik eingeknickt. Suchmaschinenbetreiber wie Yahoo und MSN sahen sich früh der Kritik ausgesetzt, China zu willfährig beim Aufbau der „Großen Firewall“ (Fánghuŏ Chángchéng) behilflich gewesen zu sein. 2010 hatte dann Google angekündigt, das Chinageschäft zu überdenken und die Schließung von google.cn erwogen. Schließlich wurde die Lizenz verlängert, es findet sich aber auf der chinesischen Google-Seite der klare Hinweis auf google.com.hk (Hongkong).

Apple hat im August 2017 die meisten Anti-Zensur-Programme aus dem App-Store gelöscht, weil sie „gegen neue chinesische Gesetze verstoßen“. Anbieter, die sich offiziell in China registriert haben, sind aber weiter verfügbar, hieß es in einer kurzen Stellungnahme, wie die Südwest Presse berichtete.

Wie sicher ist das Hosting in Deutschland?

Die USA gilt nicht mehr als sicherer Hafen. (Quelle: iStock/adventtr)

Allerdings muss man gar nicht so weit nach Fernost blicken. Der USA PATRIOT Act, der als Reaktion auf die Terroranschläge vom 11. September 2001 verabschiedet wurde, ist nicht nur auf US-Territorium beschränkt. Das (ausgeschrieben und wörtlich übersetzt) „Gesetz zur Einigung und Stärkung Amerikas durch Bereitstellung geeigneter Instrumente, um Terrorismus aufzuhalten und zu blockieren“ erlaubt Behörden wie FBI, NSA und CIA ohne richterliche Verfügung auch den Zugriff auf die Server von amerikanischen Tochterfirmen im Ausland.

Im Umkehrschluss verstoßen EU-Unternehmen, die personenbezogene Daten auf Servern von US-Töchtern speichern und verarbeiten lassen, gegen europäische und nationale Gesetze.

Anfang Oktober 2015 hat der Europäische Gerichtshof (EuGH) laut Computerwoche beschlossen, dass die „Safe Harbor“-Entscheidung der EU-Kommission zur Übermittlung von personenbezogenen Daten in die USA von Juli 2000 ungültig ist. Demnach sah das EuGH in der besagten Entscheidung keine hinreichenden Sicherheitsgarantien im Sinne der EU-Datenschutzrichtlinie – was heißt, dass die USA nicht mehr als sicherer Hafen gelten.

Zugriffssichere Managed Sevices mit All for One Steeb

Daher hat Microsoft das Hosting der deutschen Cloud 2016 für Cloud-Dienste wie Azure, Office 365 und CRM online in die Hände der Telekom-Tochter T-Systems als Datentreuhänder gelegt. Der Treuhänder verwaltet die Daten der Kunden und wacht darüber, dass sämtliche Zugänge zu den Kundendaten vor fremden Zugriff abgesichert werden – auch gegenüber Microsoft, womit schließlich auch Zugriffsversuche durch die Behörden der USA oder eines anderen Staates verhindert werden. Voraussetzung ist, dass die Daten nur in Deutschland verbleiben und nicht im Ausland gespiegelt werden.

Der amerikanische Versandriese Amazon hat für seine Amazon Web Services (AWS) 2014 schon ein Rechenzentrum in Frankfurt am Main bezogen. Google ist wegen Bedenken der Kunden im September 2017 gerade erst nachgezogen und baut die neue „Cloud-Region“ ebenfalls in einem Frankfurter Rechenzentrum auf.

Auch mittelständische IT-Häuser wie die All for One Steeb AG, die sowohl SAP- als auch Microsoft-Partner ist, bieten Managed Services mit Orchestrierung über eine Hybrid und Multi Cloud an und garantieren den Kunden das zugriffssichere Hosting in Deutschland. Für den Aufbau einer Hybrid Cloud hält All for One Steeb die Infrastruktur und das nötige Prozess-Knowhow bereit, eine in den eigenen deutschen Rechenzentren gehostete Private Cloud mit den Angeboten großer Public-Cloud-Anbieter wie Microsoft Azure und AWS zu verbinden. Das Systemhaus wacht dabei auch über den Verbleib der Daten in Deutschland und sorgt dafür, dass nur die Kunden Zugriffsrechte haben.

 

Quelle Titelbild: 2018 SAP SE