Anfang Woche hatten deutsche Medien publik gemacht, dass SAP US-Geheimdienste mit Systemen zur Untersuchung grosser Datenmengen beliefert. Diese basieren grösstenteils auf der In-Memory-Datenbank HANA. Als Lieferant unterwirft sich der deutsche ERP-Riese dabei auch den Regeln der Geheimdienstkunden. Kritiker finden, dass sich SAP dadurch der Mittäterschaft bei der Ausspionierung des Internets durch US-Geheimdienste schuldig macht.

Aufgrund dieser Nachricht kamen auch sofort Spekulationen auf, ob die US-Geheimdienste aufgrund dieser Zusammenarbeit möglicherweise auch direkt auf Daten von anderen SAP-Kunden zugreifen könnten, vor allem, wenn diese in einer Cloud gelagert sind. Der Sprung von "SAP beliefert NSA" zu "Lässt SAP NSA auch an Kundendaten ran?" ist zwar ziemlich weit. Der Vorsitzende der deutschsprachigen SAP-Anwendergruppe DSAG, Marco Lenck, findet Fragen in dieser Richtung aber trotzdem nicht unangebracht, wie er heute in einem Statement erklärt: "Die aktuelle Diskussion der Geschäftsbeziehungen zwischen SAP und dem amerikanischen Geheimdienst ist im Zusammenhang mit der Frage zur Sicherheit von Geschäftsdaten in der Cloud zu betrachten. Natürlich soll SAP ihre Produkte, darunter auch die HANA-Datenbank, an nahezu jedes Unternehmen dieser Welt verkaufen, auch an die NSA. Hier schliesst sich jedoch die berechtigte Frage der SAP-Anwender an: Wirkt sich diese Kooperation auch auf meine Kundendaten in einer SAP-Cloud aus?"

Lenck sieht dies nicht nur als Problem von SAP sondern von Cloud-Providern generell: "Der derzeit bestehende Schutz von Know-how und geistigem Eigentum gibt Unternehmern nicht die volle Garantie und das Vertrauen, um Cloud-Lösungen, egal von welchem Anbieter, kompromisslos mitzutragen. Für die Sicherheit ausgelagerter Daten schafft der Gesetzgeber die Voraussetzungen und tragen sowohl der Provider als auch die Unternehmen die Verantwortung. Der gesetzliche Datenschutz muss konsequenter werden, um Firmen effektive Sicherheit zu geben. Aufgabe von Anbietern wie SAP ist es, Dienste nachvollziehbar darzustellen und Klarheit darüber zu schaffen, ob die nötigen Sicherheitsanforderungen erfüllt werden können und wo die Daten liegen. Sobald ich als Unternehmer meine Daten in einer Cloud ablege, verliere ich ein Stückweit die Kontrolle darüber." (hjm)