Die Leute bringen René Wienholtz ihre Fotoalben und Urlaubsvideos. Sie vertrauen ihm Liebesbriefe an, Kündigungsschreiben und CD-Sammlungen. Auch Firmen lagern Auftragsbücher und Rechenberichte bei ihm. All die Informationen kommen aber nicht gestapelt in Aktenordnern oder gebrannt auf CDs, sondern über Glasfaserkabel und Kupfernetze zu Wienholtz’ Unternehmen Strato. Auf die Wolke. So nennt man das, wenn Daten irgendwo im Internet gespeichert werden.

Die Wolke liegt hinter Altpapiercontainern. Wienholtz ist aus seinem metallicgrauen BMW-Sportwagen gestiegen, hat sich die Hände in die Hosentaschen gesteckt und erklärt noch einmal, mit welchen Strategien sich die digitalen Schätze all dieser Menschen schützen lassen. Man könne einen Sicherheitstrakt errichten. Man könne Männer mit Gewehren an die Eingänge stellen. Massive security nennt das Wienholtz, 35 Jahre alt, ein feiner Bartstreifen umrahmt sein Kinn. Man könne die Computertürme auch in einem Stahlbetonbunker versenken. "Oder man macht es wie wir", sagt Wienholtz. "Man packt das Rechenzentrum irgendwohin, wo es nicht auffällt. Man bindet es in urbane Strukturen ein." Zwischen dem Bartstreifen formt sich ein Lächeln. Wienholtz, der Technikvorstand, schaut wie einer, der sich etwas sehr Kluges ausgedacht hat.

Derzeit gibt es in der IT-Branche kaum ein öfter benutztes Hype-Wort als Cloud-Computing. Das US-Analystenhaus Gartner schätzt die Erlöse solcher Services im Jahr 2009 weltweit auf mehr als 56 Milliarden Dollar, das wäre ein Wachstum von gut 21Prozent. Firmen oder Privatleute können ein Konto bei Unternehmen wie Strato eröffnen, die Masterpläne und Musiksammlungen für sie aufbewahren. Man muss die Bekannten dann nicht unbedingt nach Hause vor den PC einladen, um ein Urlaubsfilmchen anzusehen. Man kann es sich per Funk von der Wolke auf den Laptop holen oder auf das Smartphone. Auch Konzerne wie Google, Amazon, Apple und Microsoft mischen längst in dem Geschäft mit. Google bietet neben einem großen Gratis-Mailspeicher auch Onlinefestplatten – wie Strato. Die Berliner zählen derzeit 1,4 Millionen Kundenverträge, Amazon und Google ein Vielfaches davon. In der Wolke sammeln sich riesige Datenschätze. Aber wo genau lagern sie? Und wer passt darauf auf?

Wienholtz geht nach drinnen, zu den Strato-Speichern, vorbei an Typen mit Jeans und T-Shirts, auf denen die Namen von Fantasiefirmen stehen. Tarnungswitzchen. Wienholtz holt einen Bund Schlüssel aus einem verschlossenen Schränkchen. Er läuft durch breite Fabriktüren, vorbei an geweißelten Backsteinwänden. Das Dröhnen wird lauter. Vor zwei Eimern mit krankenhausblauen Schuhüberzügen bleibt er stehen. Es darf gleich kein Staub auf den Hallenboden gelangen, sonst schlagen die Laserscanner irgendwann wegen einer Wollmaus Alarm. Am Ende ginge noch die Stickstofflöschanlage an. Wienholtz öffnet die letzte Tür. Wie Cyber-Aktenschränke reihen sich Türme aus Rechnerfestplatten aneinander. Winzige Punkte darauf blinken neongrün und blau. In ihrem Zentrum klingt die Wolke wie ein Düsenjet kurz vorm Abheben.

Welche Macht solche Menschen wie Wienholtz haben, welche Verantwortung sie tragen, zeigt sich besonders in den Momenten, in denen die Informationen auf der Cloud plötzlich nicht mehr zugänglich sind oder sich gar in einer Art Datenregen aufgelöst haben. Mehrere Stunden waren Mail-Accounts von Google im vergangenen September nicht zu erreichen. Der spektakulärste Fall: Für einige T-Mobile-Kunden in den USA, die das Sidekick-Smartphone nutzten, sah es im Oktober 2009 zeitweise so aus, als seien ihre Kalendereinträge, Telefonnummern und Fotos für immer verschwunden. Der Wolken-GAU.

Bei Strato schützt Wienholtz die Daten schon dadurch, dass er Besucher des Rechenzentrums eine Geheimhaltungserklärung unterschreiben lässt. Kein Wort über den Standort. Andernfalls 5000 Euro Vertragsstrafe. Das Strato-Zentrum erstreckt sich auf einer Fläche von 4000 Quadratmetern. Die größten Microsoft-Hallen in San Antonio und Quincy sind mehr als zehnmal so groß. Von außen wirken sie wie Fabriken, nicht wie Wissenssammlungen der Computermoderne. Sie physisch vor bewaffneten Räubern oder Stromausfällen zu schützen ist das eine. Bei Strato stehen deshalb nicht nur sechs Trafos mit fassgroßen braunen Spulen, die megawattweise Strom durch die Hallen pumpen, sondern auch Dieselgeneratoren, aus denen sich silbrige Schlotrohre winden. Die Generatoren könnten ein Kreuzfahrtschiff antreiben. Hier warten sie nur auf den Notfall. 

Videoclips und Hausarbeiten als digital zerhäckselte Datenfragmente

Videoclips und Hausarbeiten als digital zerhäckselte Datenfragmente

Mindestens so entscheidend wie solche Anti-Ausfall-Maßnahmen ist die elektronische Absicherung. Denn Cloud-Computing bedeutet auch: Ständig fließen Bytes und Bits aus dem DSL-Kabel in den heimischen Router, schießen über Verteiler durch Städte, per Satellit übers Land oder per Kabel durch Ozeane hindurch. Videoclips, Chart-Hits, Hausarbeiten schwirren als digital zerhäckselte Datenfragmente zwischen PCs, Notebooks und Smartphones umher. Und einige kommen auf dem Riesenrouter in der Halle im Strato-Rechenzentrum an. Wie flache DVD-Player stecken in den Regalen die Server, übereinander, nebeneinander. Für eine mittelständische Firma reicht oft ein einziger. Überall, wo es blinkt, sagt Wienholtz, tut sich gerade etwas. Er hat das Licht ausgemacht. Die Wolke ist jetzt ein einziges Blinken, ein permanenter Datenfluss.

"Das ist nicht wie mit einem Fahrrad oder mit einem Butterbrot, das sich an einem bestimmten Ort befindet oder nicht", sagt Günther Ennen vom Bundesamt für Sicherheit in der Informationstechnik (BSI). Wenn Daten etwa in Frankfurt liegen, aber in Indien auf einem Bildschirm aufgerufen werden, wo sind sie dann?, fragt er. Und in wessen Hoheitsgebiet landen die Daten überhaupt, wenn ein Nutzer sie abschickt? Welche staatlichen Behörden dürfen im Zweifel auf sie zugreifen? Genau lässt sich das nicht immer sagen. Amazon, wo man sich Rechnerkraft und Festplattenplatz mieten kann, unterscheidet immerhin zwischen zwei Regionen, den USA und der EU, die die Kunden wählen können.

Bei Google ist schon weniger klar, wohin der Algorithmus die digitalen Schnipsel kopiert. Thorsten Schubert vom IT-Sicherheitsanbieter Checkpoint sagt: "Der Nutzer der Cloud weiß oft nicht: Bleiben die Daten in Deutschland, oder werden sie auf die Niederländischen Antillen transportiert?" Die Politik beginne erst allmählich, sich mit solchen Fragen zu befassen, stellt Werner Streitberger vom Fraunhofer-Institut für sichere Informationstechnologie fest. Es gibt etwa das Safe-Harbor-Abkommen, das europäische Daten auch in den USA schützen soll. Die Einhaltung, moniert Streitberger, werde derzeit aber gar nicht überprüft. Der Strato-Vorstand wirbt mit dem strengen Bundesdatenschutzgesetz und dem "Datenschutzstandort Deutschland". So klar ist die Lage längst nicht immer.

Mehr als eine Million Server betreibe beispielsweise Google weltweit, schätzt die Website Data Center Knowledge. Und nicht nur in eigenen Hallen. Der Konzern mietet sich auch in fremden Server-Farmen ein. So lässt sich nicht genau sagen, wo die Daten sich befinden. Geheimniskrämerei gehört zum Geschäft. Für die Nutzer kann die Wolke zu einer nebulösen Angelegenheit werden. Sie selbst sehen oft nur die Oberfläche, die Zugangspforte zu den Daten – etwa bei einem sozialen Netzwerk wie Facebook oder beim Google-Account.

Johannes Fahrenkrug weiß, wie anfällig schon diese Stelle sein kann. Fahrenkrug ist Mitte 20. Die Telekom hat ihn vor einigen Jahren zum Fachinformatiker ausgebildet. Für eine Reisefirma in Kiel hat er Software entwickelt, bevor er sich selbstständig gemacht hat. Abends saß er manchmal vor dem Rechner und hat in den URL-Adressen herumgetippt, die im Browser erscheinen, wenn man sich durch Seiten klickt. Diese URLs sind länger, als den meisten Nutzern beim Surfen auffällt. Da steht nicht nur facebook.com/ oder mail.google.com/, sondern es folgt ein Schwanz von Zahlen und Buchstaben. Befehle, mit denen Informationen aus Datenbanken abgerufen werden. Es ist der Moment, in dem der Kontakt zur Wolke entsteht. Nutzername. Passwort. Für viele ist das so selbstverständlich wie Türklinkendrücken. Fahrenkrug schaut, wo die Schlüssel von außen stecken. Er hat also Zahlen und Buchstaben in den URL-Adressen geändert. Injection nennen Informatiker das. Das Einfügen von Codes, die Pforten öffnen, die verschlossen bleiben sollen.

"Es kribbelt einem in den Fingern, wenn man eine neue Anwendung sieht", sagt Fahrenkrug. Sobald er Lücken entdeckte, hat er sich an die Unternehmen gewandt. Auf diesem Weg hat Fahrenkrug den Sicherheitschef von Google erreicht. Der hat sich schnell zurückgemeldet. "Das war innerhalb von einem halben Tag gefixt." Bezahlt wird nicht mit Geld, sondern mit Reputation. Seitdem steht der Name Johannes Fahrenkrug auf einer Google-Dankesliste. Und auf einer von Apple. "Von den größeren Zielen", sagt er, "hat man nie einen finanziellen Vorteil." Eher von kleineren Unternehmen. Die zahlen, um ihre Anwendungen testen zu lassen.

Bei den großen Anbietern, bemerkt Werner Streitberger vom Fraunhofer-Institut, seien die Schutzmaßstäbe hoch. Google beispielsweise werde täglich Tausende Male angegriffen. "Die wissen sich zu wehren", sagt er. "Das ist Champions League." Da sei die Sorge eher, was die Konzerne selbst mit den Daten tun. Streitberger hat eine Studie mit dem Titel Cloud Computing Sicherheit herausgegeben. Bei Google, Amazon oder Apple werde die technische Überwachung permanent optimiert. 

Bitströme werden laufend gemessen, Viren und Würmer vernichtet

Bitströme werden laufend gemessen, Viren und Würmer vernichtet

Außerhalb der Champions League, vermutet Streitberger, läuft es manchmal gar nicht rund. Rich Perez war IT-Sicherheitschef für das Datenzentrum der US-Fluglinie United Airlines und hat danach andere Firmen beraten. Es werde extrem viel in die Infrastruktur investiert. "Deshalb bleibt manchmal wenig Zeit für die Anwendungen übrig, die in dieser Infrastruktur laufen", schreibt er per Mail. "Die Sicherheit wird oft viel zu stark vernachlässigt." Schwerwiegende Risiken entstehen, wenn die Anbieter aus der Champions League sich mit Kreisligisten einlassen. Bei Facebook etwa haben Spielehersteller oft weitgehenden Zugang zu den Programmiercodes. Wenn da geschlampt wird, gefährdet das die Sicherheit des gesamten sozialen Netzwerks.

Eine Studie des Anti-Viren-Spezialisten Symantec spricht gar von einem "Blindflug in die Wolke". Weniger als eines von zehn befragten Unternehmen würde sich umfassend mit Sicherheitschecks befassen, bevor ein Cloud-Service genutzt werde. Das Wichtigste, sagt BSI-Berater Ennen, sei es, zunächst den Wert der Information zu definieren.

Wenige Bits und Bytes sind so wertvoll wie die, die Georg Pistol beaufsichtigt. Es geht um Hunderte, Tausende, Millionen Euro, die den Besitzer wechseln, nachdem Käufer ihre Kreditkarten in einen Bezahlapparat geschoben haben. Pistol ist der Sicherheitschef von B + S Card Service, einem Acquirer. Diese Unternehmen stehen zwischen Banken und Kunden. Sie wickeln die Transaktionen ab. In ihre Zentren werden Finanzdaten auf Zeit ausgelagert. "Wir kennen jeden einzelnen Datenstrom", sagt Georg Pistol. Es laufen ständig Tests. Hunderte Analysen, die Bitströme messen und Viren oder Würmer vernichten. Es entstehen in jeder Millisekunde Logdateien, Protokolle des Datenverkehrs. Nur verdächtige Abweichungen, die Maschinen nicht einordnen können, landen im Security Operation Center, auf einem der Bildschirme der Mitarbeiter. Mittlerweile lässt sich auch die Überwachung outsourcen. Der Schweizer Telekomriese Swisscom hat gerade eine schwer gesicherte Anlage in Zürich eröffnet, von der aus er für andere deren Netzwerke beaufsichtigt. Der Bedarf wächst mit den Datenmassen.

Passfoto-Abgleiche, Zugangskarten, Biometrie-Scanner und Passwörter sind nötig, um in die Nähe der Maschinen zu gelangen. Die Mitarbeiter verteilen wertvolles Wissen so, dass wichtige Schritte nur zwei gemeinsam erledigen können.Die Sicherheitskultur, stellt Günther Ennen fest, der beim BSI die Sicherheitsberatung leitet, habe sich in den vergangenen Jahren gewandelt. Das Vieraugenprinzip hat sich durchgesetzt. So kennen Systemadministratoren oft nur die Hälfte eines Passworts. Die andere Hälfte muss ein Kollege liefern. "Früher", sagt Ennen, "hätte er einem das vielleicht als Misstrauen ausgelegt."

Um den Strom des Strato-Rechenzentrums in Berlin abzustellen, müssen drei Personen in den Schaltraum und mit unterschiedlichsten Schlüsseln und Zugangskarten operieren. "Mich allein zu entführen bringt rein gar nichts", sagt Wienholtz, der Technikvorstand. Sicherheitsberater Perez sieht die Angreifer trotzdem im Vorteil: Sie kommen ihm flexibel vor "wie fließende Energie". Ganz anders als die Rechenzentren. Die sitzen oft fest an einem Ort. Trotz aller Wolkenbewegung.