Es war die schlimmste Erfahrung seines Berufslebens. "Zwei Tage lang war unsere Firma komplett lahmgelegt", sagt Bernhard Bahners, Gründer und Prokurist des Internet-Start-ups Radio.de . "Sie können sich gar nicht vorstellen, was hier los war!" Los war Folgendes: Niemand in der ganzen Firma konnte mehr auf irgendein internes Dokument zugreifen; Kunden wunderten sich, dass ihre E-Mails unbeantwortet blieben; 48 Stunden lang war die Firma ohne Daten und Büro-Software. Dabei war an den beiden Standorten von Radio.de in Hamburg und Innsbruck technisch alles in Ordnung, die Computer liefen, die Datenleitungen funktionierten. Der Grund für den Totalausfall im vergangenen Dezember: ein Fehler im Bezahlsystem von Google.

Weil ein Rechnungsbetrag von wenigen Hundert Euro nicht abgebucht werden konnte, hatte der kalifornische Gigant der deutschen Firma kurzerhand den Zugang zu ihrer Büro-Software und den zugehörigen Unterlagen gesperrt. Ohne Vorwarnung. "Am liebsten hätte ich das Geld in einen Umschlag gepackt und persönlich hingetragen", sagt Bahners. Aber er habe nicht einmal gewusst, wohin. Für mittelständische europäische Kunden ist die Google-Niederlassung in Dublin zuständig, telefonisch erreichbar ist sie jedoch nicht. Und jene Hilferufe, die der entsetzte Bahners per EMail schickte und ins Formular auf der Google-Website eintrug, blieben zunächst unerhört.

Zugang gesperrt – das ist der Super-GAU beim sogenannten Cloud-Computing, dem "Rechnen in der Wolke". Das ist das große Modethema der IT-Branche, es steht auch im Zentrum der diesjährigen Computermesse Cebit , die am 1. März in Hannover beginnt. Entwickler und Wissenschaftler wissen: Die Technik schreitet rasant fort, Sicherheitsfragen hinken noch hinterher.

Im Privatbereich haben wir uns längst daran gewöhnt, dass unsere E-Mails, unsere Urlaubsfotos und unser persönliches Profil bei Facebook nicht mehr auf dem eigenen PC bearbeitet und gespeichert werden. Parallel dazu wandern zunehmend Geschäftsvorgänge in die Rechnerwolke ab. Und manchmal verschwinden sie eben, wie im Fall von Radio.de, vorübergehend im Nirwana.

Schon die Metapher ist beredt: the cloud, die Datenwolke, die nichts Greifbares ist. Keine lokale Festplatte, kein bestimmter Server, kein konkreter Ort. Cloud-Computing verlockt den Nutzer, das Wie und Wo der Datenverarbeitung auszublenden. Hauptsache, sie funktioniert. Und die Vorteile liegen ja auch auf der Hand: Verbraucher nutzen kostenlose, leicht zu bedienende Angebote wie Dropbox (Speicherplatz) oder Google Text & Tabellen (Büro-Software). Und Unternehmen mieten, statt selbst ein aufwendiges eigenes Rechenzentrum zu betreiben, je nach Bedarf Rechenkapazität, Software und Speicherplatz bei einem Cloud-Computing-Anbieter. Dabei kann es sich um ein nur regional aktives Spezialunternehmen handeln – in Deutschland gibt es bereits über 700 davon – oder um Google, IBM, Microsoft oder Amazon. Bekannt sind diese globalen Giganten als Suchmaschinenbetreiber, Software-Häuser oder Internethändler, doch längst bieten sie ihre bestens vernetzten, riesigen Rechenzentren ("Serverparks") zur Untermiete feil. Denn richtig ausgelastet sind diese Server nur selten – bei Amazon zum Beispiel nur während des Weihnachtsgeschäfts. Mit den überschüssigen Kapazitäten lässt sich ein gutes Geschäft machen: 1,9 Milliarden Euro wurden so allein in Deutschland 2010 umgesetzt, bis 2015 soll die Summe sich mehr als vervierfachen, schätzt der IT-Branchenverband Bitkom.

Wie sieht die Zukunft aus, in der diese Technik allgegenwärtig wird? Wie lassen sich Albträume wie der von Bernhard Bahners verhindern? Wo bleibt die Datensicherheit? Dies sind Fragen, mit denen sich Informatiker angesichts des Cloud-Trends intensiv beschäftigen.

Das größte deutsche Forschungsprojekt zu Cloud-Computing , genannt Logistics Mall, läuft derzeit am Dortmunder Fraunhofer-Institut für Software- und Systemtechnik . Die Wissenschaftler haben selbst einen neuartigen Cloud-Dienst entwickelt und ersten Kunden zugänglich gemacht – um daran beispielhaft offene Fragen zu klären. Der Projektleiter, Ulrich Springer, verdeutlicht die Funktionalität am Beispiel eines westfälischen Schweinehofs: Pfötchen, Schnauzen und Ohren, die nach der Schlachtung übrig bleiben, werden in Deutschland weggeworfen. In China gelten sie dagegen als Delikatesse und erzielen einen entsprechend hohen Preis. "Doch normalerweise hat der Bauer keine Chance, seine Schweineohren gesetzeskonform nach Peking zu schaffen." Zollabwicklung, Veterinärvorschriften, Lagerung, Transport und Einhaltung der Kühlkette müssen von Experten geplant und von Spediteuren praktisch umgesetzt werden. Wollte ein Schlachter aus Westfalen all diese Dienste aus einer Hand kaufen, wären sie so teuer, dass sich der Export nicht mehr lohnte.

Wie die Cloud den Alltag organisieren kann

Auf der Logistics Mall werden die notwendigen Schritte von der Abholung im Schlachthof bis zur Auslieferung auf dem Pekinger Großmarkt zu einem Gesamtprozess verknüpft. Per Mausklick kann der Westfale die Dienste einzelner Juristen, Exportfachleute, Lagerbetriebe und Speditionen auswählen. Intelligente Software – dies ist einer der Forschungsbereiche – sorgt dafür, dass alle Schritte reibungslos zusammenpassen. Und weil all das auf fremden Servern geschieht, brauchen Anbieter und Kunde weder eigene EDV-Ausstattung noch -Kenntnisse. Ein Laptop mit Internetzugang und Drucker reicht aus. Lieferscheine, Zollerklärungen, Rechnungen – den gesamten Papierkram füllt der Computer automatisch aus, unterschriftsreif kommen die Formulare aus dem Drucker. Zahlungen erledigt ein Buchführungsprogramm automatisch. Hundert Firmen bieten ihre Dienste bereits auf der Logistics Mall an, von 2013 an soll sie voll funktionsfähig sein. Das Beispiel zeigt: Die Wolke verspricht ganz neue Möglichkeiten, den Alltag zu organisieren.

Weil sich das Prinzip übertragen lässt, wird früher oder später wohl jeder Einzelne damit in Berührung kommen. Berliner Fraunhofer-Forscher veröffentlichten im vergangenen Herbst bereits eine Studie namens Cloud-Computing für die öffentliche Verwaltung . Denkbar wäre auch eine "Bürger-Mall", auf der sowohl Behörden wie auch Handwerker etwa alle Dienstleistungen rund um einen Wohnungswechsel anbieten – von der Wohnungssuche über Renovierung und Umzug bis hin zur amtlichen Ummeldung. "Prozesse aus der Steckdose" nennt Springer das.

Es scheint paradox: Die Computerrevolution, die Mitte des vergangenen Jahrhunderts mit zentralen Großrechenanlagen begann, erfasste nach der Erfindung des Microchips vor 40 Jahren und der Entwicklung immer leistungsfähigerer Kleincomputer (heute steckt ja bereits in jedem Handy ein vollwertiger Rechner) immer mehr Büros und Wohnungen. Jetzt aber, ermöglicht durch weltumspannende Glasfaserleitungen und eine always online- Mentalität, verschiebt sich die Datenverarbeitung wieder in Rechenzentren – größer und mächtiger als je zuvor. Und viel diffuser.

Noch schrecken viele Unternehmen zurück. Im Januar befragte die Beratungsfirma Deloitte IT-Spezialisten in großen deutschen Unternehmen, rund die Hälfte von ihnen lehnt Cloud-Computing bislang prinzipiell ab. Denn in ihren digitalen Unterlagen steckt das Know-how einer Firma, sämtliche Geschäftsvorgänge laufen darüber – da ist die Furcht nicht unbegründet, die Kontrolle über diese wertvollen Daten zu verlieren, wenn sie nicht mehr auf firmeneigenen Computern verarbeitet und gespeichert werden. Eine aktuelle Befragung des eco-Verbands der deutschen Internetwirtschaft weist die Sicherheit der Datenverarbeitung in der Rechnerwolke, Cloud Security , als das Thema mit dem größten Bedeutungszuwachs aus.

In großen Unternehmen ist der CSO, der Chief Security Officer, für das Thema zuständig. Beim Autozulieferer Continental heißt der CSO Thomas Ullrich. "Im Moment ist das ein großer Hype", sagte er Anfang Februar auf einer Fachtagung mit über 50 IT-Experten in Köln, "wir wollen dem nicht wie die Schafe einfach hinterherlaufen." Er hat die Informationstechnik des weltweit aktiven Unternehmens (Continental hat 190 Standorte in 39 Ländern) daraufhin abgeklopft: "Nur 10 bis 15 unserer 29 IT-Prozesse sind prinzipiell für das Cloud-Computing geeignet." Bei den übrigen hätten vor allem Sicherheitsbedenken gegen die Rechnerwolke gesprochen.

Ganz anders sieht das Christian Neugebauer, IT-Chef bei CWS-boco, einem Komplettanbieter für Berufsbekleidung, Waschraumausstattung und Hotelwäsche mit Niederlassungen in 17 Ländern von Irland bis China. Bereits 2009 hat Neugebauer die komplette Datenverarbeitung für seine 1600 Vertriebsmitarbeiter an Salesforce abgegeben, einen der größten Cloud-Computing-Anbieter der Welt mit Sitz in San Francisco (und Serverparks zwischen Ost- und Westküste, was steten Zugriff selbst bei Stromausfällen oder Naturkatastrophen garantiert). In dieser Auslagerung sieht Neugebauer nur Vorteile: "Die gesamte Umstellung war in drei Monaten abgeschlossen, neue Projekte, die früher über ein Jahr gedauert hätten, können wir jetzt in wenigen Wochen umsetzen." Die fremde Software sei sehr flexibel, laufe problemlos auch auf neuen Endgeräten wie iPad oder Smartphone ("gerade für jüngere Mitarbeiter wichtig"). Sicherheitsbedenken hat Neugebauer nicht. Sensible Daten blieben auf dem Firmenrechner, in der Cloud fänden sich nur Links darauf. "Unsere Juristen haben das geprüft."

Über so viel Optimismus kann Thilo Weichert nur lachen. Er ist Datenschutzbeauftragter des Landes Schleswig-Holstein und engagiert sich in einem EU-Forschungsprojekt zu den rechtlichen Rahmenbedingungen des Cloud-Computing. "Von einer Datenverarbeitung in den USA kann ich nur dringend abraten", sagt er und stellt kategorisch fest: "Datenschutz gibt es dort nicht." Zwar versprächen amerikanische Anbieter die Einhaltung hoher Sicherheitsstandards, die vertraglichen Garantien dafür blieben jedoch – der Kalauer liegt nahe! – "wolkig". Und gegen die weitgehenden Zugriffsrechte der US-Regierung könne selbst der beste Vertrag nichts ausrichten. Haftbar bleibt indes stets das deutsche Unternehmen.

Sicherheit beim Cloud-Computing

Nicht Software, nicht Übertragungstechnik, nicht Schutz vor Datenverlust sind die problematischsten Felder beim Cloud-Computing. Die Juristerei ist es. "Es gibt keinen Bereich der Informationstechnik, in dem so viele Juristen mitreden", hat Roland Sakel festgestellt, IT-Chef von Conergy. Zwar lässt auch das Hamburger Solarunternehmen inzwischen rund 90 Prozent aller IT-Dienste extern erledigen, hat sich von seinem Cloud-Dienstleiter aber vertraglich zusichern lassen, dass dies ausschließlich in einem Rechenzentrum bei Frankfurt geschieht. "Wenn wir wollten, könnten wir jederzeit hingehen und unsere Daten auf Festplatten mit nach Hause nehmen", sagt Sakel. Ob sich mit deren Inhalt dann viel anfangen ließe, ist indes zweifelhaft. Wurde er doch mit Software erstellt, die dem Cloud-Computing-Anbieter gehört. Wer sich mit seiner Datenverarbeitung in die Rechnerwolke begeben hat, kommt nur schwer wieder heraus. Schon weil die Anbieter kein Interesse daran haben, ihren Kunden den Wechsel zur Konkurrenz zu erleichtern. Und ganz bitter wird es, wenn der Cloud-Anbieter pleitegeht. So wie die kalifornische Firma Coghead, die im Februar 2009 von einem Tag auf den anderen ihren Kunden mitteilte: "Bedauernswerterweise hat Coghead aufgrund ökonomischer Schwierigkeiten seinen Betrieb eingestellt."

Auch in der Politik ist das Thema inzwischen angekommen. Das Bundesamt für Sicherheit in der Informationstechnik (BSI) hat auf 17 Seiten Mindestanforderungen an die Sicherheit von Cloud-Computing-Angeboten definiert. Das Bundeswirtschaftsministerium beklagt in seinem " Aktionsprogramm Cloud-Computing ", dass deutsche Anbieter "bislang auf allen Ebenen des neuen Marktes unterrepräsentiert" seien, und hat 30 Millionen Euro für einen Technologiewettbewerb unter dem Motto "Trusted Cloud" ausgelobt – mit besonderem Augenmerk auf "Datensicherheit, Vertrauen und Zuverlässigkeit".

"Im internationalen Vergleich ist das deutsche Datenschutzrecht streng und anwenderfreundlich", sagt Ulrich Springer vom Dortmunder Fraunhofer-Institut, "deshalb sind wir hierzulande prädestiniert, uns um besonders sichere Lösungen zu kümmern." In seiner Logistics Mall werden daher alle Vorgänge, die gesetzesrelevant sind – von der Verarbeitung personenbezogener Daten bis zur Finanzbuchhaltung –, ausschließlich auf Rechenzentren in Deutschland abgewickelt. Alles andere, etwa Containerladepläne oder Angebotskataloge, können an deutlich billigere, international operierende Anbieter abgegeben werden. Ein wichtiges Forschungsziel ist sogenannte intelligente Software, die einen Datenstrom automatisch nach solchen Kriterien aufteilen kann.

Einen anderen Ansatz verfolgt der junge Branchenverband EuroCloud Deutschland. Er vergibt das erste deutsche Gütesiegel für sicheres Cloud-Computing. Dieses zertifiziert allerdings mitnichten, dass Daten innerhalb Europas bleiben, sondern bloß, dass ein Anbieter zusagt, deutsche Datenschutz- und Sicherheitsstandards einzuhalten. Darauf könnten Kunden künftig immer häufiger pochen – lästig für die Anbieter. "Unsere Mitarbeiter in den Rechenzentren kontrollieren wir stärker, als es in Deutschland erlaubt wäre", erläutert Matthew Friend von Salesforce. Auch so etwas verstieße hierzulande gegen Gesetze.

Manchen allerdings kommt ein laxer Umgang mit Daten auch ganz gelegen. So gebe es ein Rechenzentrum in Singapur, erzählt Friend, das "ein absolut datenschutzfreier Raum" sei: "Ein Kunde aus Luxemburg ließ sich vertraglich garantieren, dass seine Daten ausschließlich dort verarbeitet werden."

Diesen Artikel finden Sie als Audiodatei im Premiumbereich unter www.zeit.de/audio