COMPUTERWOCHE-Roundtable Cloud-Security

Cloud-Security ist kein Thema der Technik sondern der Compliance

Jürgen Hill ist Teamleiter Technologie. Thematisch ist der studierte Diplom-Journalist und Informatiker im Bereich Communications mit all seinen Facetten zuhause. 
Mit dem Internet of Things (IoT) und der Digitalisierung der Wirtschaft gewinnt die Frage nach der Cloud-Security immer mehr an Bedeutung. Am COMPUTERWOCHE-Roundtable "Cloud-Security" diskutierten CIOs mit CW-Redakteuren und Herstellern kontrovers über das Thema.
Lebhaft diskutierten die Teilnehmer am COMPUTERWOCHE-Roundtable das Thema Cloud-Security.
Lebhaft diskutierten die Teilnehmer am COMPUTERWOCHE-Roundtable das Thema Cloud-Security.
Foto: Armin Weiler

An der Cloud führt im Prinzip kein Weg mehr vorbei. Darüber waren sich die Teilnehmer Dr. Werner Gutau, verantwortlich für die Sicherheit der Division Chip Card &Security der Infineon Technologies AG, Thomas Schott, ehemals CIO bei Rehau, Dr. Rolf Reinema, Head of Technology Field IT-Security bei der Siemens AG sowie Gerald Götz, CIO beim Städtischem Klinikum München, des COMPUTERWOCHE-Roundtable "Cloud-Security" einig. So sprach Thomas Schott, dessen Unternehmen seit 2007 auf eine Private Cloud setzt, für viele, wenn er meinte, die heute geforderte Agilität und Schnelligkeit im Geschäftsleben könne nur noch durch Cloud-Lösungen gewährleistet werden.

Ein differenzierteres Bild zeigt sich dagegen bei der Frage Private oder Public Cloud. Hier spielen gleich mehrere Aspekte eine Rolle. So war unter den Teilnehmern eine weit verbreitete Skepsis gegenüber den Public-Cloud-Angeboten hinsichtlich der Sicherheit zu spüren. "Für unsere sensiblen Daten kommt nur die Private Cloud in Frage", bekräftigte Götz, "zumal wir in der Public Cloud keinen deutlichen Vorteil sehen." Ferner wurde noch der Geschäftsnutzen vermisst und die Reife manches Cloud-Modells hinterfragt.

Umfrage zu CRM in der Cloud

Eine Meinung, die so nicht alle Diskussionsteilnehmer mittrugen. So fährt man etwa bei Siemens zweigleisig und setzt sowohl auf Public als auch Private Cloud. Gerade Standardprozesse wie etwa Reisekostenabrechnungen sahen etliche Teilnehmer gut in der Public Cloud aufgehoben. Für Infineon stellte Gutau fest, "Private Clouds haben wir bereits seit vielen Jahren. Für diese kommen aber angesichts der Sicherheitsproblematik nur ausgesuchte Services mit unkritischen Daten in Frage." So kann sich etwa Siemens-Manager Reinema gut vorstellen, dass etwa Anwendungen für das Smart Home standardmäßig aus der Cloud kommen. Grundsätzlich stellt sich für ihn aber die Frage, "wem gehören die Daten in der Cloud eigentlich?" und wie kann man durch mehr Transparenz dem gefühlten Kontrollverlust entgegenwirken. Wie wichtig diese Kontrollmöglichkeiten sind, verdeutlicht Infineon-Manager Gutau, "denn bei uns geht es neben dem Datenschutz oft um die Exportkontrolle in andere Länder und bei Verstößen drohen nicht selten harte Sanktionen".

Unbewusst in der Hybrid-Cloud?

Allerdings ist die Frage, ob sich diese Unterscheidung Private oder Public Cloud in der Praxis wirklich so eindeutig treffen lässt. Eventuell befinden sich viele Unternehmen bereits bewusst oder unbewusst in einer Hybrid Cloud, da ihre Mitarbeiter Public-Cloud-Dienste nutzen - und sei es nur auf dem eigenen Smartphone. Aber bekanntlich bestimmt ja das schwächste Glied einer Kette die Gesamtsicherheit.

Gerald Götz hat aufgrund des bayerischen Datenschutzgesetzes keinen Spielraum in Sachen Cloud.
Gerald Götz hat aufgrund des bayerischen Datenschutzgesetzes keinen Spielraum in Sachen Cloud.
Foto: Armin Weiler

CIO Götz drückt der Schuh in Sachen Cloud und Security an ganz anderer Stelle. "Uns lässt das bayerische Datenschutzgesetz keinen Spielraum", klagt Götz. "Die Cloud könnte nämlich für die Patienten einen Quantensprung bei der Behandlung bringen", schwärmt der IT-Verantwortliche. Götz denkt dabei etwa an folgendes Szenario: In der Notfallaufnahme eines Krankenhauses könnten die Helfer dann sofort mit der Behandlung beginnen, statt langwierig Blutgruppe und Vorerkrankungen etc. zu recherchieren, weil sie diese Daten aus der Cloud direkt auf das Tablet erhielten. Gerade im medizinischen Umfeld lassen sich viele Anwendungsfälle finden, die von Cloud-Lösungen profitieren würden, wenn es denn die Gesetzeslage erlauben würde, "die Sicherheitstechnik ist nicht das Problem", so Götz.