computerwoche.de

Research

Sicherheit und Cloud Computing

Daten in der Cloud effizient schützen

20.01.2016
Von 


Jochen Wießler verfügt über langjährige Management-Erfahrung im direkten und indirekten Vertrieb von Softwarelösungen sowie im Bereich Technologie- und Produkt-Marketing.

Aktuell ist er Regional President DACH & Eastern Europe bei Unit4. Wießler war schon von 2017 bis 2020 bei Unit4 als Global Head of Professional Services Industries und Managing Director DACH für den deutschsprachigen Raum zuständig. Nach einem Wechsel zu Oracle als Vice President ERP, SCM und EPM kehrte er 2021 zu Unit4 zurück, um die Erfolgsgeschichte fortzusetzen und den Mehrwert für die Kunden in der Region weiter zu steigern. Seine vorherigen Stationen im ERP-Segment waren ab 2007 bei Microsoft Deutschland im Bereich Dynamics ERP and Dynamics CRM und ab 2012 bei SAP Deutschland als Head of General Business (Midmarket & Partner) für Small & Medium Enterprises (SME) und das Partner Ecossystem.
Alle Posts des Autors Email: Connect:
Deutsche Unternehmen und Organisationen legen besonders hohen Wert darauf, dass ihre Daten sicher sind. Das gilt vor allem für Informationen, die sie in Cloud-Umgebungen speichern und bearbeiten. Sicherheitsbedenken sind zwar verständlich jedoch nicht notwendig. Interessenten sollten im Vorfeld genau prüfen, welche Schutzmaßnahmen ein Cloud-Service-Provider zur Verfügung stellt.

"Sind meine Daten in der Cloud sicher?" Diese Frage spielt vor allem für deutsche Unternehmen eine zentrale Rolle. Das belegt eine Studie (PDF-Link) von Bitkom Reseach und KPMG vom Frühjahr 2015. Demnach fürchten 56 Prozent der Befragten, dass die Nutzung von Cloud-Diensten die Einhaltung von Compliance-Vorgaben gefährden könnte. An die 60 Prozent der Unternehmen fürchten Angriffe auf sensible Daten, wenn sie Cloud-Services einsetzen, und 49 Prozent haben Angst von dem Verlust von Geschäftsinformationen. Dies gilt vor allem für die spezialisierten kleinen und mittelständischen Unternehmen (KMUs), die ihr Know-how nicht in die Cloud transferieren wollen. Obwohl genau diese Firmen sehr stark von der Digitalisierung und der Cloud-Nutzung profitieren könnten im Wettbewerb mit den großen Konzernen.

Solche Befürchtungen sind jedoch überzogen, auch - oder gerade dann - wenn ein Unternehmen Public Cloud Services nutzt, die ein externer Provider bereitstellt. Das unterstreicht ein weiteres Ergebnis der Studie. So verzeichneten zehn Prozent der Unternehmen in den vier Wochen vor der Befragung Angriffe auf ihre IT-Infrastruktur. In 85 Prozent der Fälle standen diese Attacken definitiv nicht im Zusammenhang mit den eingesetzten Cloud-Lösungen; an die vier Prozent der Befragten konnten dazu keine Angaben machen.

Cloud-Nutzer haben Kontrolle über ihre Daten

Diese Resultate belegen, dass Cloud Computing die Angriffsfläche der Unternehmens-IT nicht in dem Maße vergrößert, wie es von Skeptikern behauptet wird. So ist es ein Mythos, dass ein Unternehmen die Kontrolle über seine Daten aus der Hand gibt, wenn es eine Public oder Hybrid Cloud nutzt. Vielmehr können Kunden mit dem Cloud-Service-Provider vereinbaren, in welchem Rechenzentrum bestimmte Daten gespeichert und bearbeitet werden dürfen, etwa in einem Rechenzentrum in Deutschland oder anderswo in der Europäischen Union. Auf diese Weise kann ein Unternehmen steuern, in welchem Rechtsraum sensible Informationen lagern, insbesondere personenbezogene Daten. So sind Nutzer von Cloud-Diensten in der Lage, von strengeren Datenschutz- und Compliance-Auflagen zu profitieren, etwa dem Bundesdatenschutzgesetz oder den Vorgaben der Europäischen Union.

Wichtig ist, dass im Vorfeld eine Klassifizierung der Informationsbestände erfolgt. Denn an geschäftskritische und personenbezogene Daten müssen höhere Sicherheitsmaßstäbe angelegt werden als an solche, die für die Öffentlichkeit bestimmt sind, beispielsweise Werbeunterlagen oder Produkthandbücher. Außerdem empfiehlt es sich, bei der Vertragsschließung mit einem Cloud-Service-Provider auf die EU-Standardvertragsklauseln zurückzugreifen. Sie regeln den Transfer personenbezogener Daten in Länder außerhalb des Europäischen Wirtschaftsraums. Diese Klauseln stellen sicher, dass die Datenschutzvorgaben der EU auch bei der Bearbeitung sensibler Daten in Cloud-Rechenzentren außerhalb der Europäischen Union zum Tragen kommen.

Sicherheit muss Teil der Produktentwicklung sein

Ein wesentlicher Faktor bei Anwendungen, die ein Unternehmen als Software-as-a-Service (SaaS) aus einer Cloud bezieht, ist die Qualität dieser Applikationen. Sicherheit sollte bei Cloud-Anwendungen ein fester Bestandteil der Produktentwicklung sein. Für Anwender lohnt sich daher ein Blick darauf, welche Maßnahmen ein Software-Anbieter ergreift, um seine Cloud-Lösungen "wasserdicht" zu machen. Hierzu zählen beispielsweise ein Security Development Life Cycle (SDLC) oder die Einhaltung von Normen wie der ISO 27034. Sie definiert Regeln, die das Sicherheitsniveau bei der Softwareentwicklung erhöhen.

Speziell bei der Wahl eines Anbieters von SaaS-Lösungen sollten Nutzer zudem nachfragen, wie es der Provider mit dem Einspielen von Sicherheits-Updates (Patches) und neuen Versionen einer Software hält. Kritische Patches sollten umgehend implementiert werden. Insbesondere bei Cloud-Anwendungen, die eng mit IT-Systemen und Geschäftsprozessen im Unternehmen verzahnt sind, sollten Updates und das Einspielen neuer Versionen zudem mit dem Anwender abgestimmt werden. Hauruck-Aktionen, wie sie bei einigen großen Cloud-Anbietern zu beobachten sind, können unnötige Sicherheitsrisiken mit sich bringen und die IT-Abteilungen von Unternehmen vor Probleme stellen.

Cloud-Service-Provider wie SAP können einen besseren Datenschutz bieten als viele Unternehmensrechenzentren. Sie spiegeln beispielsweise Daten von Kunden zwischen räumlich entfernten Datacentern.
Cloud-Service-Provider wie SAP können einen besseren Datenschutz bieten als viele Unternehmensrechenzentren. Sie spiegeln beispielsweise Daten von Kunden zwischen räumlich entfernten Datacentern.
Foto: SAP SE

Dabei ist es den deutschen Firmen bewusst, dass sie in Sicherheit investieren müssen. Zu diesem Ergebnis kommt eine aktuelle Studie der NIFIS (Nationale Initiative für Informations- und Internet-Sicherheit e. V.), bei der 53 Prozent aller Befragten angaben, dass sie mit Mehrausgaben für den Bereich IT-Sicherheit in 2016 fest rechnen.

Verschlüsselung ist kein Allheilmittel

Für viele Nutzer von Cloud-Services spielt die Verschlüsselung beim Schutz ihrer Daten eine wichtige Rolle. Das ist auch richtig so, denn Daten sollten sowohl beim Transport über - öffentliche - Netzwerke als auch auf den Systemen des Service-Providers verschlüsselt werden. Falsch ist jedoch, dass Verschlüsselung ein Allheilmittel ist. So kann sich eine Verschlüsselung von Daten durchaus störend auf den Geschäftsbetrieb auswirken, etwa dann, wenn bei Datenbank-Abfragen die Daten zuvor entschlüsselt und nach Abschluss der Aktion wieder verschlüsselt werden müssen. Hier können Frameworks wie SEED (Search over Encrypted Data), das derzeit von SAP entwickelt wird, weiterhelfen. Es ermöglicht Abfragen von Datenbanken, ohne dass auf den entsprechenden Servern die Daten entschlüsselt werden müssen.

Zudem hilft Verschlüsselung nicht weiter, wenn sich Unbefugte Zugang zu den Schlüsseln verschaffen. Das können illoyale Mitarbeiter des Service-Providers oder Nutzer von Cloud-Diensten sein. Solche Aktivitäten lassen sich beispielsweise mit einem Identity-Management-System und Konzepten wie "Least Privilege Access" vermeiden. Nur dazu autorisierte Personen können dann auf bestimmte Datenbestände zugreifen. Dazu werden sie nur mit den unbedingt erforderlichen Berechtigungen ausgestattet.