Cloud-Sicherheit

Es fehlen richtungsweisende Standards

Marco Lenck ist seit September 2012 Vorstandsvorsitzender der DSAG. Von 2008 bis 2012 bekleidete er das Amt des Technologievorstands und kann unter anderem auf Erfolge im Bereich BI/BO- und des SAP HANA-Pricings zurückblicken. Mehrere Jahre engagierte sich Marco Lenck im CIO-Beirat der DSAG. Hauptberuflich ist er seit November 2014 als CIO bei der Döhler Gruppe für die globalen Geschäftsprozesse und die IT-Systeme verantwortlich. Döhler ist ein weltweit führender Hersteller von integrierten Lösungen für die Lebensmittel- und Getränkeindustrie auf Basis von natürlichen Komponenten. Seit über 16 Jahren ist er im SAP-Umfeld und seit 2001 in der DSAG aktiv, unter anderem als Mitglied im CIO-Kreis.

Gut ein Drittel der DSAG-Mitgliedsunternehmen setzen bereits auf Software-as-a-Service-Lösungen. Für sie ist die Cloud bereits Realität, so ein Ergebnis der DSAG-Investitionsumfrage zum Thema Cloud-Nutzung.

Die Anwendungen sollen unter anderem komplexe Abläufe vereinfachen, Datenspitzen abfangen oder ganzheitliche Prozesse übernehmen. Aber wie sicher sind die Datenwolken? Wer trägt im Falle von Sicherheitsrisiken die Verantwortung?

Unternehmen, die ihre Daten in die Cloud schicken, haben oft keine verbindliche und effektive Rechtssicherheit, was den Schutz ihres Eigentums angeht.
Unternehmen, die ihre Daten in die Cloud schicken, haben oft keine verbindliche und effektive Rechtssicherheit, was den Schutz ihres Eigentums angeht.
Foto: ra2 studio - Fotolia.com

Wie trügerisch die Sicherheit im Umgang mit Cloud-Lösungen sein kann, zeigen Rechtsstreitigkeiten, die US-Cloud-Anbieter aktuell mit ihrem Land führen. Sie können die Daten bestmöglich vor Fremdzugriff schützen - garantieren können sie diesen Schutz jedoch nicht, wenn sich Behörden über die Rechtsprechung Zugriff verschaffen. Laut der Studie "IT-Sicherheit und Datenschutz 2014" der Nationalen Initiative für Informations- und Internet-Sicherheit e.V. (NIFIS) bereiten v.a. Hacker Unternehmen die größten Sorgen. 58 Prozent sehen die Angriffe als Hauptrisiko für ihre Cloud.

Passend zum Thema: Mobile-Security-Quiz

Wirkliche Sicherheit in der Cloud gibt es nicht. Denn egal wie sehr sich Unternehmen auch bemühen, eine Lücke oder ein Hebel wird sich immer finden. Dieser Umstand bremst den Trend Cloud nicht aus, lässt aber Unternehmen zweifeln. Laut aktueller DSAG-Studie zu Cloud und HANA sind über 40 Prozent der Befragten der Ansicht, dass der Schutz des geistigen Eigentums sich verschlechtert. Mit Verbesserungen rechnen hingegen weniger als 1 Prozent. Insbesondere wenn es um "Intellectual property" geht, überwiegt die Angst vor Sicherheitsrisiken.

»

Unternehmen brauchen verbindliche Rechtssicherheit

Das Hauptbedürfnis von Firmen ist schlicht Sicherheit. Der derzeit bestehende Schutz von Know-how und geistigem Eigentum gibt Unternehmern nicht die volle Garantie und das Vertrauen, um Cloud-Lösungen kompromisslos mitzutragen.

Der Schutz von Unternehmensdaten und Informationen ist in Europa insgesamt strenger, eine verbindliche und effektive Rechtssicherheit gibt es jedoch nicht. Wenn Staaten Gesetze beschließen, die sich über bestehende deutsche oder europäische Richtlinien hinwegsetzen, ist das ein Problem. Um grenzübergreifende Datenschutzverletzungen zu verhindern, ist deshalb ein internationales No-Spy-Abkommen nötig, das nicht nur die Daten, sondern vor allem das Know-how von Unternehmen schützt. Einheitliche rechtliche Rahmenbedingungen zu schaffen und so die Position Europas zu stärken, muss deshalb Priorität haben.

Eine offene digitale Gesellschaft in Europa kann nur dann funktionieren, wenn in allen Mitgliedsstaaten auf dieser Ebene gleiches Recht gilt. Darauf können richtungsweisende Standards aufbauen, die den Umgang mit Cloud-Lösungen einheitlich regeln und klare Sicherheitsrichtlinien definieren.

Regionale Cloud wird globalen Strukturen oft nicht gerecht

Ausländische Behörden lassen sich nur dann sicher aussperren, wenn sie auch nach eigenem Recht keinen Anspruch auf Zugriff haben. Ein Weg, der heute schon zu erreichen ist: bewusst Anbieter zu wählen, die keine Konzernverbindung - etwa in die USA - haben und Daten auch nicht auf ausländische Server auslagern. Im europäischen Rechtsraum lassen sich besonders sichere Verbindungen durchaus realisieren. Nach heutigem Stand sind jedoch die wenigsten lokalen Cloud-Modelle tatsächlich praktikabel. Viele Unternehmen agieren in globalen Strukturen und haben enorme Datenaufkommen, die lokal begrenzte Lösungen schnell an ihre Grenzen bringen.

Verantwortung für eigene Daten lässt sich nicht auslagern

Für die Sicherheit ausgelagerter Daten tragen letztlich sowohl der Gesetzgeber als auch Provider und Unternehmer die Verantwortung. Die gesetzliche Grundlage muss ganzheitlich geschaffen und konsequent umgesetzt werden, um Firmen effektive Sicherheit zu geben. Aufgabe des Anbieters ist es, Dienste nachvollziehbar darzustellen und Klarheit darüber zu schaffen, ob die nötigen Sicherheitsanforderungen erfüllt werden können.

Pflicht der Unternehmen ist es, gewissenhaft mit ihrer "Intellectual property" umzugehen. Sie können sich nicht auf den Gesetzgeber und auch nicht auf ihren Provider verlassen. Deshalb müssen sie dafür sensibilisiert werden, selbst Sorge dafür zu tragen, dass beispielsweise unternehmenskritische Daten die eigenen Server gar nicht erst verlassen. (bw)