Cloud-Security

Ohne Sicherheit bleibt die Cloud ein Luftschloss

Bernd Reder ist freier Journalist mit den Schwerpunkten Netzwerke, IT und Telekommunikation in München.
Ein Faktor für den Erfolg von Cloud Computing ist die Sicherheit der unternehmenskritischen Daten. Datenschutzregelungen alleine helfen da nicht weiter. Gefordert sind Verfahren, die sich auch in der Praxis bewähren.
Sicheres Cloud Computing.
Sicheres Cloud Computing.
Foto: fotolia.com/crimson

Glaubt man Marktforschern, wird Cloud Computing in den kommenden Jahren in Deutschland eine maßgebliche Rolle spielen. Die Marktforschungsgesellschaft Experton Group geht davon aus, dass der Umsatz mit Cloud-Produkten 2012 ein Volumen von 3,1 Milliarden Euro erreicht. Für 2015 erwarten die Berater schon mehr als 8,5 Milliarden Euro. Die Anbieter von Cloud-Services, der dafür erforderlichen Hard- und Software sowie von Beratungsleistungen hören das natürlich gerne.

Dennoch ist die Stimmung getrübt. Denn viele der - potenziellen - Anwender von Cloud-Diensten stehen der Idee, IT-Dienste "aus der Wolke" zu beziehen, kritisch gegenüber. Ein wesentlicher Grund: Angst um die Sicherheit unternehmenskritischer Daten und Furcht vor der Verletzung von Compliance-Regeln. Eine Umfrage der Beratungsgesellschaft Deloitte unter IT-Leitern westeuropäischer Unternehmen im Jahr 2011 ergab beispielsweise, dass mehr als die Hälfte der Fachleute den Verlust der Kontrolle über Daten und Anwendungen sowie die unzureichende Datensicherheit noch als schwere Mängel des Cloud-Konzepts betrachten. Weitere Kritikpunkte: die Gefahr, sich einem Anbieter auszuliefern, und Zweifel daran, dass ein Anbieter Cloud-Computing-Services langfristig zur Verfügung stellen kann.

Eine der größten Herausforderungen, welche die Cloud für den Anwender mit sich bringt, besteht nach Ansicht der Distributed Management Task Force (DMTF) darin, die Einhaltung von Sicherheits- und Compliance-Vorgaben sicherzustellen.
Eine der größten Herausforderungen, welche die Cloud für den Anwender mit sich bringt, besteht nach Ansicht der Distributed Management Task Force (DMTF) darin, die Einhaltung von Sicherheits- und Compliance-Vorgaben sicherzustellen.
Foto: DMTF

"Die offenen Fragen in puncto Datensicherheit und -schutz in Public-Cloud-Umgebungen bremsen das Wachstum von Cloud-Diensten derzeit noch aus", räumt Alexander Peter ein, Certified Information Systems Security Professional (CISSP) bei der IT-Sicherheitsfirma Symantec. "Auf der einen Seite lassen sich bekannte Security- und Compliance-Lösungen einsetzen, darunter Data Loss Prevention, Verschlüsselung und eine starke Authentifizierung", so der Fachmann. "Sehr oft werden diese Lösungen jedoch in einem antiquierten Perimeter-Kontext verwendet - also in dem Irrglauben, dass es noch ein 'Innen' und 'Außen' gibt, und der Vorstellung, dass Gefahren nur von außen kommen."

Diese Denkweise ist Peter zufolge falsch. Wichtig sei vielmehr ein informationszentrierter Ansatz zur IT-Sicherheit. Dieser berücksichtige, wo welche Informationen gespeichert seien und wie sie gesichert würden.

Checkliste Cloud-Wahl

Wer einen Cloud-Computing-Dienst nur anhand des Serviceportfolios oder des günstigen Preises auswählt, handelt fahrlässig. In Bezug auf Sicherheit und Compliance sollte auf folgende Punkte geachtet werden:

  • Sicherheitszertifikate,

  • Compliance-Zertifikate,

  • Branchenspezifika,

  • Anbieter mit Sitz in Deutschland oder der EU,

  • Risikobewertung,

  • renommierte Auditoren,

  • passende Kundenstrukturen, wen bedient der Provider primär? Großunternehmen oder Mittelständler?