Cloud Computing

So sicher ist die Cloud wirklich

Martin Römhild aus München ist Experte für neue Medien, der in TV, Radio, Print und Online Verbraucher über aktuelle Gefahren und Trends informiert. Vor allem in den Bereichen Kinder- und Jugendschutz sowie Sicherheit im Internet hat er sich durch zahlreiche Interviews mit Prominenten einen Namen gemacht. Er ist Fachautor für etablierte Verlage, Radiosender und Fachmagazine.
Clouds locken mit mehr Flexibilität und weniger Kosten. Doch gerade nach Skandalen wie der NSA-Affäre ist die Geschäftswelt skeptisch. Unternehmen haben Angst vor Wirtschaftsspionage und Hackerangriffen. Jetzt befassen sich IT-Verantwortliche zunehmend mit den Vorteilen der Cloud. Immer mehr deutsche Unternehmen denken um und lagern ihre Daten von der Festplatte oder dem lokalen Server aus.
Unternehmen, die einen sicheren Cloud-Anbieter gefunden haben, sollten dessen Sicherheitsstandards regelmäßig hinterfragen und mit anderen Anbietern vergleichen.
Unternehmen, die einen sicheren Cloud-Anbieter gefunden haben, sollten dessen Sicherheitsstandards regelmäßig hinterfragen und mit anderen Anbietern vergleichen.
Foto: Maksim Kabakou - Fotolia.com

Die Cloud kann ohne große Vorkenntnisse genutzt werden, ist schnell und braucht keinen Platz, wie etwa ein Serverraum. Anschubinvestitionen entfallen, ebenso wie der Aufbau interner spezialisierter Kompetenzen und langer Skalierungstests. Firmen können sich auf das Kerngeschäft konzentrieren, da der eigene IT-Betrieb deutlich verkleinert werden kann.

Unternehmen sind trotzdem skeptisch: Sind die Daten in der Cloud wirklich sicher? Wie leicht kommen Dritte an die teils sehr heiklen Informationen? "Anwendungsszenarien elastisch abzubilden und Systeme hoch verfügbar und geschützt vor Schädlingen vorzuhalten, erfordert stete Investitionen in aktuelle Systeme, Software und Fähigkeiten der Mitarbeiter. Der gesamte Kostenblock verschwindet in den derzeit circa 70 Prozent "Run"-Kosten einer Firma für ihre IT - eine denkbar undankbare Situation", sagt Hans Wieser, Business Lead Data Insight von Microsoft Deutschland. Er gibt zu bedenken, dass das eigene Rechenzentrum oder der lokale Hoster kaum sicherer sein kann, als eine Cloud, da ein absolut sicheres System jenseits des Budgets eines mittelständischen Unternehmens läge.

Regeln für ein möglichst hohes Sicherheitsniveau

Um einen Cloud-Anbieter mit einem möglichst hohen Sicherheitsniveau zu finden sollten Unternehmen sorgfältig prüfen, welche Anbieter wirklich vertrauenswürdig sind. Michael Hange, Leiter des Bundesamtes für Sicherheit in der Informationstechnik (BSI) rät Unternehmen: "Wenn man sich dem Thema Cloud-Computing widmet, muss man zum einen darauf schauen: wer kann einem entsprechende Dienstleistungen bieten? Und man muss natürlich auch einen Forderungskatalog haben, was man an qualitativen Forderungen, aber auch an Sicherheitsforderungen stellt."

Zertifikate geben erste Anhaltspunkte

Ist ein Cloud-Anbieter im engeren Rennen, sollte ein Unternehmen einen Blick auf die Sicherheitszertifikate des Systems werfen. Eines der bekanntesten ist das ISO 27001. Es gilt als Nachweis dafür, dass ein Cloud-Anbieter die IT-Grundschutzanforderungen des BSI erfüllt. Das allein reicht jedoch noch nicht aus, um die Sicherheit einer Cloud zu bewerten. Notfallplanung, Sicherheitsmechanismen wie die Verschlüsselung von Daten und Authentifizierungsmechanismen des jeweiligen Anbieters müssen ebenfalls unter die Lupe genommen werden. "Dabei sollte darauf geachtet werden, dass die Schlüsselhoheit, also das Entschlüsseln können, auch beim Unternehmen verbleibt", rät Marit Hansen, stellvertretende Landesbeauftragte für Datenschutz in Schleswig-Holstein. Auch die Zugriffsrechte sollten für eine wirklich sichere Cloud entsprechend beschränkt sein. Beispielsweise sollten die Administratoren keinen uneingeschränkten Zugriff auf die Inhalte haben.

Wer kann auf die Daten zugreifen?

Trotz höchster Sicherheitsstandards sollten sich Unternehmen darüber im Klaren sein, dass Cloud-Anbieter aus den USA dazu verpflichtet sind, US-Behörden Datenzugriff zu gewähren. Das gilt auch, wenn das Rechenzentrum auf deutschem oder europäischem Boden steht, erklärt Hansen. Manche EU Länder, wie etwa Schweden, haben in der Gesetzgebung ebenfalls weitgehende Zugriffsermächtigungen. Das skandinavische Land hat ein Abhörgesetz für den gesamten grenzüberschreitenden Datenverkehr, inklusive der Befugnis, Daten an andere Länder weiterzugeben. Unternehmer sollten sich deshalb erkundigen, woher der Cloud-Anbieter oder dessen Mutterunternehmen kommt. Deutsche Anbieter genießen dank des strengen Datenschutzes hierzulande einen Vertrauensvorschuss.

Sicherheitsstandards regelmäßig prüfen

Wer einmal einen sicheren Cloud-Anbieter gefunden hat, sollte dessen Sicherheitsstandards regelmäßig hinterfragen und mit anderen Anbietern vergleichen. Denn was heute noch als sicher gilt, kann morgen schon veraltet und angreifbar sein. Richtig geplant und umgesetzt erreichen Unternehmen mit einem professionellen Cloud-Provider oft höhere Sicherheitsniveaus als bei der hauseigenen Variante. (bw)