Cloud Computing ist angekommen. Nicht nur sind die technischen Grundlagen gelegt, auch die Zahl der Angebote hat stark zugenommen. Entscheidender für diese Betrachtung ist, dass immer mehr Unternehmen beginnen, Cloud Angebote aktiv zu nutzen. Also Ihr Geschäftsmodell mit flexiblen Ressourcen und Software-Diensten unterstützen und häufig sogar erweitern.

Zeit, nach vorne zu schauen und einen Nachruf auf die Sicherheitsdebatte zu entwerfen, die sich so lange und treu gehalten hat.

Danke für die Intensität
Zunächst einmal hat diese Diskussion ein großes Dankeschön verdient. Sie war eine reinigende und wichtige Auseinandersetzung mit der Informationssicherheit. Und eine verspätete zudem. Sie hat uns wachgerüttelt. Uns vermittelt, dass wir sehr bewußt mit unserem wertvollsten Gut umgehen wollen: Der Information. An manchen Tagen haben wir vergessen, unsere bestehenden Umgebungen mit den gleichen Maßstäben zu messen, wie die Cloud. Aber das hat dem Effekt keinen Abbruch getan: wir denken erwachsener und vollständiger über Sicherheit und Kommunikationsrisiken nach.

Das jähe Ende …
… ereilte die Debatte, als Unternehmen begannen, drei Dinge zu verstehen.

Erstens: Informationssicherheit ist vielschichtig und komplex
Weder hat sie rein mit der Cloud zu tun, noch ist Sie in Summe und ihrer vollen Abstraktion zu beantworten. Man muss schon die Bestandteile kennen, um eine wirksame Antwort zu formulieren. Ganz konkret: wir reden über technische Sicherheit, Vertrauen und die Berechtigung von Menschen und Maschinen. Schauen wir uns die Punkte im Einzelnen an.

1. Die technische Sicherheit in den modernsten Rechenzentren der Welt ist gut. Insbesondere kann man nicht anders, als unterstellen, dass sie besser ist, als alles, was 90% der Unternehmen aus eigenem IT Budget herstellen könnten. Dem allgemeinen Vorbehalt gegen die Datensicherheit steht auch die interessante Erwartung von Unternehmen gegenüber, dass Cloud Computing insgesamt die unternehmerischen Risiken senke (Saugatuck Technology) . Beispielsweise durch den Verlust von Daten.
2. Ob man einem Cloud Anbieter vertraut, ist etwas, das kaum sinnvoll diskutiert werden kann. Hier sind Entscheidungen gefragt und die fallen erfahrungsgemäß je nach Anbieter sogar unterschiedlich aus.
3. Berechtigungen wählen Sicherheitsexperten immer möglichst eng und knapp. Dominick Baier beispielsweise formuliert das Prinzip des “Least Privilege” (http://www.leastprivilege.com) . Seien wir ehrlich: Auch hier ist der Großteil der Unternehmen schlechter aufgestellt, als die Intensität der Diskussion vermuten ließe. Mitarbeiter bekommen häufig mehr Berechtigungen, als Sie konkret für Ihre Aufgabe benötigen. Warum ? Es ist in der Praxis mit vertretbarem Aufwand für viele IT Abteilungen nicht möglich, für jede Aufgabe in der Organisation temporäre und scharf geschnittene Zugriffe zu gewähren und auch wieder zurückzunehmen. Das ist so. Und es wird auch durch die Cloud nicht schlimmer. Im Gegenteil: Viele Dienste fordern Passwortsicherheiten, Erneuerung von Berechtigungen und andere Aspekte aktiv und pflichtbewußt ein.

Zweitens: Die eigene Machtposition
Kein Unternehmen oder Anwender muss eine exklusive Entscheidung für oder gegen Cloud Computing – insbesondere in der Public Cloud – treffen. Microsoft nennt es “Power of Choice”, auch das Bild vom “Hybridbetrieb” trifft es gut. Unternehmen sollten in die Lage versetzt werden, sich nach Bedarf und mit selektierten Geschäfts-TEIL-Prozessen die Vorteile von Cloud Computing ins Haus zu holen, während andere Prozesse fest unter eigener Kontrolle bleiben. Übrigens sollte hier nicht verschwiegen werden, dass es auch Manager gibt, die zuerst Ihre besonders schützenswerten Informationen in die Cloud legen, um Sie vor dem unberechtigten Zugriff im eigenen Haus zu schützen. Der entscheidende Punkt ist: Unternehmen haben die ausschließliche Macht, dies für sich selbst entscheiden zu können.

Wer nicht nach Teilprozessen entscheiden will, für den bietet sich auch eine einfachere Betrachtung anhand der Informationen an, die sich in den lokalen Systemen befinden. Diese lassen sich in drei grobe Bereiche einteilen.

1. Besonders schützenswert.
   Hier ordnen sich Daten ein, die höchst privates Know How repräsentieren oder für die eine  Speicherung außer Haus schlicht nicht gestattet ist.
   Derartige Daten gehen entweder nicht in die Cloud oder nur massiv verschlüsselt. Das wird als Option gerne vergessen, macht aber beispielsweise für langfristige Archivierungen sehr spannende Szenarien auf.
2. Prozess- und Bewegungsdaten
   Hier können Daten zugeordnet werden, die – wenn Sie am richtigen Ort, zur richtigen Zeit verfügbar sind – wichtige Prozesse beschleunigen oder deren Fehlerrate senken können. Oder beides. Diese Informationen sollten selektiv aber auch gewissermaßen großzügig zu “Cloud Candidates” gezählt werden.
3. Öffentliche Informationen.
   Hier ordnen wir Marketingunterlagen, Angebote, Whitepapers und Videos ein, die Unternehmen gerne öffentlich machen und eventuell auch auf der eigenen Website oder Facebook Fanpage bereits einstellen. Es ist sicher einigermaßen offensichtlich, dass es hier wenig Bedarf für eine künstlich verlängerte Sicherheitsdiskussion gibt, zumindest, wenn wir ausschließen, dass gezielte Manipulationen durch den Cloud Anbieter stattfinden.

Drittens: Wirtschaftliche Anreize schlagen Bedenken
Als die Unternehmen erkannt hatten, dass die technische Sicherheit Ihres Cloud Anbieters gut oder sehr gut war und sie frei entscheiden konnten, welche  Informationen und Prozesse sie durch die Cloud optimieren und wann sie das tun, war der finale Auslöser schnell gefunden: Der wirtschaftliche Anreiz.
Wie immer gilt auch hier: Wenn die Vorteile und Chancen, neue Geschäftsmöglichkeiten und erweiterte Handlungsspielräume ökonomisch wertvoll erscheinen, entsteht das Vertrauen in einen Lieferanten, Partner, Mitarbeiter oder neuen Ansatz wie Cloud Computing ganz von selbst.
Und das ist auch völlig in Ordnung. Ohne eine kleine Portion Mut kann man im globalen Wettbewerb heute nicht bestehen. Und hier nach sorgfältiger Qualifizierung schließlich klar entscheiden zu wollen,  ist auch exakt, was Unternehmertum auszeichnet.

Aber noch ist es nicht soweit.
Zum Glück, möchte man meinen. Denn auch außerhalb der Cloud “haben wir noch nicht fertig”. Erst wenn wir verstehen lernen, dass wir auch heute schon “realexistierende” Sicherheitslöcher im Alltag aus Gewohnheit pflegen, hat uns der Weckruf wirklich erreicht.  Exemplarisch sei das durch drei Bereiche unterstrichen:

1. Wir (fast) alle versenden E-Mail Attachments. Die wichtigsten unverschlüsselt
2. Wir alle haben im ICE oder am Flughafen bereits Telefonate mithören müssen, in denen jemand stolz, lautstark und zuverlässig erst den Kunden, dann den Ansprechpartner und dann das Auftragsvolumen  benennt, für das sein Arbeitgeber gestern eine Vertraulichkeitsvereinbarung unterzeichnet hat.
3. Wir sind noch am Anfang, was die Vermeidung von “USB Stick” Desastern betrifft. Der Mensch und sein Umgang mit Informationen stellt heute und in Zukunft das zentrale Risiko dar. Die Cloud kann hier helfen, gezielter und zweckgebundener den Zugriff auf Daten zu managen.