Ratgeber

Security-Risiken beim Cloud Computing

08.03.2011
Von Rene Reutter und Thorsten Zenker, T-Systems  
Viele IT-Manager schrecken aus Sorge um die Sicherheit und Verfügbarkeit von Anwendungen und Daten vor der Nutzung von Cloud-Computing-Diensten zurück. Doch die Security-Risiken lassen sich eindämmen.

Damit sie mit der Wolken-IT nicht plötzlich im Regen stehen, scheuen große Unternehmen nach einer aktuellen Studie der amerikanischen Information Technology Intelligence Corporation (ITIC) den Schritt zum Cloud Computing. Die Marktforscher befragten international 300 Firmen mit bis zu 100.000 Mitarbeitern. Lediglich 15 Prozent von ihnen wollen in absehbarer Zeit entsprechende Technologien einsetzen, nur acht Prozent tun es bereits. Die größten Ängste existieren hinsichtlich der Sicherheit: Zum einen ist meist nicht genau bekannt, wo auf dem Erdball die sensiblen Daten gespeichert sind. Wie steht es da zum Beispiel mit der Compliance? Welchem Landesrecht unterliegen die Informationen? Zum anderen besteht die Sorge, dass das Geschäft durch einen längeren Netzausfall zum ruinösen Stillstand kommt.

Wie so oft entstehen Ängste durch Skepsis vor dem Neuen: Gerüchte kursieren und es herrscht mangelhafte Aufklärung. Wer aber weiß, welche Sicherheitslücken drohen und wie er sich schützen kann, muss sich weniger fürchten, denn die Risiken lassen sich auf ein Minimum reduzieren. Hier sind die Cloud-Computing-Provider in der Pflicht, ihre Kunden über die für sie am besten geeigneten Sicherheitsmaßnahmen zu informieren. Welche davon er nutzt, bleibt jedem Anwender dann selbst überlassen. Aber nur wer das persönliche Sicherheitsniveau richtig einschätzen kann, entdeckt für sein Geschäft in der Wolke mehr als ominösen Nebel.

Privat versus öffentlich

Schon die von Anbieter zu Anbieter beziehungsweise Analyst zu Analyst unterschiedlichen Definition der Cloud führen zu gravierenden Missverständnissen: Meist geht es um ein Verlagern der ICT-Ressourcen von lokalen Rechnern ins öffentliche, unsichere Internet. Aber muss das zwangsläufig so sein? Hier gilt es, grundsätzlich zwischen öffentlichen ("public") Clouds à la Amazon und Google sowie dedizierten ("private") Clouds für Unternehmen zu unterscheiden. Erstere eignen sich primär für private Nutzer, um zum Beispiel Mails überall zu empfangen und zu versenden oder um Dateien und Urlaubsfotos bequem auf Festplatten im Netz abzulegen. Sie kosten meist nichts, ihre Betreiber verpflichten sich aber auch zu nichts. Bei einem Server-Ausfall müssen die Anwender eben warten. Geht ein Mailserver oder eine Festplatte kaputt, sind die Daten weg. Sicherheit und Servicevereinbarungen - Fehlanzeige.

No risk, no fun? Was sich im privaten Umfeld mehr und mehr durchsetzt, widerspricht deutlich den Anforderungen der Geschäftswelt. Von der Datensicherheit, dem Schutz gegen Manipulationen und einer hohen Verfügbarkeit hängt oft das Überleben eines Unternehmens ab. Weltweit stünden die meisten Firmen nach gut einer Woche ohne ihre IT-Daten vor dem Ruin. Und neben einem hohen finanziellen Verlust leidet meist auch das Image, wenn Informationen über eine neue Produktentwicklung schon vor ihrer offiziellen Publikation nach außen dringen. Sollten Unternehmen also trotz der hohen Flexibilität und der rein verbrauchsabhängigen Bezahlung lieber auf die Wolke verzichten? Die Antwort liegt in der "privaten" Cloud, einem Kompromiss aus Wolke und eigener Anbindung an ein Data Center. Hier fließen die Daten nicht über das öffentliche Internet, sondern über das getunnelte Netz des Providers.