| Ohne Sicherheit bleibt die Cloud ein Luftschloss | |
| Cloud-Sicherheit im Überblick | |
| Server in der EU | |
| Security schließt das RZ mit ein | |
| Datenübermittlung absichern | |
| Rechtliche Regelungen |
Glaubt man Marktforschern, wird Cloud Computing in den kommenden Jahren in Deutschland eine maßgebliche Rolle spielen. Die Marktforschungsgesellschaft Experton Group geht davon aus, dass der Umsatz mit Cloud-Produkten 2012 ein Volumen von 3,1 Milliarden Euro erreicht. Für 2015 erwarten die Berater schon mehr als 8,5 Milliarden Euro. Die Anbieter von Cloud-Services, der dafür erforderlichen Hard- und Software sowie von Beratungsleistungen hören das natürlich gerne.
Dennoch ist die Stimmung getrübt. Denn viele der - potenziellen - Anwender von Cloud-Diensten stehen der Idee, IT-Dienste "aus der Wolke" zu beziehen, kritisch gegenüber. Ein wesentlicher Grund: Angst um die Sicherheit unternehmenskritischer Daten und Furcht vor der Verletzung von Compliance-Regeln. Eine Umfrage der Beratungsgesellschaft Deloitte unter IT-Leitern westeuropäischer Unternehmen im Jahr 2011 ergab beispielsweise, dass mehr als die Hälfte der Fachleute den Verlust der Kontrolle über Daten und Anwendungen sowie die unzureichende Datensicherheit noch als schwere Mängel des Cloud-Konzepts betrachten. Weitere Kritikpunkte: die Gefahr, sich einem Anbieter auszuliefern, und Zweifel daran, dass ein Anbieter Cloud-Computing-Services langfristig zur Verfügung stellen kann.
"Die offenen Fragen in puncto Datensicherheit und -schutz in Public-Cloud-Umgebungen bremsen das Wachstum von Cloud-Diensten derzeit noch aus", räumt Alexander Peter ein, Certified Information Systems Security Professional (CISSP) bei der IT-Sicherheitsfirma Symantec. "Auf der einen Seite lassen sich bekannte Security- und Compliance-Lösungen einsetzen, darunter Data Loss Prevention, Verschlüsselung und eine starke Authentifizierung", so der Fachmann. "Sehr oft werden diese Lösungen jedoch in einem antiquierten Perimeter-Kontext verwendet - also in dem Irrglauben, dass es noch ein 'Innen' und 'Außen' gibt, und der Vorstellung, dass Gefahren nur von außen kommen."
Diese Denkweise ist Peter zufolge falsch. Wichtig sei vielmehr ein informationszentrierter Ansatz zur IT-Sicherheit. Dieser berücksichtige, wo welche Informationen gespeichert seien und wie sie gesichert würden.
Wer einen Cloud-Computing-Dienst nur anhand des Serviceportfolios oder des günstigen Preises auswählt, handelt fahrlässig. In Bezug auf Sicherheit und Compliance sollte auf folgende Punkte geachtet werden:
Sicherheitszertifikate,
Compliance-Zertifikate,
Branchenspezifika,
Anbieter mit Sitz in Deutschland oder der EU,
Risikobewertung,
renommierte Auditoren,
passende Kundenstrukturen, wen bedient der Provider primär? Großunternehmen oder Mittelständler?
