An der Cloud führt im Prinzip kein Weg mehr vorbei. Darüber waren sich die Teilnehmer Dr. Werner Gutau, verantwortlich für die Sicherheit der Division Chip Card &Security der Infineon Technologies AG, Thomas Schott, ehemals CIO bei Rehau, Dr. Rolf Reinema, Head of Technology Field IT-Security bei der Siemens AG sowie Gerald Götz, CIO beim Städtischem Klinikum München, des COMPUTERWOCHE-Roundtable "Cloud-Security" einig. So sprach Thomas Schott, dessen Unternehmen seit 2007 auf eine Private Cloud setzt, für viele, wenn er meinte, die heute geforderte Agilität und Schnelligkeit im Geschäftsleben könne nur noch durch Cloud-Lösungen gewährleistet werden.
Ein differenzierteres Bild zeigt sich dagegen bei der Frage Private oder Public Cloud. Hier spielen gleich mehrere Aspekte eine Rolle. So war unter den Teilnehmern eine weit verbreitete Skepsis gegenüber den Public-Cloud-Angeboten hinsichtlich der Sicherheit zu spüren. "Für unsere sensiblen Daten kommt nur die Private Cloud in Frage", bekräftigte Götz, "zumal wir in der Public Cloud keinen deutlichen Vorteil sehen." Ferner wurde noch der Geschäftsnutzen vermisst und die Reife manches Cloud-Modells hinterfragt.
Eine Meinung, die so nicht alle Diskussionsteilnehmer mittrugen. So fährt man etwa bei Siemens zweigleisig und setzt sowohl auf Public als auch Private Cloud. Gerade Standardprozesse wie etwa Reisekostenabrechnungen sahen etliche Teilnehmer gut in der Public Cloud aufgehoben. Für Infineon stellte Gutau fest, "Private Clouds haben wir bereits seit vielen Jahren. Für diese kommen aber angesichts der Sicherheitsproblematik nur ausgesuchte Services mit unkritischen Daten in Frage." So kann sich etwa Siemens-Manager Reinema gut vorstellen, dass etwa Anwendungen für das Smart Home standardmäßig aus der Cloud kommen. Grundsätzlich stellt sich für ihn aber die Frage, "wem gehören die Daten in der Cloud eigentlich?" und wie kann man durch mehr Transparenz dem gefühlten Kontrollverlust entgegenwirken. Wie wichtig diese Kontrollmöglichkeiten sind, verdeutlicht Infineon-Manager Gutau, "denn bei uns geht es neben dem Datenschutz oft um die Exportkontrolle in andere Länder und bei Verstößen drohen nicht selten harte Sanktionen".
Unbewusst in der Hybrid-Cloud?
Allerdings ist die Frage, ob sich diese Unterscheidung Private oder Public Cloud in der Praxis wirklich so eindeutig treffen lässt. Eventuell befinden sich viele Unternehmen bereits bewusst oder unbewusst in einer Hybrid Cloud, da ihre Mitarbeiter Public-Cloud-Dienste nutzen - und sei es nur auf dem eigenen Smartphone. Aber bekanntlich bestimmt ja das schwächste Glied einer Kette die Gesamtsicherheit.
CIO Götz drückt der Schuh in Sachen Cloud und Security an ganz anderer Stelle. "Uns lässt das bayerische Datenschutzgesetz keinen Spielraum", klagt Götz. "Die Cloud könnte nämlich für die Patienten einen Quantensprung bei der Behandlung bringen", schwärmt der IT-Verantwortliche. Götz denkt dabei etwa an folgendes Szenario: In der Notfallaufnahme eines Krankenhauses könnten die Helfer dann sofort mit der Behandlung beginnen, statt langwierig Blutgruppe und Vorerkrankungen etc. zu recherchieren, weil sie diese Daten aus der Cloud direkt auf das Tablet erhielten. Gerade im medizinischen Umfeld lassen sich viele Anwendungsfälle finden, die von Cloud-Lösungen profitieren würden, wenn es denn die Gesetzeslage erlauben würde, "die Sicherheitstechnik ist nicht das Problem", so Götz.
Compliance und Recht sind ein Minenfeld
So ist für die Diskussionsteilnehmer am Security-Roundtable weniger die Sicherheitstechnik eine Frage, sondern eher das Thema Compliance und Recht ein Problemfeld, wenn nicht gar ein Minenfeld. Wer hat Zugriff auf die Daten? Von wo darf er Zugriff haben? Wann exportiert ein Mitarbeiter die Daten? Ist ein Monitoring der Cloud durch den Admin bereits ein Datenabruf? So oder ähnlich lauten die Fragen, mit denen sich die CIOs in ihrer täglichen Arbeit konfrontiert sehen, wenn es um das Thema Cloud und Sicherheit geht. Fragen, die sich unabhängig davon ergeben, ob der Cloud-Partner ein Data Center in Deutschland oder einem anderen Land betreibt. Gerade bei Informationen, die der Exportkontrolle unterliegen, stelle sich die Frage, so Gutau, ob unterwegs der Zugriff auf die Daten dann einen nicht erlaubten Export darstelle.
Dabei treibt Gutau neben dem Thema Datenschutz vor allem die Frage um, wie geistiges Eigentum geschützt wird, "da spielen die Standorte der Cloud-Anbieter eine untergeordnete Rolle. Wichtig ist, ob ein Anbieter unsere Daten effektiv schützen kann. Das Risiko, kritische Daten zu verlieren, können wir nicht eingehen, da behalten wir lieber selbst die Kontrolle." Auch Datenschutzgesetz und andere gesetzliche Regelungen sollen hier keine ausreichende Sicherheit bieten, "denn derartige Gesetze sind in der Umsetzung komplex und können gebrochen werden", führt Gutau weiter aus.
Ohne Cloud geht es nicht
Angesichts solcher und anderer Unwägbarkeiten kann sich die Diskussionsrunde nur schwer mit dem Gedanken anfreunden, dass in einigen Jahren eine Erbringung von IT-Leistungen ohne Cloud Services eventuell komplett unmöglich ist. So ist etwa Schott überzeugt, dass man künftig um gewisse Cloud-Anwendungen nicht herumkommen werde, nachdem er bereits heute dediziert Cloud-Anwendungen wie zum Beispiel Salesforce einsetzt. Deshalb sei es wichtig die Cloud so kompatibel wie möglich zu den Standards der Anwenderunternehmen zu gestalten, um agil und flexibel handeln zu können. Gutau von Infineon unterstützt dies durchaus, weist aber darauf hin, dass sein Unternehmen Kundenbeziehungen pflege, die geschützt werden müssten.
Dies sei mit den momentan verfügbaren Sicherheitsmechanismen in der Public Cloud nicht gewährleistet. "Und was machen Sie, wenn zwei Unternehmen mergen, die bei unterschiedlichen Cloud-Anbietern sind", fragt Gutau weiter und kommt zu dem Schluss, "die Zusammenführung der Daten kann je nach vertraglicher Situation sehr problematisch sein". Letztlich, so sein Credo, müsse jedes Unternehmen für sich klären, wie es mit diesen Fragen umgeht.
Die German Ängstler
Götz wirft die These in den Raum, dass "wenn wir deutsches Recht umsetzen die Sache eigentlich OK sein müsste, schließlich seien wir weltweit als die German Ängstler bekannt." Allerdings hat er mit einer Besonderheit zu kämpfen, obwohl das Gesundheitswesen als einer der Wachstumsmärkte der Zukunft gilt, sieht sich Götz immer wieder mit steinzeitlichen Vorstellungen konfrontiert, etwa einem Bayerischen Krankenhausgesetz Art 27, das im Jahr 2016 noch Vorschriften zur Verarbeitung vom Mikrofilmen enthält und nur die Datenverarbeitung in anderen Krankenhäusern erlaubt, oder wie es Götz formuliert, "einen Cloud-Service der Patientendaten verarbeitet, dürfte ich nur von einem anderen Krankenhaus beziehen."
Götz sieht sich hier mit einem Spannungsbogen zwischen Datenschutz und Praktikabilität konfrontiert, die etwa seinen Medizinern eine Teilnahme an US-Studien unmöglich macht, da hier private Daten per Patriot Act in fremde Hände gelangen könnten. Ebenso sieht er durchaus die Schwierigkeiten von Safe Harbor und kann die Entscheidung des EuGH nachvollziehen. "Vielleicht sollten wir uns einmal überlegen, wo wir hinwollen, denn hier haben wir im Gesundheitswesen einen Spannungsbogen zwischen einem der globalen Wachstumsmärkte der Zukunft und der nationalen Rechtsauffassung", so Götz, "letztlich sind wir hier ein bisschen schizophren."
Auch Schott betrachtet die Datenschutz-Compliance als wichtig, warnt jedoch davor, "dass die Welt um Deutschland herum komplett anders tickt und wir es uns nicht leisten können, da wir hinterherzuhinken drohen." So sei etwa Deutschland eines der letzten Länder das die Rollout-Quote der EU für die Smartmeter erfüllen werde, weil wir immer noch diskutieren, welche Daten, wo, wann und wie gespeichert und verarbeitet werden dürfen. "Wir können darüber noch zehn Jahre diskutieren", stellt Schott frustriert fest, " die Welt um uns herum ist dann aber schon fertig." Er plädiert deshalb dafür, dass Deutschland schnellstmöglich handlungsfähig wird und die Standards und Regeln setzt, wobei die 100 Prozent Sicherheit nicht zu erreichen seien - da der Mensch im das schwächste Glied bleiben wird.
Security und Innovation
Eine Argumentation, der Infineon-Manager Gutau durchaus folgen kann, wobei dies für ihn weniger eine technische Frage ist, als eine politische Diskussion verschiedener Interessensgruppen. Hierbei lasse sich, so Reinema, eine Tendenz beobachten, nämlich alles tot zu regulieren. Ein Punkt der besonders für den Security-Bereich zutreffe, wo immer versucht werde das Risiko gegen Null zu reduzieren, während auf der anderen Seite die Kosten exponentiell gegen Unendlich steigen. Dabei übersehen laut Reinema viele, dass Security auch einen Einfluss auf die Innovationsfähigkeit einer Organisation hat: "Tue ich zu wenig, kappe ich Innovationen, weil ich ständig an die Wand fahre, sind die Restriktionen zu strikt, schneide ich Innovationen ab, noch bevor sie entstehen." Letzteres sei beim Thema Cloud Computing auch ein Stück weit passiert, als die Datenschützer schweres Geschütz dagegen auffuhren, noch bevor überhaupt die ersten Geschäftsmodelle hinter den Cloud-Gedanken gefunden waren.
"Hier hätte man einige Leitplanken setzen müssen, innerhalb derer sich die Cloud-Player frei bewegen dürfen, statt gleich die volle Breitseite der Regularien abzufeuern, was dazu führt, dass Innovationen nicht in Deutschland entstehen, sondern in anderen Ländern." Erschwerend käme hinzu, dass mit steigenden Security-Hürden die Bereitschaft der User steige sich workarounds wie Dropbox etc. zu suchen, "so dass ich am Ende als Security-Verantwortlicher mit diesen engen Leitplanken weniger erreicht habe als ich wollte." Eine Argumentation der Götz zustimmt, "hätte die Politik vor zehn Jahren bei der Gesundheitskarte die Leitplanken gesetzt und gesagt, wir haben in Deutschland 2.000 Krankenhäuser und wir wollen jetzt Patientendaten sicher speichern und verarbeiten im Sinne des Patienten, dann stünden wir heute ganz anders da."
So kann er denn auch nicht verstehen, dass wir im 21. Jahrhundert in Europa immer noch nicht in der Lage sind, Patientendaten grenzüberschreitend auszutauschen und deshalb Patienten sterben. Zumal es mittlerweile auch gute Krankenhauslösungen aus der Cloud gibt - wenn auch aus den USA.
Die COMPUTERWOCHE führt derzeit auch eine Studie zum Thema Cloud-Security durch. Die Studie wird ab Juni verfügbar sein. Vorbestellungen sind unter vertriebsmarketing@idg.de möglich.