Hat die Datenpanne bei Sidekick das Vertrauen der Anwender in Cloud Computing erschüttert?
Marco Di Filippo: Dieser Vorfall hat gezeigt, was passieren kann, wenn eine Technologie nicht vollends ausgereift ist. Ich denke, dass die betroffenen Anwender Cloud Computing künftig skeptischer gegenüber stehen als zuvor. Dass es das Vertrauen grundsätzlich erschüttert hat, denke ich nicht.
Was müssen Anbieter tun, um das Vertrauen der Anwender wieder zurückzugewinnen?
Di Filippo: Seit jeher gibt es Dienstleistungen, die aus Performance-Gründen, aber auch auf Grund der allgemeinen Akzeptanz an spezialisierte Dienstleister ausgegliedert werden. Banken sind ein gutes Beispiel. Kunden besitzen hier ein gewisses Urvertrauen. Das liegt daran, dass sie mit Banken Sicherheit verbinden. Die Cloud-Anbieter müssen sich erst noch etablieren. Dies schaffen sie nur, indem sie genügend Beweise liefern, dass ihre Technologien sinnvoll und sicher sind - so eine Panne wie bei Sidekick muss daher ein Einzelfall bleiben.
Worauf müssen IT-Anwender achten, wenn sie ihre Daten einem Cloud-Provider anvertrauen?
Di Filippo: Allgemein gilt es, im Vorfeld zu prüfen, ob der Anbieter des Vertrauens die Schutzziele beachtet. Diese lassen sich allgemein in drei Kategorien unterteilen: Vertraulichkeit, Integrität und Verfügbarkeit.
Letztendlich ist es eine Vertrauensfrage: Viele Anwender werden die Lage der Datensicherheit nicht beurteilen können. Hier gilt es, langfristig einen Standard zu definieren. Es muss jedem Anwender klar sein, dass er seine Daten Dritten anvertraut. Meiner Meinung nach sollte die Prüfung der Notwendigkeit an oberster Stelle stehen.
Wo liegt das größte Sicherheitsrisiko?
Di Filippo: Es liegt in der Natur der Sache dass Cloud-Provider ein bevorzugtes Angriffsziel darstellen. Sie sind auf Grund der Datenvorräte, Bekanntheit und Verbreitung einem erhöhten Risiko ausgesetzt.
Ist es für Hacker oder Industriespione möglich, die Sicherheitsbarrieren der Cloud-Provider zu überwinden?
Di Filippo: Wo gearbeitet wird, werden auch Fehler gemacht. Ein fehlerfreies System wird es wohl niemals geben. Auch die Cloud-Provider unterliegen den allgemeinen Risiken der IT-, Design-, Hersteller-, und Programmierfehler. Deshalb wird es auch hier mit großer Wahrscheinlichkeit erfolgreiche Datenabgriffe geben. Ziel muss es sein, die Sicherheitsbarrieren möglichst hoch zu setzen.
Kennen Sie Fälle oder Beispiele, wo das geschehen ist?
Di Filippo: Es gibt bereits Fälle in diesem Bereich. Aus Diskretionsgründen gegenüber Kunden geben wir allerdings keine Details preis.
Inwiefern lässt sich ein Cloud-Provider kontrollieren?
Di Filippo: Es ist für kleine und mittelständische Unternehmen nicht möglich, einen Provider hinreichend zu kontrollieren. Es gibt aber Organisationen wie OWASP, die derzeit daran arbeiten, Standards zu definieren, die von den Anbietern erfüllt werden müssen.
Welche Daten würden sie nicht in die Cloud geben?
Di Filippo: Generell würde ich keine sensiblen Daten in die Cloud geben. Zudem würde ich darauf achten, dass die Daten nur temporär dort verwaltet werden, zum Beispiel bei der Nutzung spezieller Dienstleistungen oder Software.
Einer aktuellen Umfrage der PGP-Corporation zufolge verzeichneten 53 Prozent der deutschen Unternehmen mindestens eine Datenpanne innerhalb der letzten zwölf Monate. Sind On-premise-Lösungen unsicherer als Cloud-Lösungen?
Di Filippo: Ich denke, das ist eine Frage der Philosophie, des Knowhows der Verantwortlichen und des Vertrauens. Letztendlich basieren beide Lösungen auf den gleichen Plattformen. Lediglich der Weg zum Anwender ist anders geartet. Cloud-Lösungen können für kleine- und mittelständische Unternehmen durchaus eine Chance darstellen, mit professionellen Lösungen zu arbeiten - auch in Bezug auf die IT-Security. Letztendlich liegt es bei On-premise-Lösungen in der Hand des Anwenders, wie sicher oder unsicher er seine Lösung gestaltet.
Würden Sie Ihre Daten einem Cloud-Provider anvertrauen?
Di Filippo: Nur unter der Voraussetzung, dass die Daten einem symmetrischen Verschlüsselungssystem unterliegen und nur ich beziehungsweise autorisierte Personen Zugriff auf die Daten erhalten.