"Sind meine Daten in der Cloud sicher?" Diese Frage spielt vor allem für deutsche Unternehmen eine zentrale Rolle. Das belegt eine Studie (PDF-Link) von Bitkom Reseach und KPMG vom Frühjahr 2015. Demnach fürchten 56 Prozent der Befragten, dass die Nutzung von Cloud-Diensten die Einhaltung von Compliance-Vorgaben gefährden könnte. An die 60 Prozent der Unternehmen fürchten Angriffe auf sensible Daten, wenn sie Cloud-Services einsetzen, und 49 Prozent haben Angst von dem Verlust von Geschäftsinformationen. Dies gilt vor allem für die spezialisierten kleinen und mittelständischen Unternehmen (KMUs), die ihr Know-how nicht in die Cloud transferieren wollen. Obwohl genau diese Firmen sehr stark von der Digitalisierung und der Cloud-Nutzung profitieren könnten im Wettbewerb mit den großen Konzernen.
Solche Befürchtungen sind jedoch überzogen, auch - oder gerade dann - wenn ein Unternehmen Public Cloud Services nutzt, die ein externer Provider bereitstellt. Das unterstreicht ein weiteres Ergebnis der Studie. So verzeichneten zehn Prozent der Unternehmen in den vier Wochen vor der Befragung Angriffe auf ihre IT-Infrastruktur. In 85 Prozent der Fälle standen diese Attacken definitiv nicht im Zusammenhang mit den eingesetzten Cloud-Lösungen; an die vier Prozent der Befragten konnten dazu keine Angaben machen.
Cloud-Nutzer haben Kontrolle über ihre Daten
Diese Resultate belegen, dass Cloud Computing die Angriffsfläche der Unternehmens-IT nicht in dem Maße vergrößert, wie es von Skeptikern behauptet wird. So ist es ein Mythos, dass ein Unternehmen die Kontrolle über seine Daten aus der Hand gibt, wenn es eine Public oder Hybrid Cloud nutzt. Vielmehr können Kunden mit dem Cloud-Service-Provider vereinbaren, in welchem Rechenzentrum bestimmte Daten gespeichert und bearbeitet werden dürfen, etwa in einem Rechenzentrum in Deutschland oder anderswo in der Europäischen Union. Auf diese Weise kann ein Unternehmen steuern, in welchem Rechtsraum sensible Informationen lagern, insbesondere personenbezogene Daten. So sind Nutzer von Cloud-Diensten in der Lage, von strengeren Datenschutz- und Compliance-Auflagen zu profitieren, etwa dem Bundesdatenschutzgesetz oder den Vorgaben der Europäischen Union.
Wichtig ist, dass im Vorfeld eine Klassifizierung der Informationsbestände erfolgt. Denn an geschäftskritische und personenbezogene Daten müssen höhere Sicherheitsmaßstäbe angelegt werden als an solche, die für die Öffentlichkeit bestimmt sind, beispielsweise Werbeunterlagen oder Produkthandbücher. Außerdem empfiehlt es sich, bei der Vertragsschließung mit einem Cloud-Service-Provider auf die EU-Standardvertragsklauseln zurückzugreifen. Sie regeln den Transfer personenbezogener Daten in Länder außerhalb des Europäischen Wirtschaftsraums. Diese Klauseln stellen sicher, dass die Datenschutzvorgaben der EU auch bei der Bearbeitung sensibler Daten in Cloud-Rechenzentren außerhalb der Europäischen Union zum Tragen kommen.
Sicherheit muss Teil der Produktentwicklung sein
Ein wesentlicher Faktor bei Anwendungen, die ein Unternehmen als Software-as-a-Service (SaaS) aus einer Cloud bezieht, ist die Qualität dieser Applikationen. Sicherheit sollte bei Cloud-Anwendungen ein fester Bestandteil der Produktentwicklung sein. Für Anwender lohnt sich daher ein Blick darauf, welche Maßnahmen ein Software-Anbieter ergreift, um seine Cloud-Lösungen "wasserdicht" zu machen. Hierzu zählen beispielsweise ein Security Development Life Cycle (SDLC) oder die Einhaltung von Normen wie der ISO 27034. Sie definiert Regeln, die das Sicherheitsniveau bei der Softwareentwicklung erhöhen.
Speziell bei der Wahl eines Anbieters von SaaS-Lösungen sollten Nutzer zudem nachfragen, wie es der Provider mit dem Einspielen von Sicherheits-Updates (Patches) und neuen Versionen einer Software hält. Kritische Patches sollten umgehend implementiert werden. Insbesondere bei Cloud-Anwendungen, die eng mit IT-Systemen und Geschäftsprozessen im Unternehmen verzahnt sind, sollten Updates und das Einspielen neuer Versionen zudem mit dem Anwender abgestimmt werden. Hauruck-Aktionen, wie sie bei einigen großen Cloud-Anbietern zu beobachten sind, können unnötige Sicherheitsrisiken mit sich bringen und die IT-Abteilungen von Unternehmen vor Probleme stellen.
Dabei ist es den deutschen Firmen bewusst, dass sie in Sicherheit investieren müssen. Zu diesem Ergebnis kommt eine aktuelle Studie der NIFIS (Nationale Initiative für Informations- und Internet-Sicherheit e. V.), bei der 53 Prozent aller Befragten angaben, dass sie mit Mehrausgaben für den Bereich IT-Sicherheit in 2016 fest rechnen.
Verschlüsselung ist kein Allheilmittel
Für viele Nutzer von Cloud-Services spielt die Verschlüsselung beim Schutz ihrer Daten eine wichtige Rolle. Das ist auch richtig so, denn Daten sollten sowohl beim Transport über - öffentliche - Netzwerke als auch auf den Systemen des Service-Providers verschlüsselt werden. Falsch ist jedoch, dass Verschlüsselung ein Allheilmittel ist. So kann sich eine Verschlüsselung von Daten durchaus störend auf den Geschäftsbetrieb auswirken, etwa dann, wenn bei Datenbank-Abfragen die Daten zuvor entschlüsselt und nach Abschluss der Aktion wieder verschlüsselt werden müssen. Hier können Frameworks wie SEED (Search over Encrypted Data), das derzeit von SAP entwickelt wird, weiterhelfen. Es ermöglicht Abfragen von Datenbanken, ohne dass auf den entsprechenden Servern die Daten entschlüsselt werden müssen.
Zudem hilft Verschlüsselung nicht weiter, wenn sich Unbefugte Zugang zu den Schlüsseln verschaffen. Das können illoyale Mitarbeiter des Service-Providers oder Nutzer von Cloud-Diensten sein. Solche Aktivitäten lassen sich beispielsweise mit einem Identity-Management-System und Konzepten wie "Least Privilege Access" vermeiden. Nur dazu autorisierte Personen können dann auf bestimmte Datenbestände zugreifen. Dazu werden sie nur mit den unbedingt erforderlichen Berechtigungen ausgestattet.
Rechenzentren von Cloud-Service-Providern unter die Lupe nehmen
Ein Faktor, den Kritiker von Cloud-Diensten gerne außer Acht lassen, ist das Sicherheitsniveau der Datacenter von Service-Providern. Dieses ist in vielen Fällen deutlich höher als das von Unternehmensrechenzentren. Der Grund liegt auf der Hand: Würden Kunden durch unzureichende Sicherheitsvorkehrungen Daten verlieren, könnte ein Cloud-Service-Provider schließen.
Ein Indikator dafür, dass ein Cloud-Rechenzentrum hohen Sicherheitsstandards entspricht, ist eine Zertifizierung gemäß ISO 27001, SSAE 16 oder SIAE 3402. Unternehmen, die an Standorten in mehreren Ländern Cloud-Dienste eines Providers nutzen, sollten darauf achten, dass dessen Rechenzentren über die dort geltenden Zertifizierungen verfügen. Außerdem können seriöse Service-Provider nachweisen, dass sie in den vorgegebenen Intervallen eine Re-Zertifizierung durchführen. Denn ein beliebter Trick von "schwarzen Schafen" in der Cloud-Branche besteht darin, sich diese Mühe zu sparen, aber dennoch mit einem Gütesiegel wie ISO 27001 zu werben.
Plattform- und Infrastruktur-Ebene mit einbeziehen
Häufig reduzieren Nutzer von Cloud-Services das Thema Sicherheit auf zwei Aspekte: den Schutz ihrer Daten und die Sicherheit der genutzten Dienste und Applikationen. Doch zusätzlich benötigt eine stabile und sichere Cloud-Lösung eine ebenso robuste und sichere Plattform und Infrastruktur. Das schließt ein hochsicheres Rechenzentrum, die Absicherung des Zugriffs auf Daten sowie ein klar geregeltes Datenmanagement mit ein.
Cloud-Rechenzentren müssen daher höchsten Sicherheitsanforderungen genügen. Das betrifft die physische Absicherung, etwa gegen Stromausfälle, Hochwasser und das Eindringen Unbefugter, aber auch klassische IT-Security-Maßnahmen. Dazu zählen das Sichern von Daten an unterschiedlichen Standorten sowie der Schutz des Netzwerks und der IT-Systeme vor Cyber-Angriffen aller Art. Führende Cloud-Service-Provider geben Interessenten die Möglichkeit, sich selbst vor Ort in einem Rechenzentrum des Anbieters ein Bild von solchen Schutzmaßnahmen zu machen.
Enormer Informationsbedarf bei deutschen Unternehmen
Allerdings herrscht bei Unternehmen in Deutschland noch ein beträchtlicher Nachholbedarf, was Kenntnisse über die Sicherheitsanforderungen und rechtlichen Bedingungen der Nutzung von Cloud-Diensten betrifft. Das gilt vor allem für mittelständische Unternehmen, wie die Studie "DsiN Sicherheitsmonitor 2015" (PDF-Link) der Initiative Deutschland sicher im Netz (DsiN) ergab. Selbst 27 Prozent der Unternehmen, die bereits Cloud-Services einsetzen, haben keine Kenntnisse der Sicherheitsregeln, die für die Nutzung von Cloud-Diensten gelten. An die 47 Prozent sind "teilweise" informiert.
Es liegt auf der Hand, dass dieser Mangel an Wissen Risiken für die betreffenden Unternehmen mit sich bringt. Hier sind die IT-Abteilungen, Datenschutzfachleute und Compliance-Experten der Nutzer von Cloud-Diensten gefordert. Sie müssen schlichtweg Know-how in puncto Datenschutz und Datensicherung in Cloud-Umgebungen aufbauen. Dabei können sie auf die Beratungskompetenz von Cloud-Service-Providern zurückgreifen. Alle führenden Anbieter von Public-Cloud-Diensten stellen Kunden und Interessenten entsprechende Informationen zur Verfügung.
Der Faktor Mensch
Wenn man Sicherheitsstudien glauben darf, finden 65 bis 70 Prozent der Angriffe auf Informationen innerhalb eines Unternehmens statt. Das heißt nicht, dass die Mitarbeiter auch die Täter sind, sondern nur, dass technische Maßnahmen, die einen Schutz von außen bieten sollten, umgangen wurden. Hier kommen Mitarbeiter als größter Schutzfaktor ins Spiel. Nur sie können starke Passwörter wählen, vertrauliche Ausdrucke rechtzeitig vernichten, das White Board mit vertraulichen Informationen nach dem Meeting säubern oder Fremde im Büro direkt ansprechen. Aus diesem Grund ist es äußerst wichtig die eigenen Mitarbeiter zu sensibilisieren und konsequent zu schulen. Bei SAP sind diese Trainings obligatorisch.
Deutschland sicher im Netz
Um sich auch als Firma breiter für IT-Sicherheit im Mittelstand zu engagieren ist SAP aktives Mitglied beim Verein Deutschland sicher im Netz e.V. Produktneutral und herstellerübergreifend ist DsiN zentraler Ansprechpartner für Verbraucher und mittelständische Unternehmen. Bei DsiN engagieren sich Unternehmen, Vereine und Branchenverbände der digitalen Wirtschaft und Gesellschaft. Sie leisten mit ihren konkreten Handlungsversprechen einen praktischen Beitrag für mehr IT-Sicherheit.
Der Beitrag von SAP zu Deutschland sicher im Netz konzentriert sich auf die Unterstützung kleiner und mittelständischer Unternehmen bei der Absicherung ihrer Geschäftsanwendungen und die Stärkung des Vertrauens in das Internet. Dies schließt auch explizit die Cloud-Anwendungen mit ein. Aus diesem Grunde beteiligt sich SAP insbesondere an Projekten zum Thema IT-Sicherheit für den Mittelstand. Das starke Engagement wird unterstrichen durch die Tatsache, dass Hartmut Thomsen, Geschäftsführer der SAP Deutschland SE & Co. KG, seit 2013 stellvertretender Vorstandsvorsitzender des Vereins ist.