Cloud Computing

So sicher ist die Cloud wirklich

26.03.2015 von Martin Römhild
Clouds locken mit mehr Flexibilität und weniger Kosten. Doch gerade nach Skandalen wie der NSA-Affäre ist die Geschäftswelt skeptisch. Unternehmen haben Angst vor Wirtschaftsspionage und Hackerangriffen. Jetzt befassen sich IT-Verantwortliche zunehmend mit den Vorteilen der Cloud. Immer mehr deutsche Unternehmen denken um und lagern ihre Daten von der Festplatte oder dem lokalen Server aus.
Unternehmen, die einen sicheren Cloud-Anbieter gefunden haben, sollten dessen Sicherheitsstandards regelmäßig hinterfragen und mit anderen Anbietern vergleichen.
Foto: Maksim Kabakou - Fotolia.com

Die Cloud kann ohne große Vorkenntnisse genutzt werden, ist schnell und braucht keinen Platz, wie etwa ein Serverraum. Anschubinvestitionen entfallen, ebenso wie der Aufbau interner spezialisierter Kompetenzen und langer Skalierungstests. Firmen können sich auf das Kerngeschäft konzentrieren, da der eigene IT-Betrieb deutlich verkleinert werden kann.

Unternehmen sind trotzdem skeptisch: Sind die Daten in der Cloud wirklich sicher? Wie leicht kommen Dritte an die teils sehr heiklen Informationen? "Anwendungsszenarien elastisch abzubilden und Systeme hoch verfügbar und geschützt vor Schädlingen vorzuhalten, erfordert stete Investitionen in aktuelle Systeme, Software und Fähigkeiten der Mitarbeiter. Der gesamte Kostenblock verschwindet in den derzeit circa 70 Prozent "Run"-Kosten einer Firma für ihre IT - eine denkbar undankbare Situation", sagt Hans Wieser, Business Lead Data Insight von Microsoft Deutschland. Er gibt zu bedenken, dass das eigene Rechenzentrum oder der lokale Hoster kaum sicherer sein kann, als eine Cloud, da ein absolut sicheres System jenseits des Budgets eines mittelständischen Unternehmens läge.

Regeln für ein möglichst hohes Sicherheitsniveau

Um einen Cloud-Anbieter mit einem möglichst hohen Sicherheitsniveau zu finden sollten Unternehmen sorgfältig prüfen, welche Anbieter wirklich vertrauenswürdig sind. Michael Hange, Leiter des Bundesamtes für Sicherheit in der Informationstechnik (BSI) rät Unternehmen: "Wenn man sich dem Thema Cloud-Computing widmet, muss man zum einen darauf schauen: wer kann einem entsprechende Dienstleistungen bieten? Und man muss natürlich auch einen Forderungskatalog haben, was man an qualitativen Forderungen, aber auch an Sicherheitsforderungen stellt."

IDC über den Markt für Private Cloud und Hosted Private Cloud in Deutschland
Entwicklung der Cloud-Modelle in Deutschland
In dem Report „Der Private & Hosted Private Cloud Markt in Deutschland, 2013-2018“ untersucht IDC die Entwicklung der Cloud-Modelle in Deutschland. Die Studie basiert auf Angaben von rund 200 Unternehmen, die die Cloud-Nutzung zumindest erwägen.
Private Cloud vorn
Wer sich für die Cloud entscheidet, setzt meist auf eine Private Cloud. IDC-Analyst Matthias Kraus führt das vor allem auf Sicherheitsüberlegungen zurück.
Marktanteile
Das Marktvolumen für den Aufbau von Private Clouds betrug 2013 in Deutschland mehr als 700 Millionen Euro. Das Geld floss zu 42 Prozent in Services, 37 Prozent in Hardware und 22 Prozent in Software.
CIOs im Regen
Wer letztlich die Entscheidung über den Weg in die Cloud trifft, ist für Kraus ein Indikator der jeweiligen Firmenkultur. Eines steht seiner Beobachtung nach fest: Geschäftsführung und Fachabteilungen üben immer mehr Druck aus auf den IT-Entscheider. Sie blicken nach wie vor auf die Kosten und fordern gleichzeitig, dass die IT Geschäftsprozesse flexibel unterstützt und Business-Innovationen vorantreibt.
Matthias Kraus, Research Analyst bei IDC
IDC-Analyst Matthias Kraus erwartet, dass sich immer mehr Unternehmen für einen Mix verschiedener Cloud-Modelle öffnen. Steht das Rechenzentrum eines Anbieters in Deutschland, gilt hiesiges Vertragsrecht. Das beruhige auch das subjektive Sicherheitsgefühl, so Kraus.

Zertifikate geben erste Anhaltspunkte

Ist ein Cloud-Anbieter im engeren Rennen, sollte ein Unternehmen einen Blick auf die Sicherheitszertifikate des Systems werfen. Eines der bekanntesten ist das ISO 27001. Es gilt als Nachweis dafür, dass ein Cloud-Anbieter die IT-Grundschutzanforderungen des BSI erfüllt. Das allein reicht jedoch noch nicht aus, um die Sicherheit einer Cloud zu bewerten. Notfallplanung, Sicherheitsmechanismen wie die Verschlüsselung von Daten und Authentifizierungsmechanismen des jeweiligen Anbieters müssen ebenfalls unter die Lupe genommen werden. "Dabei sollte darauf geachtet werden, dass die Schlüsselhoheit, also das Entschlüsseln können, auch beim Unternehmen verbleibt", rät Marit Hansen, stellvertretende Landesbeauftragte für Datenschutz in Schleswig-Holstein. Auch die Zugriffsrechte sollten für eine wirklich sichere Cloud entsprechend beschränkt sein. Beispielsweise sollten die Administratoren keinen uneingeschränkten Zugriff auf die Inhalte haben.

Wer kann auf die Daten zugreifen?

Trotz höchster Sicherheitsstandards sollten sich Unternehmen darüber im Klaren sein, dass Cloud-Anbieter aus den USA dazu verpflichtet sind, US-Behörden Datenzugriff zu gewähren. Das gilt auch, wenn das Rechenzentrum auf deutschem oder europäischem Boden steht, erklärt Hansen. Manche EU Länder, wie etwa Schweden, haben in der Gesetzgebung ebenfalls weitgehende Zugriffsermächtigungen. Das skandinavische Land hat ein Abhörgesetz für den gesamten grenzüberschreitenden Datenverkehr, inklusive der Befugnis, Daten an andere Länder weiterzugeben. Unternehmer sollten sich deshalb erkundigen, woher der Cloud-Anbieter oder dessen Mutterunternehmen kommt. Deutsche Anbieter genießen dank des strengen Datenschutzes hierzulande einen Vertrauensvorschuss.

Sicherheitsstandards regelmäßig prüfen

Wer einmal einen sicheren Cloud-Anbieter gefunden hat, sollte dessen Sicherheitsstandards regelmäßig hinterfragen und mit anderen Anbietern vergleichen. Denn was heute noch als sicher gilt, kann morgen schon veraltet und angreifbar sein. Richtig geplant und umgesetzt erreichen Unternehmen mit einem professionellen Cloud-Provider oft höhere Sicherheitsniveaus als bei der hauseigenen Variante. (bw)