Studie von COMPUTERWOCHE und CIO

Cloud Security mit Brief und Siegel

09.05.2019
Von 
Der Diplom-Physiker Oliver Schonschek ist freier IT-Fachjournalist und IT-Analyst in Bad Ems.
Ohne Zertifizierung und externe Prüfung haben es Cloud-Dienste bei deutschen Unternehmen schwer. Intern verzichten jedoch viele Anwender auf ein Regelwerk.

"Neun von zehn Unternehmen halten Zertifizierungen und Prüfsiegel zur Cloud Security für wichtig. Hier will man sich nicht allein auf die Aussagen der Anbieter verlassen, sondern fordert die Prüfung durch unabhängige Dritte. Dies ist der richtige Ansatz!", kommentiert Matthias Ochs, Geschäftsführer genua GmbH, eines der Ergebnisse der aktuellen Studie "Cloud Security 2019" von IDG Research Services.

Betrachtet man die jährlichen Cloud-Aufwendungen der befragten Unternehmen, stellt man fest: Die Unternehmen, die mehr als 100 Millionen Euro für Cloud-Dienste pro Jahr aufwenden, halten zu 49 Prozent die Siegel und Zertifizierungen für sehr wichtig.

Cloud Computing breitet sich immer weiter aus - in Deutschland am liebsten mit Brief und Siegel.
Cloud Computing breitet sich immer weiter aus - in Deutschland am liebsten mit Brief und Siegel.
Foto: laymanzoom - shutterstock.com

Jetzt Studie "Cloud Security 2019" herunterladen

Vertrauen in Cloud-Anbieter reicht nicht

Unternehmen mit bis zu einer Million Euro Aufwendungen für Cloud-Dienste dagegen gaben diese Antwort nur in 30 Prozent der Fälle. Offensichtlich möchten Unternehmen mit höheren Investitionen in die Cloud auch mehr Gewissheit bei der Cloud-Sicherheit.

Eine Rolle spielen externe Prüfungen und Nachweise aber bei fast allen Unternehmen: Nur ein Prozent der befragten Unternehmen meint, Siegel, Zertifizierungen und Prüfungen sind nicht wichtig, wenn es um Cloud-Sicherheit geht.

Cloud-Anbieter tun also gut daran, sich einer externen Überprüfung ihrer Sicherheit und ihres Datenschutzniveaus zu stellen und nicht den Aufwand und die Kosten einer Zertifizierung zu scheuen. Der Erfolg auf dem Cloud-Markt hängt für Cloud-Provider davon ab, dass ihre Kunden ihnen nicht nur vertrauen, sondern dass es unabhängige Dritte gibt, die die Sicherheit und den Datenschutz bestätigen.

Interne Policies zur Cloud fehlen oftmals

Während die befragten Unternehmen hohe Erwartungen an die Cloud-Anbieter haben, wenn es um die Einhaltung von Zertifizierungsrichtlinien geht, sieht es bei den Unternehmen selbst intern anders aus.

Die Nutzung von Cloud-Diensten wird nur bei 57 Prozent der Unternehmen geregelt. Filesharing-Lösungen wie Dropbox regeln sogar nur 43 Prozent der Unternehmen, wie die Studie zeigt.

Betrachtet man spezielle Cloud-Dienste wie Office aus der Cloud, sind es nur noch 42 Prozent, die Sicherheitsrichtlinien eingeführt haben, obwohl Office-Lösungen zu den besonders beliebten Cloud-Diensten bei den Unternehmen zählen.

Auch um die Datensicherung ihrer Cloud-Daten sollten sich Unternehmen stärker kümmern und entsprechende interne Policies für Cloud-Backups erstellen und durchsetzen.

"Unternehmen müssen Cloud-Provider wie AWS und Azure als Infrastrukturanbieter verstehen", so Frank Braunstedter, Senior Manager Cyber Defense & Cloud Security bei NTT Security. "Das heißt, das Backup und andere technische Maßnahmen liegen nach dem sogenannten Shared Responsibility Model nach wie vor in der Verantwortung der Kunden."

Wie Braunstedter erklärt, erhalten die Cloud-Nutzer aber Unterstützung durch die Cloud-Anbieter: "Die Cloud-Provider bieten eine hervorragende technische Basis für diese Maßnahmen und sorgen für die notwendige Skalierung und Verfügbarkeit. SaaS mag hier eine Ausnahme darstellen - IaaS und PaaS benötigen aber nach wie vor belastbare Backup- und Recovery-Konzepte."

Offensichtlich sollten Unternehmen, die Cloud-Services nutzen, auch an die eigene Security-Organisation die hohen Ansprüche stellen, die sie bei den Cloud-Anbietern einfordern.

Managed Security Services sind noch Budget-Frage

Bei der Umsetzung der erforderlichen Maßnahmen für die Cloud-Sicherheit kommen auch Managed Security Services und neue Security-Technologien zum Einsatz. Dies hängt allerdings stark davon ab, wie hoch die Investitionen in Cloud-Dienste sind.

Die Studie "Cloud Security 2019" von IDG Research Services ergab, dass 55 Prozent der Unternehmen mit einem Cloud-Budget von mehr als 100 Millionen Euro pro Jahr Managed Security Services (MSS) häufig einsetzen. Bei ein bis 100 Millionen jährlichen Cloud-Aufwendungen sinkt die Zahl der häufigen MSS-Nutzer auf 20 Prozent. Bei weniger als einer Million Euro pro Jahr für Cloud-Aufwendungen sind es nur noch 14 Prozent, die häufig zu Managed Security Services greifen.

Ein ähnliches Bild zeigt sich auch bei der Nutzung neuer Ansätze für Cloud Security. Mit Blick auf die IDG-Studie sagt Elmar Witte, Product Marketing Manager Security bei Akamai: "Nur maximal ein Viertel der Unternehmen investiert bisher in neuere, starke Ansätze für Cloud-Sicherheit wie beispielsweise Cloud-basierte Intrusion Detection Systeme (IDS) bzw. Intrusion Prevention Systeme (IPS), die in der Lage sind, Angriffe zu erkennen, darüber zu informieren und im Fall von IPS sogar automatisch abzuwehren. Darunter sind vor allem Firmen, die mehr als 100 Millionen Euro pro Jahr für Cloud-Dienste ausgeben." Elmar Witte folgert: "Anscheinend steigt das Interesse an bzw. die Notwendigkeit von neuen Security-Verfahren erst bei höheren Investitionen in die Cloud."

Mehr Sicherheit bei Cloud-Anwendern und -Anbietern

Die Studie legt nahe, dass sich sowohl Cloud-Anbieter als auch Cloud-Nutzer in naher Zukunft noch stärker um die Cloud Security bemühen werden.

Die hohen Anforderungen an Cloud-Provider bleiben auch in Zukunft bestehen. Der Bedarf für eine umfassende Sicherheitsstrategie bei den Cloud-Anwendern wird noch deutlicher werden, auch durch die Zunahme an Zertifizierungen für Sicherheit und Datenschutz in der Cloud.

So werden die Zertifizierungskriterien aufzeigen, welche Sicherheitsmaßnahmen ein Anbieter leistet und welche nicht. Cloud-Nutzer können so den Bedarf an eigenen Sicherheitsmaßnahmen für die Cloud ableiten, spezielle Cloud-Sicherheitsrichtlinien einführen und wo sinnvoll auch Managed Security Services in Anspruch nehmen, um das Sicherheits- und Datenschutzniveau zu erreichen, das im Cloud Computing erforderlich ist, auf Seiten der Provider und auf Seiten der Nutzer.

Jetzt Studie "Cloud Security 2019" herunterladen

Studiensteckbrief

Herausgeber: COMPUTERWOCHE, CIO, TecChannel und ChannelPartner

Studienpartner: Cisco Systems GmbH (Platin-Partner), A1 Digital (Platin-Partner), Akamai (Gold-Partner), Micro Focus GmbH (Gold-Partner), PlusServer (Gold-Partner), NTT Security Germany GmbH (Silber-Partner), genua GmbH, securEnvoy GmbH (Bronze-Partner)

Grundgesamtheit: Oberste (IT-) Verantwortliche von Unternehmen in der D-A-CH-Region: strategische (IT-)Entscheider im C-Level-Bereich und den Fachbereichen (LoBs), IT-Entscheider & IT-Spezialisten aus dem IT-Bereich

Teilnehmergenerierung: Stichprobenziehung in der IT-Entscheider-Datenbank von IDG Business Media. Persönliche E-Mail-Einladungen zur Umfrage.

Gesamtstichprobe: 351 abgeschlossene und qualifizierte Interviews

Untersuchungszeitraum: 22. bis 28. Januar 2019

Methode: Online-Umfrage (CAWI)

Fragebogenentwicklung: IDG Research Services in Abstimmung mit den Studienpartnern

Durchführung: IDG Research Services