Rechenzentren von Cloud-Service-Providern unter die Lupe nehmen
Ein Faktor, den Kritiker von Cloud-Diensten gerne außer Acht lassen, ist das Sicherheitsniveau der Datacenter von Service-Providern. Dieses ist in vielen Fällen deutlich höher als das von Unternehmensrechenzentren. Der Grund liegt auf der Hand: Würden Kunden durch unzureichende Sicherheitsvorkehrungen Daten verlieren, könnte ein Cloud-Service-Provider schließen.
Ein Indikator dafür, dass ein Cloud-Rechenzentrum hohen Sicherheitsstandards entspricht, ist eine Zertifizierung gemäß ISO 27001, SSAE 16 oder SIAE 3402. Unternehmen, die an Standorten in mehreren Ländern Cloud-Dienste eines Providers nutzen, sollten darauf achten, dass dessen Rechenzentren über die dort geltenden Zertifizierungen verfügen. Außerdem können seriöse Service-Provider nachweisen, dass sie in den vorgegebenen Intervallen eine Re-Zertifizierung durchführen. Denn ein beliebter Trick von "schwarzen Schafen" in der Cloud-Branche besteht darin, sich diese Mühe zu sparen, aber dennoch mit einem Gütesiegel wie ISO 27001 zu werben.
Plattform- und Infrastruktur-Ebene mit einbeziehen
Häufig reduzieren Nutzer von Cloud-Services das Thema Sicherheit auf zwei Aspekte: den Schutz ihrer Daten und die Sicherheit der genutzten Dienste und Applikationen. Doch zusätzlich benötigt eine stabile und sichere Cloud-Lösung eine ebenso robuste und sichere Plattform und Infrastruktur. Das schließt ein hochsicheres Rechenzentrum, die Absicherung des Zugriffs auf Daten sowie ein klar geregeltes Datenmanagement mit ein.
- Bitium
<strong>Service:</strong> Cloud Application Management, Single-Sign-on, Analytics<br /> <strong>Gründung:</strong> 2012<br /> <strong>Kapital:</strong> 2,4 Millionen Dollar von Resolute VC, Double M Partners, Social Leverage und Karlin Ventures<br /> <strong>Sitz:</strong> Santa Monica, Kalifornien, USA<br /> <strong>CEO:</strong> Scott Kriz, vormals Produktchef von Fastpoint Games (Sport- und Unterhaltungsspiele-Anbieter, der 2012 an Weplay verkauft wurde)<br /> <strong>Große Kunden:</strong> Prialto, OpenTable, Act-On, Media Temple<br /> <strong>Wettbewerb:</strong> Okta, OneLogin, Ping Identity, Symplified - Bitsight Technologies
<strong>Service:</strong> Security Rating, mit dem Risiken in der Zusammenarbeit mit Partnern, Zulieferern oder Outsourcern bewertet werden können<br /> <strong>Gründung:</strong> 2011<br /> <strong>Kapital:</strong> 24 Millionen Dollar (im Rahmen eines „Series A round“-Fundings im Silicon Valley im Juni 2013)<br /> <strong>Sitz:</strong> Cambridge, Massachusetts, USA<br /> <strong>CEO:</strong> Shaun McConnon, vormals CEO von Q1 Labs<br /> <strong>Wettbewerb:</strong> CloudeAssurance bietet einen ähnlichen Dienst, ist aber spezialisiert auf Cloud Service Provider - CipherCloud
<strong>Service:</strong> All-in-one-Plattform für Cloud-Sicherheit<br /> <strong>Gründung:</strong> 2010<br /> <strong>Kapital:</strong> 30 Millionen Dollar von Andreessen Horowitz<br /> <strong>Sitz:</strong> San Jose, Kalifornien, USA<br /> <strong>CEO:</strong> Pravin Kothari, vormals Mitgründer von ArcSight (wurde für 1,5 Milliarden von HP gekauft)<br /> <strong>Große Kunden:</strong> Mitsubishi UFJ Global Custody, Novati Technologies, Carribean Credit Bureau<br /> <strong>Wettbewerb:</strong> Gazzang, Perspecsys, Porticor, Vormetric, Voltage Security - HyTrust
<strong>Service:</strong> Tools für Virtualisierungs-Sicherheit, mit denen zentrale Policies über virtuelle oder Cloud-Infrastrukturen durchgesetzt werden können<br /> <strong>Gründung:</strong> 2009<br /> <strong>Kapital:</strong> 34,5 Millionen Dollar von Venture-Capital-Investmentfirmen wie Trident Capital, Granite Ventures und Epic Ventures und von strategischen Unternehmensinvestoren wie Cisco, VMware, Intel Capital und Fortinet. Auch In-Q-Tel, der Investment-Bereich der US-Geheimdienste, hat eingezahlt.<br /> <strong>Sitz:</strong> Mountain View, Kalifornien, USA<br /> <strong>CEO:</strong> John De Santis, vormals Chairman und CEO beim Software-Security-Infrastruktur-Anbieter TriCipher (wurde 2010 von VMware gekauft). Mitgründer und President ist Eric Chiu, vormals Verkaufschef bei Cemaphore Systems.<br /> <strong>Große Kunden:</strong> AIG, US Army, Northrop Grumman, Pepsi, McKesson, Home Shopping Network, Federal Reserve Bank of Chicago, UC Berkeley, State of New Mexico, Denver Museum of Nature & Science<br /> <strong>Wettbewerb:</strong> Altor Networks (gehört mittlerweile zu Juniper), Catbird - ForgeRock
<strong>Service:</strong> Identity Management<br /> <strong>Gründung:</strong> 2010<br /> <strong>Kapital:</strong> 22 Millionen Dollar von Foundation Capital und Accel Partners<br /> <strong>Sitz:</strong> San Francisco, Kalifornien, USA<br /> <strong>CEO:</strong> Mike Ellis, vormals Managerposten bei SAP, i2 Technologies, Oracle und Apple<br /> <strong>Große Kunden:</strong> Deloitte, Thomson Reuters, Aberdeen Asset Management, Reuters<br /> <strong>Wettbewerb:</strong> Oracle, CA Technologies, OneLogin, Okta, SecureAuth - MyPermissions
<strong>Service:</strong> Management, Kontrolle und Überwachung der Apps und Websites, die Zugang zu den persönlichen Daten des Anwenders haben<br /> <strong>Gründung:</strong> 2012<br /> <strong>Kapital:</strong> 1 Million Dollar von 500 Startups, lool Ventures und 2B Angels (Beteiligung durch Plus Ventures und Robby Hilkowitz)<br /> <strong>Sitz:</strong> Tel Aviv, Israel<br /> <strong>CEO:</strong> Olivier Amar, vormals Marketingchef von GetTaxi und Toyga Financial<br /> <strong>Große Kunden:</strong> Vod.io, EQuala.fm, Stylemarks, Any.DO<br /> <strong>Wettbewerb:</strong> Secure.me, Privacy Choice - Netskope
<strong>Service:</strong> Cloud Application Analytics und Policy-Werkzeuge<br /> <strong>Gründung:</strong> 2012<br /> <strong>Kapital:</strong> 21,4 Millionen Dollar von Lightspeed Ventures und The Social+Capital Partnership<br /> <strong>Sitz:</strong> Los Altos, Kalifornien, USA<br /> <strong>CEO:</strong> Sanjay Beri, vormals General Manager des Geschäftsbereichs "Secure Access and Mobile Business" bei Juniper Networks sowie dessen Büroleiter in Indien. Davor Mitgründer von Ingrian Networks, das von SafeNet übernommen wurde. - Prevoty
<strong>Service:</strong> kontextabhängiger Schutz von Web-Anwendungen<br /> <strong>Gründung:</strong> 2013<br /> <strong>Kapital:</strong> 2,4 Millionen Dollar via Seed Funding<br /> <strong>Sitz:</strong> Los Angeles, Kalifornien, USA<br /> <strong>CEO:</strong> Julien Bellanger, vormals Gründer von Personagraph, das die Privatsphäre mobiler Nutzer schützt. Davor bei Intertrust tätig.<br /> <strong>Wettbewerb:</strong> Citrix, F5, Radware, A10 Networks - Skyhigh Networks
<strong>Service:</strong> Cloud Lifecycle und Security Suite<br /> <strong>Gründung:</strong> 2011<br /> <strong>Kapital:</strong> 26,5 Millionen Dollar – darunter ein 20-Millionen-Investment durch Sequoia Capital und Greylock Partners (im Rahmen eines „Series B round“-Fundings im Mai 2013)<br /> <strong>Sitz:</strong> Cupertino, Kalifornien, USA<br /> <strong>CEO:</strong> Rajiv Gupta, vormals Gründer und CEO von Securenet. Nach dessen Übernahme durch Cisco im Jahr 2007 (für 100 Millionen Dollar), war Gupta dort als Leiter der Policy Management Business Unit tätig.<br /> <strong>Große Kunden:</strong> Cisco, Diebold, Equinix, Torrance Memorial Medical Center<br /> <strong>Wettbewerb:</strong> Netskope - SnoopWall
<strong>Service:</strong> Anti-Spyware/Anti-Malware<br /> <strong>Gründung:</strong> 2013<br /> <strong>Kapital:</strong> nicht veröffentlicht<br /> <strong>Sitz:</strong> Nashua, New Hampshire, USA<br /> <strong>CEO:</strong> Gary Miliefsky, vormals CTO bei NetClarity
Cloud-Rechenzentren müssen daher höchsten Sicherheitsanforderungen genügen. Das betrifft die physische Absicherung, etwa gegen Stromausfälle, Hochwasser und das Eindringen Unbefugter, aber auch klassische IT-Security-Maßnahmen. Dazu zählen das Sichern von Daten an unterschiedlichen Standorten sowie der Schutz des Netzwerks und der IT-Systeme vor Cyber-Angriffen aller Art. Führende Cloud-Service-Provider geben Interessenten die Möglichkeit, sich selbst vor Ort in einem Rechenzentrum des Anbieters ein Bild von solchen Schutzmaßnahmen zu machen.
Enormer Informationsbedarf bei deutschen Unternehmen
Allerdings herrscht bei Unternehmen in Deutschland noch ein beträchtlicher Nachholbedarf, was Kenntnisse über die Sicherheitsanforderungen und rechtlichen Bedingungen der Nutzung von Cloud-Diensten betrifft. Das gilt vor allem für mittelständische Unternehmen, wie die Studie "DsiN Sicherheitsmonitor 2015" (PDF-Link) der Initiative Deutschland sicher im Netz (DsiN) ergab. Selbst 27 Prozent der Unternehmen, die bereits Cloud-Services einsetzen, haben keine Kenntnisse der Sicherheitsregeln, die für die Nutzung von Cloud-Diensten gelten. An die 47 Prozent sind "teilweise" informiert.
Es liegt auf der Hand, dass dieser Mangel an Wissen Risiken für die betreffenden Unternehmen mit sich bringt. Hier sind die IT-Abteilungen, Datenschutzfachleute und Compliance-Experten der Nutzer von Cloud-Diensten gefordert. Sie müssen schlichtweg Know-how in puncto Datenschutz und Datensicherung in Cloud-Umgebungen aufbauen. Dabei können sie auf die Beratungskompetenz von Cloud-Service-Providern zurückgreifen. Alle führenden Anbieter von Public-Cloud-Diensten stellen Kunden und Interessenten entsprechende Informationen zur Verfügung.
Der Faktor Mensch
Wenn man Sicherheitsstudien glauben darf, finden 65 bis 70 Prozent der Angriffe auf Informationen innerhalb eines Unternehmens statt. Das heißt nicht, dass die Mitarbeiter auch die Täter sind, sondern nur, dass technische Maßnahmen, die einen Schutz von außen bieten sollten, umgangen wurden. Hier kommen Mitarbeiter als größter Schutzfaktor ins Spiel. Nur sie können starke Passwörter wählen, vertrauliche Ausdrucke rechtzeitig vernichten, das White Board mit vertraulichen Informationen nach dem Meeting säubern oder Fremde im Büro direkt ansprechen. Aus diesem Grund ist es äußerst wichtig die eigenen Mitarbeiter zu sensibilisieren und konsequent zu schulen. Bei SAP sind diese Trainings obligatorisch.
Deutschland sicher im Netz
Um sich auch als Firma breiter für IT-Sicherheit im Mittelstand zu engagieren ist SAP aktives Mitglied beim Verein Deutschland sicher im Netz e.V. Produktneutral und herstellerübergreifend ist DsiN zentraler Ansprechpartner für Verbraucher und mittelständische Unternehmen. Bei DsiN engagieren sich Unternehmen, Vereine und Branchenverbände der digitalen Wirtschaft und Gesellschaft. Sie leisten mit ihren konkreten Handlungsversprechen einen praktischen Beitrag für mehr IT-Sicherheit.
Der Beitrag von SAP zu Deutschland sicher im Netz konzentriert sich auf die Unterstützung kleiner und mittelständischer Unternehmen bei der Absicherung ihrer Geschäftsanwendungen und die Stärkung des Vertrauens in das Internet. Dies schließt auch explizit die Cloud-Anwendungen mit ein. Aus diesem Grunde beteiligt sich SAP insbesondere an Projekten zum Thema IT-Sicherheit für den Mittelstand. Das starke Engagement wird unterstrichen durch die Tatsache, dass Hartmut Thomsen, Geschäftsführer der SAP Deutschland SE & Co. KG, seit 2013 stellvertretender Vorstandsvorsitzender des Vereins ist.