Trends 2014

Datensicherheit in und aus der Cloud

28.03.2014
Von  und
Dr. Guido Kamann ist Vice President von Capgemini Consulting.
Dr. Paul Lokuciejewski ist Senior Consultant bei Capgemini Consulting.
Was erwartet die Anwender im kommenden Jahr beim Thema Cloud Security? Sicher ist: Hybride Cloud-Lösungen liegen bei datenkritischen Systemen im Trend - dazu gehört aber mehr als die reine Technologie.
Unternehmen blicken kritischer hinter die Fassade der Cloud.
Unternehmen blicken kritischer hinter die Fassade der Cloud.
Foto: Alexey Shkitenko, Fotolia.com

Cloud Computing verspricht höhere Skalierbarkeit und Flexibilität sowie niedrigere Kosten und Komplexität. Die Nachfrage nach der Technologie steigt seit Jahren und ein Ende ist nicht in Sicht - behaupten zahlreiche Studien. Der Austausch mit CIOs großer Unternehmen aus Deutschland, Österreich und der Schweiz zeigt jedoch ein anderes Bild. Die Bedenken, insbesondere bezüglich Sicherheitsfragen, nehmen zu - laut der Capgemini-Studie "IT-Trends 2013" geht der Einsatz von klassischen Private- und Public-Cloud-Services in der DACH-Region sogar relativ gesehen zurück.

Die allgemeine Wahrnehmung in der Bevölkerung spiegelt dies wider. Laut aktuellem Allensbacher Sicherheitsreport werden Daten- und IT-Risiken, wie Datenbetrug im Internet und Missbrauch persönlicher Daten, gravierender eingestuft als klassische Kriminalität. Auch Meldungen in der Presse - Stichwort NSA - rütteln an der Glaubwürdigkeit einer sicheren und vertrauenswürden IT-Landschaft. Wie sieht also für Unternehmen die IT-Lösung aus, die sowohl die Vorteile von Cloud Computing bietet, als auch sicherheitsrelevante Aspekte berücksichtigt?

Hybrid Cloud - der Trend 2014

Der Trend geht hin zur Hybrid Cloud.
Der Trend geht hin zur Hybrid Cloud.
Foto: ra2 studio, Fotolia.com

Professionelle Public-Cloud-Anbieter unternehmen erhebliche Anstrengungen, um ihre Lösungen sicher zu machen. Dabei adressieren sie verschiedene Datensicherheitsebenen - von der Infrastruktur, über logische Datenebenen bis hin zur Steuerungsebene. Viele operieren mit umfassenden Zertifizierungen und erreichen ein Datenschutzniveau, das viele, vor allem kleinere, Unternehmen nicht in selbstbetriebenen Rechenzentren leisten könnten.

Aus Sorge um Kontrollverlust oder Späh-Attacken sind viele CIOs derzeit aber immer noch nicht bereit, umfassend auf die (Public) Cloud zu setzen. Die optimale Lösung scheint der hybride Ansatz zu sein. Er vereint die Stärken der sicheren Private und der kostengünstigen Public Cloud. Anwendungen und Daten können hier je nach Schutzbedarf oder regulatorischen Anforderungen zugesteuert werden.

90 Prozent der an Cloud interessierten Unternehmen fragen bereits nach diesem Modell. Viele von ihnen stehen jedoch vor der Herausforderung, dass ihnen standardisierte Verfahren zur Datenklassifizierung fehlen, die entscheiden, welche Daten in welcher Cloud gespeichert werden. Oftmals fehlen auch Steuerungsmechanismen für den reibungslosen Datenaustausch zwischen Applikationen und der Cloud - beides sind Grundvoraussetzungen, um eine Hybrid Cloud effizient zu nutzen.

Klassifizierung von Daten - ein Muss

Jedes Unternehmen muss klären, welche Art von Daten in welchen Anwendungen verarbeitet wird, welcher Datensicherheitsumfang notwendig ist und in welche Cloud-Architektur sie verlagert werden können. Beim Umgang mit personenbezogenen Daten kommen umfangreiche, gesetzliche Datenschutzanforderungen hinzu. Deren Einhaltung kann sich insbesondere bei außereuropäisch operierenden Cloud-Anbietern als schwierig erweisen.

Grundsätzlich gilt: Um vertrauliche, möglicherweise personenbezogene, Daten zu schützen und gesetzeskonform zu sein, sind diese in einer Private Cloud vorzuhalten. Der möglicherweise hohe Anteil dieser Daten schränkt jedoch den Einsatz flexibler und kostengünstiger Public Clouds stark ein. Daher stellt sich die Frage: Sind heutzutage tatsächlich alle unternehmens- und personenbezogenen Daten vertraulich und bedürfen eines besonderen Schutzes einer privaten Cloud?

Es empfiehlt sich also eine sorgfältige, unternehmensindividuelle Datenklassifizierung im Hinblick auf den Schutzbedarf.

Sichere Orchestrierung

Eine weitere Voraussetzung, alle Vorteile der Hybrid Cloud ausschöpfen zu können, ist die professionelle Orchestrierung der gesamten Applikationslandschaft. Der Orchestrierungs-Service ermöglicht den nahtlosen und sicheren Austausch zwischen einzelnen Komponenten. Da die direkte Kommunikation zwischen den Applikationen entfällt, sinkt der Integrationsaufwand. Flexibilität und Transparenz für den Nutzer steigen. Dabei sollte der Service auf homogene, robuste, standardisierte Software und Technologie zurückgreifen.

Schließlich sollte jedes Unternehmen bei der Wahl des Cloud-Anbieters klären, in welchen Ländern die Datenverarbeitung in der Cloud erfolgt, da gesetzlich geforderte Datenschutzniveaus weltweit variieren. Zudem ermöglichen einzelne Staaten rechtlich den legalen Datenzugriff durch zum Beispiel Geheimdienste oder Finanzbehörden - ein Vorgehen, das nicht für jedes Unternehmen akzeptabel ist.

Fazit

Die vielfältigen Vorteile von Cloud-Lösungen werden Unternehmen weiterhin dazu bewegen, sich diese im Wettbewerb zu Nutze zu machen. Mit Hybrid Cloud und einer professionellen Cloud- Orchestrierung sollten die meisten Unternehmen bereits heute in einigen Bereichen die Vorteile der Public Cloud nutzen können, ohne auf umfassenden Schutz ihrer schützenswerten Daten zu verzichten. (sh)