Jörg Liebe, CIO der Lufthansa Systems AG

"Hundertprozentige Sicherheit kann niemand garantieren"

13.11.2013
Von 
Jan-Bernd Meyer betreute als leitender Redakteur Sonderpublikationen und -projekte der COMPUTERWOCHE. Auch für die im Auftrag der Deutschen Messe AG publizierten "CeBIT News" war Meyer zuständig. Inhaltlich betreute er darüber hinaus Hardware- und Green-IT- bzw. Nachhaltigkeitsthemen sowie alles was mit politischen Hintergründen in der ITK-Szene zu tun hat.
Jörg Liebe, CIO der Lufthansa Systems AG, druckst nicht herum, geht es um Fragen nach Vertrauen in Zeiten von Prism. An hundertprozentige Sicherheit in der Cloud glaubt er nicht.

CW: In Zeiten hyperaktiver Geheimdienste kann die Security-Frage nicht ausbleiben. Die Vizepräsidentin der EU-Kommission, Viviane Reding, sagte: "Der Prism-Skandal zeigt, dass Clouds der bevorzugte Ort für alle sind, die Daten abgreifen wollen." Für Anbieter wie Lufthansa Systems sind solche Aussagen tödlich, oder?

Liebe: Unsere Kunden können sich auf die Einhaltung der gesetzlichen Bestimmungen für Datenverarbeitung in Deutschland verlassen. Konkret bedeutet dies, dass in Deutschland eine behördlich erzwungene Dateneinsicht à la Patriot Act beziehungsweise FISA-Court-Anweisungen nicht möglich ist. Dies wird von unseren Spezialisten bei der Entwicklung der kundenspezifischen Lösung berücksichtigt. Das hat zur Folge, dass entsprechend sensitiv bewertete Daten oder Anwendungen unserer Kunden ausschließlich in Deutschland verarbeitet werden, um damit einen Zugriff von außerhalb der deutschen Rechtsprechung zu verhindern.

Jörg Liebe, CIO Lufthansa Systems: "Sensitive Daten unserer Kunden werden ausschließlich in Deutschland verarbeitet."
Jörg Liebe, CIO Lufthansa Systems: "Sensitive Daten unserer Kunden werden ausschließlich in Deutschland verarbeitet."
Foto: LH Systems

CW: Nach einer Comscore-Untersuchung trauen 57 Prozent aller deutschen Unternehmen der Cloud nicht. Was halten Sie dagegen, um die Zweifel zu zerstreuen?

Liebe: Da muss zunächst die Rückfrage erlaubt sein, was die Untersuchung in dem Zusammenhang unter "trauen" versteht, und vor allem: Bezogen auf welche Cloud-Variante haben die Teilnehmer geantwortet? Da gibt es große Unterschiede. Ausgangspunkt für uns ist in jedem Fall eine gründliche Schutzbedarfsanalyse, die es uns ermöglicht, die Daten und ihre Verarbeitungsprozesse individuell zu kategorisieren.

Entsprechend der ermittelten Schutzbedarfe beraten wir unsere Kunden umfassend über die möglichen Implementierungsszenarien, einschließlich der Frage einer Umsetzung in einer Private oder Public Cloud oder der Datenhaltung innerhalb Deutschlands. Auf dieser Basis verabschiedet der Kunde dann ein auf seine spezifischen Anforderungen abgestimmtes Konzept. Dieses beinhaltet nicht nur Fragen der IT-Security, sondern auch Themen wie beispielsweise Verfügbarkeit und Skalierbarkeit.

CW: Der nach Durchsatz wahrscheinlich größte weltweite kommerzielle Internet-Knoten German Commercial Internet Exchange, kurz DE-CIX, in Frankfurt am Main war oder ist noch Ziel von Spähaktionen. Wie kann Lufthansa Systems ernsthaft versprechen, dass die Kundendaten in Ihrer Cloud sicher vor Zugriffen sind? In Ihren Rechenzentren mag das ja zutreffen. Auf dem Weg dorthin dürften aber erhebliche Sicherheitsrisiken auftreten. Was sagen Sie dazu?

Liebe: Lufthansa Systems kann zunächst nur in ihrem direkten Zugriffsbereich (Infrastruktur, Applikationen etc.) für die gesicherte und hochverfügbare Bereitstellung entsprechender Private-Cloud-Services Sorge tragen. Der Zugriff auf die Daten und Anwendungen erfolgt über verschlüsselte Datenverbindungen. Die angewandten Verschlüsselungsverfahren sind nach heutigem Kenntnisstand als sicher zu bewerten. Die sachgerechte Implementierung ermöglicht darauf aufbauend eine sichere Ende-zu-Ende-Datenverarbeitung.

Das wird von unseren IT-Sicherheitsexperten kontinuierlich überwacht und mittels PEN-Tests (Penetration-Tests beispielsweise zum Ausschluss von Man-in-the-Middle-Attacken) überprüft und gegebenenfalls auf Basis neuer Angriffsszenarien entsprechend angepasst und gehärtet. Dazu hat Lufthansa Systems ein dediziertes CERT (Computer Emergency Response Team) aufgebaut. Dessen Mitarbeiter erarbeiten auf Basis ihrer Einblicke in aktuelle technische und sicherheitsrelevante Entwicklungen Empfehlungen. Diese sind Grundlage der Maßnahmen, die wir unseren Kunden vorschlagen, um die jeweiligen Anforderungen entsprechend der ermittelten Schutzbedarfskategorien zu erfüllen.

CW: Direkt gefragt: Können Sie guten Gewissens versprechen, dass Kundendaten in Ihrer Cloud sicher sind? Wie können Sie das garantieren?

Liebe: Eine hundertprozentige Sicherheit kann niemand garantieren. Das gilt ja nicht nur für IT-Sicherheit und sollte allen Unternehmen bewusst sein. Auf Basis des aktuellen Kenntnisstands und der ergriffenen technischen und organisatorischen Maßnahmen sind wir aber überzeugt, dass die Lufthansa-Systems-Cloud für unsere Kunden sicher ist. Dies wird auch durch entsprechende Zertifizierungen wie beispielsweise ISO 27001 belegt.

Foto: Lufthansa

CW: IBM und Accenture schneiden in einer internationalen IDC-Untersuchung als Cloud-Dienstleister sehr gut ab. Beide fokussieren sich auf branchenspezifische Lösungen. Ist das ein Weg, den Lufthansa Systems ebenfalls einschlagen könnte?

Liebe: Solange Private- oder Public-Cloud-Angebote im Umfeld von Infrastructure as a Service im Fokus stehen oder gegebenenfalls branchenunspezifische Backoffice-Anwendungen wie Microsofts Office 365, ist es nicht zwingend erforderlich, sich mit seinem Angebot an ausgewählte Branchen zu halten. Bei den Themen Software beziehungsweise Platform as a Service (SaaS, PaaS) sind branchenspezifische Kenntnisse für eine erfolgreiche Marktpositionierung dagegen erforderlich.

Dabei haben wir uns auf hochverfügbare und mit einem entsprechenden Service-Level-Agreement versehene sichere Private-Cloud-Angebote für die Bereiche Industrie und Services sowie Logistik für international agierende Unternehmen fokussiert. Als Beispiel sei hier unser vor Kurzem in Betrieb gegangener Private-Cloud-Kunde Tecosim genannt: Aus unserer Private Cloud bezieht der Kunde im Rahmen eines IT-Komplett-Outsourcings Leistungen wie Server-Applikationen und zentralen Speicherplatz sowie die Office-Umgebung.

Lufthansa Systems nutzt Virtual-Desktop-Infrastructure-(VDI-)Technologie, um zu den unter Linux laufenden Anwendungen von Tecosim (CAE-Software) die unter Windows laufenden Office-Anwendungen virtuell dazuzuschalten. Dieser Ansatz schont Ressourcen und ist flexibel, schnell und einfach zu warten. Tecosim kann dadurch sowohl einen High-Performance-Computing-Cluster für Simulationen - zum Beispiel Crashtests in der Automobilindustrie - als auch alle Workstations zur Vor- und Nachbearbeitung der Simulation in unserem Rechenzentrum nutzen.