Gut die Hälfte aller Unternehmen in Deutschland wurde laut "Cloud-Monitor 2015" des Bitkom in den vergangenen zwei Jahren digital angegriffen. Besonders oft trifft es mittelständische Unternehmen. Gleichzeitig steht der Mittelstand in Deutschland unter zunehmendem Kosten- und Innovationsdruck: Themen wie die digitale Transformation und Industrie 4.0 bergen große Herausforderungen. Hier präsentiert sich Cloud Computing als Lösung, mit der sich nicht nur Kosten senken und neue Geschäftsideen verwirklichen lassen, sondern auch die IT-Sicherheit erhöht werden kann. Dennoch stehen viele Mittelständler der Cloud gerade in Sachen IT-Sicherheit immer noch skeptisch gegenüber. Wir stellen die wichtigsten Fragen zum Thema Cloud Security und geben Antworten.
Foto: Texelart - shutterstock.com
Warum ist Cloud Computing für Mittelständler überhaupt interessant?
Letztendlich funktioniert Cloud Computing nicht anders als eine virtuelle Einkaufsgemeinschaft. Dadurch, dass mehrere Unternehmen auf gemeinsame IT-Ressourcen zurückgreifen, können alle Beteiligten effizienter wirtschaften. Die abgerufenen Leistungen sind nahezu beliebig skalierbar und richten sich flexibel nach dem tatsächlichen Bedarf der Unternehmen - das Risiko von Fehlinvestitionen entfällt.
Kein Wunder, dass besonders größere Mittelständler den Schritt in die Cloud bereits vollzogen haben. Das belegen auch die Zahlen, die der Bitkom im Frühjahr veröffentlicht hat. Mehr als zwei Drittel der Unternehmen mit mehr als 2000 Mitarbeitern hatten 2014 Cloud-Lösungen im Einsatz. Für das laufende Jahr rechnet der Verband beim Cloud Computing für Geschäftskunden mit einem Marktwachstum von 39 Prozent auf rund 8,8 Milliarden Euro. Doch das prognostizierte Wachstum darf über eines nicht hinweg täuschen: Der größte Hemmschuh im Mittelstand für den Schritt in die Cloud bleibt die Frage nach der Sicherheit.
Welche Sicherheitsanforderungen gibt es beim IT-Auslagern in die Cloud?
Die meisten Sorgen machen sich deutsche Unternehmen über einen möglichen unberechtigten Zugriff auf sensible Unternehmensdaten, wie der Cloud Monitor zeigt. 60 Prozent der Unternehmen sehen darin eine Hürde, wenn sie über die Auslagerung von Daten und Anwendungen in die Cloud diskutieren. Sicherheit vor Datendiebstahl ist zweifellos eine zentrale Anforderung an die Unternehmens-IT. Sie ist jedoch nur eines von mehreren relevanten Sicherheitszielen im Kontext von Cloud Computing. Weitere kommen hinzu: Zum einen müssen gesetzliche Bestimmungen - etwa in Fragen des Datenschutzes oder der Compliance - beachtet werden. Zum anderen müssen die Integrität sowie die Verfügbarkeit von Informationen und IT-Systemen garantiert sein.
- Herausforderung Cloud Security
Cloud-Computing-Umgebungen stellen in Bezug auf die Sicherheit IT-Verantwortliche und Systemverwalter vor neue Herausforderungen. Nach Angaben von Intel sind besonders folgende Faktoren zu berücksichtigen: - Mangel an Kontrolle
Eine dynamische Technik wie Cloud Computing verschiebt die Grenzen der Unternehmens-IT über das hauseigene Rechenzentrum hinaus, etwa durch Einbeziehen von Public Cloud Services. - Unzureichende Transparenz
In einer Cloud-Umgebung ist es wegen der hohen Komplexität schwieriger, Compliance-Vorgaben umzusetzen und die entsprechenden Audits vorzunehmen. - Virtualisierung
Durch die wachsende Zahl von Virtual Machines steigt das Sicherheitsrisiko, weil alle diese Komponenten verwaltet werden müssen, Stichworte Patch-Management, Implementierung von Schutzsoftware, Einspielen von Updates und so weiter. - Ort der Datenspeicherung
Rechtliche Vorgaben wie etwa das Bundesdatenschutzgesetz verlangen die Speicherung von Daten in Cloud-Rechenzentren, die innerhalb der EU angesiedelt sind und ausschließlich den hier geltenden Gesetzen unterliegen. Das erschwert die Wahl eines Cloud Service Providers. - Public Clouds
Bei der Nutzung von Public Clouds sind spezielle Sicherheitsanforderungen zu berücksichtigen, etwa bezüglich des Schutzes der Daten, die beim Provider lagern, sowie beim Transport der Daten über Weitverkehrsverbindungen und das Internet. - Zugriff auf die Cloud von privaten Systemen aus
Trends wie der Einsatz von privaten Endgeräten für betriebliche Zwecke erschweren die Absicherung des Zugriffs auf Cloud-Computing- Ressourcen. Eine Lösung ist der Einsatz von Mobile Device Management Software. - Audits und Überwachung von Sicherheitspolicies
Compliance-Regeln wie SOX (Sarbanes-Oxley Act), EuroSOX, HIPAA (Health Insurance Portability and Accountability Act) und PCI DSS (Payment Card Industry Data Security Standard) erfordern regelmäßige Überprüfungen der IT-Sicherheitsvorkehrungen. Speziell in Public- und Hybrid-Clouds, in denen neben einem Unternehmen ein Cloud-Service Provider im Spiel ist, sind entsprechende Audits aufwendig. - Risiken durch gemeinsame Nutzung von Ressourcen
In Cloud-Umgebungen teilen sich mehrere Kunden (Public Clouds, Community Clouds) physische IT-Ressourcen wie CPU, Speicherplatz und RAM. Wird ein Hypervisor kompromittiert, können die Anwendungen mehrerer Kunden betroffen sein.
Warum kann die Cloud die IT-Sicherheit verbessern?
Nur weil die Server im eigenen Firmenkeller stehen, sind sie noch lange nicht sicher - weder vor Hardware-Defekten noch vor allzu neugierigen Blicken und unbefugtem Zugriff oder ganz profan: vor einem Brand. Echten Rundum-Schutz bietet nur ein professioneller IT-Betrieb, der dafür Sorge trägt, dass Daten und Anwendungen sicher und zuverlässig in der Cloud zur Verfügung stehen. In den Bereichen Technik und Betrieb kann die Verantwortung für IT-Sicherheit vollständig auf IT-Dienstleister übertragen werden.
Das ist für viele Unternehmen sogar ratsam. Denn um bei der immensen Dynamik stets neuer Bedrohungsszenarien immer auf der Höhe der Zeit zu bleiben, haben Dienstleister oftmals mehr Experten, Spezialwissen und Erfahrung. Außerdem können sie die Kosten der aufwändigen Sicherheitssysteme eines Rechenzentrums - redundante Anbindung, Löschanlage, Notstromversorgung, Zugangskontrolle, um nur einige zu nennen - auf viele Kunden umlegen. Mit IT-Services aus der Cloud können Unternehmen ihre IT sicherer, zuverlässiger und effizienter machen - wenn sie ihren Dienstleister mit Bedacht wählen.
Welche Sicherheitsrisiken bestehen abseits der Technik?
Bei der Sicherheitsdiskussion um Cloud Computing geht es häufig um die technische Abwehr eines unerlaubten Zugriffs von außen. Dabei darf nicht vergessen werden, dass das größte Sicherheitsrisiko in einem Unternehmen der Mensch selber ist. Der wissentliche und vorsätzliche Raub von Daten ist gesamt betrachtet dabei eher die Ausnahme. Falsche Bedienung, die private Nutzung von firmeneigener Hard- und/oder Software sowie der fahrlässige Umgang mit vertraulichen Informationen sind mindestens ebenso große Gefahren für die IT-Sicherheit wie Bedrohungen von außen. Da hilft dann auch der beste Cloud-Anbieter nichts.
Deshalb brauchen Unternehmen IT-Sicherheitsstrukturen, die in der Organisation wirken. Die Sensibilisierung für Risiken und das Durchsetzen von Sicherheitsrichtlinien und -strukturen unter den Mitarbeitern sind unerlässliche interne Management-Aufgaben.