Cloud-Dienstleister als hohes Datensicherheitsrisiko

Mit der Forcierung ihrer Internet-Geschäfte gewinnen die Cloud-Provider als Serviceleister für die Unternehmen an Bedeutung. Viele Internet-Größen aus den USA, oft im Verbund mit so genannten neutralen Analystenhäusern, werden nicht müde, die Wolke als Verarbeitungs- und Datenvermittler in den siebten Himmel zu heben. Um so tiefer könnten die Unternehmen, was die Sicherheit ihrer Daten und Compliance betrifft, mit einer falschen Wahl des Cloud-Dienstleisters künftig abstürzen.

Nach Dr. Thomas Lapp, Rechtsanwalt und Vorsitzender der Nationalen Initiative für Informations- und Internet-Sicherheit (NIFIS), ist Cloud-Computing zweifelsohne ein großer Technologiesprung, was eine effiziente und ressourcenschonende Datenverarbeitung betrifft. "Aber", fügt er hinzu, "es ist dringend notwendig, die damit verbundenen Gefahren zu sehen und zu reagieren.“"Besonders gefährlich für Unternehmen könne Cloud-Computing dann sein, wenn die Dienstleister, die die Server betreiben, aus den Vereinigten Staaten oder Großbritannien stammten. Die Daten der Unternehmen seien dann durch unmittelbare Zugriffe der Geheimdienste bedroht. Das gelte auch für Daten, die außerhalb der Vereinigten Staaten durch Cloud-Provider aus anderen Ländern gespeichert werden. "Auch dann verschafft sich die US-Regierung mit Verweis auf den Patriot-Act Zugriff auf die Daten, sofern dieser Dienstleister in den Vereinigten Staaten über eine Tochtergesellschaft verfügt", warnt Lapp. Dies alles sei ohne Richtervorbehalt und ohne Einschränkung schon bei bloßem Verdacht auf eine schwere Straftat möglich.

Dass Geheimdienste wie die NSA und GCHQ progressiv Industriespionage betreiben und die Terroristenbekämpfung nur als Deckmantel nutzen, steht seit den Enthüllungen von Edward Snowden und weiteren Enthüllungen der letzten Zeit außer Zweifel. Cloud-Dienstleister als geschäftliche Mittler für Unternehmen sind für die Geheimdienste eine ideale Bezugsquelle. Darüber können auch Beteuerungen der Cloud-Dienstleister aus den Vereinigten Staaten und Großbritannien, die Daten ihrer Kunden seien bei ihnen sicher, nicht hinwegtäuschen. Denn was außerhalb ihrer Verfügungsgewalt liegt, können sie auch nicht garantieren. Die große Gefahr, dass sich Geheimdienste sensibler Kundendaten bemächtigen, kann komplette Sicherheitsstrategien und Sicherheitsvorkehrungen der Unternehmen ad absurdum führen. In der Folge könnten mit einer falschen Wahl von Cloud-Dienstleistern ihre Geschäfte bald in eine gefährliche Schieflage geraten. Die Vorbehalte gegenüber den Cloud-Dienstleistern, die mehrheitlich aus den USA stammen oder zumindest dort eine Tochtergesellschaft unterhalten, wächst bereits. NIFIS ist in einer aktuellen Studie den Ängsten deutscher Unternehmen auf den Grund gegangen. 58 Prozent von ihnen erachten das Hacken externer Clouds als ihr größtes Sicherheitsrisiko. An zweiter Stelle, 51 Prozent, folgt die Befürchtung, die Kontrolle über die Daten zu verlieren, wenn diese auf externen Servern verarbeitet werden. Auch der Aspekt „Kontrollverlust“ trifft die Unternehmen ins Mark ihrer digitalen Geschäfte. Nicht der Cloud-Dienstleister, sondern das Unternehmen haftet dafür, dass die Daten compliant behandelt werden. Steht die Sicherheit der Daten auf der Kippe, kippt auch Compliance, und die Unternehmen sind die Gelackmeierten.

Compliance war angesichts dieser rechtlichen Ausgangssituation schon zu Zeiten des klassischen IT-Outsourcing für Unternehmen ein schwieriges Unterfangen, obwohl die Anforderungen zu dieser Zeit deutlich geringer waren. In Zeiten des Cloud-Computing, gestiegener Anforderungen und wachsender Industriespionageaktivitäten kann der Anspruch, compliant sein zu müssen, für die Unternehmen in einem Debakel enden, mit allen damit verbundenen negativen wirtschaftlichen und Imagefolgen. Hinzu kommen bei den Cloud-Providern, unabhängig von ihrer Provenienz, die Risiken, die Unternehmenskunden drohen, wenn vor allem die NSA systematisch vorgearbeitet hat. Mathias Hein, freier IT-Berater in Neuburg an der Donau und mit Angriffsformen der NSA wohl vertraut, nennt sie:

• von den US-Herstellern aufgedeckte Verschlüsselungsalgorithmen, die es der NSA ermöglichen, heute die meisten verschlüsselten Datenströme on the fly wie Klartext mitzulesen,
• sich direkt oder auf dem Graumarkt beschaffte Software-Schwachstellen, die rigoros für Ausspähungen und sonstige Hacking-Angriffe ausgenutzt werden,
• Hintertüren, die im Quellcode von US-Software versteckt sind, über die nach Bedarf Trojaner und andere Malware eingeschleust wird,
• Updates und Upgrades von US-Software, mit denen sich die Cloud-Provider mit oder ohne ihr Wissen nachträglich Ausspähprogramme und sonstige Malware ins Haus holen.

"Und einmal drin", so der IT-Berater, "können digitale Prozesse sogar sabotiert werden." Diese Gefahren drohten zwar direkt auch den Unternehmen. "Doch Cloud-Provider als Mittler für Unternehmenskunden sind für die NSA als Industriespionagequelle deutlich ergiebiger." Je mehr marktbedeutende Unternehmen der Cloud-Dienstleister bediene, um so größer sei für die Kunden die Ausspähgefahr. Er warnt die Unternehmen außerdem vor US-Offerten, die vor Advanced-Persistent-Threats (APTs) schützen sollen, unabhängig davon, ob sie im Unternehmen oder beim Cloud-Dienstleister eingesetzt werden. "Diese Sicherheitssoftware ist eine ursprüngliche Entwicklung des US-Militärs. Dass die darin eingesetzten Methoden genau die Angriffsformen aufdecken, mit denen die NSA aktuell ausspioniert, darf bezweifelt werden." Die Gefahr, dass in die Cloud ausgelagerte Daten dort ausgespäht werden, ist schon deshalb groß, weil jenseits der Unternehmensgrenzen der eigene Einfluss- und Verfügungsbereich endet. Werden externe Administratoren korrumpiert, erfahren die Unternehmensverantwortlichen davon in der Regel nichts, auch weil der Cloud-Dienstleister ansonsten um seine Reputation und Geschäfte fürchten müsste. Auch die Gefahr der Korruption ist höher als innerhalb des eigenen Unternehmens. Das liegt daran, dass in der Cloud der Personenkreis mit Administrationsaufgaben größer und die Aussicht der Geheimdienste auf fette Beute verlockender ist. Außerdem war es noch nie so einfach wie heute, Daten und Systeme quasi im Vorbeigehen über Funk zu manipulieren und zu sabotieren. Die dafür notwendigen Internet-of-Things- (IoT-)Geräte sind frei im Markt erhältlich.

1. Cloud-Dienstleister als hohes Datensicherheitsrisiko
2. Nebulöse Wolkengebilde
3. Expertenkommentar Materna: Aggressive Industriespionage
4. Expertenkommentar Blue Elephant: Unternehmen haften für Governance, Risiko-Management, Compliance
5. Expertenkommentar Evidian: Identity-Federation schirmt Daten ab
6. Expertenkommentar KPMG: Schützenswerte Daten sollten den EU-Rechtsraum keinesfalls verlassen

Lesen Sie mehr zum Thema

Weitere Artikel zu MATERNA GmbH Information & Com

„Souveräne deutsche IT-Lösungen“

Materna und StackIT schließen Partnerschaft

Bechtle gewinnt Ausschreibung

Bundesverwaltung kauft Apple-Produkte für 770 Millionen Euro

Ziel bis 2027: die Umsatzmilliarde

Materna verzeichnet 21,5 Prozent Umsatzwachstum

Platinum-Partner von Aleph Alpha

Materna entwickelt KI-Kofferlösung für Behörden

Vorstandsaufgaben neu verteilt

Überraschender Chefwechsel bei Materna

Weitere Artikel zu KPMG National Office

Der Entwurf zum Data Act

Booster oder Hemmschuh für die europäische Datenwirtschaft?

KPMG-Studie

Europäischer Cloud-Markt nur was für Hyperscaler?

Cybersecurity

Internationale Unternehmen im Spannungsfeld

Datenschutzgrundverordnung

Reform als Chance

Umfrage von Bitkom Research

Nutzung von Cloud Computing in Unternehmen boomt

Weitere Artikel zu connect professional

Privatsphäre? Fehlanzeige!

Gericht in NRW erlaubt versteckte Kamera in WG-Zimmer

Hybride Arbeitswelt

Meetingraum-Systeme as a Service

Digitale Souveränität in Europa

Der neue Wettlauf um Kontrolle, Kompetenz und Kooperation

Pflegepersonalbemessungsverordnung

Nicht mehr exceln bis der Arzt kommt

Open statt ausgeliefert

Wie das ZenDiS Alternativen zur IT-Abhängigkeit etablieren will