Sicherheit
Cloud-Dienstleister als hohes Datensicherheitsrisiko
Fortsetzung des Artikels von Teil 2
Expertenkommentar Materna: Aggressive Industriespionage
Die Dienste externer Clouds in Anspruch zu nehmen, war für Unternehmen noch nie so risikoreich wie heute. Aus Sicht der Unternehmen sind alle Verbindungen nach außen potenzielle Einstiegspunkte für Ausspähungen. Dabei sind Internet-, mobile und Provider-Verbindungen besonders gefährdet. Aber auch fernab des Unternehmensnetzes werden an zentralen Knotenpunkten Telefon- und Datenleitungen von Geheimdiensten wie der NSA und der britischen GCHQ angezapft. So als wäre dies nicht genug, zwingen die Vereinigten Staaten mit dem Patriot-Act US-Cloud-Provider weltweit dazu, bei Verdacht auf eine Straftat Kundendaten in unverschlüsselter Form den US-Behörden preiszugeben.
Damit sind Cloud-Provider mit US-, aber auch mit britischer Provenienz, für Unternehmen nur noch dann eine tragfähige Dienstleistungsalternative, wenn die Daten für die Öffentlichkeit bestimmt sind. Die Unternehmen kommen somit nicht umhin, ihre Datenbestände zu sichten und zu analysieren, um so die Spreu – Daten, die problemlos nach draußen gegeben werden können – vom Weizen – Daten, die das eigene Unternehmen nicht verlassen sollten – zu trennen. Gleiches gilt für den Datenaustausch mit Geschäftspartnern. Auch in dieser Konstellation sollten Unternehmen kritisch hinterfragen, welche Daten die Grenzen des eigenen Unternehmens überschreiten können und welche nicht. Für Daten, die, obwohl sensibel, ausgetauscht werden müssen, um durchgehende Geschäftsprozesse aufrechtzuerhalten, wird das führende Unternehmen seine Geschäftspartner verstärkt in die Absicherungspflicht nehmen müssen. Dies könnte soweit führen, dass Partner, die sich die zusätzlichen Investitionen in die IT-Sicherheit nicht leisten können oder wollen, aus Geschäftsverbünden ausgeschlossen werden. In der Automobilindustrie ist diese Entwicklung bereits voll im Gange.
Die Unternehmen sollten außerdem ihre Zugriffskonzepte, sowohl intern als auch remote, kritisch überdenken. Wer braucht welche Zugriffsrechte auf welche Anwendungen und Daten, um seine Aufgaben zu erfüllen, und welche nicht? Zugriffssparsamkeit sichert nicht nur einzelne Datenbestände besser ab. Sie begrenzt auch im Fall der Inanspruchnahme eines US-Cloud-Anbieters die Auditierungs- und Anwendungsdaten ein – wer hat wann worauf zugegriffen –, die gegebenenfalls US-Behörden übergeben werden müssen.
Die aktuelle Entwicklung macht wenig Hoffnung, dass sich die Ausgangssituation für die Unternehmen verbessern wird. Die Unternehmen werden sich wohl auf Dauer auf aggressive Industriespionage einstellen und darauf mit veränderten Datenhaltungs- und Sicherheitskonzepten reagieren müssen. Ob Cloud-Provider unter der Kandare von Geheimdiensten künftig für Unternehmen noch eine große Rolle spielen werden, scheint deshalb fraglich. Europäische Unternehmen sollten bevorzugt zertifizierte europäische Cloud-Dienstleister mit durchgängiger Verschlüsselung nutzen.
- Cloud-Dienstleister als hohes Datensicherheitsrisiko
- Nebulöse Wolkengebilde
- Expertenkommentar Materna: Aggressive Industriespionage
- Expertenkommentar Blue Elephant: Unternehmen haften für Governance, Risiko-Management, Compliance
- Expertenkommentar Evidian: Identity-Federation schirmt Daten ab
- Expertenkommentar KPMG: Schützenswerte Daten sollten den EU-Rechtsraum keinesfalls verlassen
Lesen Sie mehr zum Thema
