Experten-Interview: Schattenseiten der Wolke
Sicherheitsbedenken sind bei der Entscheidung für oder gegen die Cloud immer noch der größte Hemmschuh. Die Lösung heißt Risikoanalyse und Provider Management – dann sind externe Dienste aus der Wolke mindestens genauso sicher als entsprechende Inhouse-Varianten.
Von Claudia Rayling
funkschau spracht mit Rüdiger Kolp über die Chancen und Risiken des Cloud Computings und darüber, wie sich Sicherheitslücken schließen lassen.
funkschau: Herr Kolp, als Experte für On-Demand-Konzepte beobachten Sie den Markt genau. Welche Trends zeichnen sich derzeit im Bereich Cloud Computing ab?
Rüdiger Kolp: Momentan sehen wir mehrere Trends. So zeigt sich schon heute, dass die Anzahl der Anbieter von Cloud-Computing-Lösungen in den nächsten Jahren zunächst stark wachsen wird und dann eine Konsolidierungsphase beginnt. Zunehmend bauen die großen Unternehmen ihre eigene Cloud auf.
Ein weiterer Trend ist, zukünftig vermehrt eigens entwickelte, komplexe Applikationen per Cloud Computing zur Verfügung zu stellen. Darüber hinaus wird sich das Nutzerverhalten wandeln - vom Desktop zum Browser als zentralem Arbeitsmittel.
Ungeachtet dieser Trends bleiben die Gründe, warum sich Unternehmen für Cloud Computing und damit für die Auslagerung von Anwendungen entscheiden, die gleichen: Kosten reduzieren, Verfügbarkeiten erhöhen und sich mehr auf das Kerngeschäft konzentrieren.
funkschau: Branchenübergreifend sind Unternehmen skeptisch - gerade in Bezug auf die Sicherheit der webbasierten Anwendungen. Wo sehen Sie noch Schwachstellen?
Kolp: Sicherheitsbedenken und eine mögliche Verletzung gesetzlicher Richtlinien sind tatsächlich die Hauptgründe, warum Cloud Computing noch keine Verbreitung gefunden hat. Denn für viele Unternehmen ist nicht eindeutig nachvollziehbar, wo ihre Daten gespeichert werden und wer eventuell darauf zugreifen kann.
Hier sind die Beauftragten für IT-Governance gefordert, Unklarheiten und mögliche Risiken zu erkennen und auszuschalten sowie die Einhaltung der Compliance-Richtlinien sicherzustellen.
funkschau: Wie lassen sich Risiken Ihrer Meinung nach eindämmen?
Kolp: Grundsätzlich gilt: Sicherheitslösungen, die auf die individuellen Anforderungen zugeschnitten sind, bieten einen hohen Schutz vor Risiken. Gut beraten ist, wer bei der Umsetzung eines Cloud-Computing-Konzepts neben der finanziellen und rechtlichen auch die technische Seite berücksichtigt.
Daher sollten beispielsweise Lösungen wie Netzwerkanalyse-Systeme eingesetzt werden - so können die Gefahren schnell erkannt und ausgeschaltet werden. Darüber hinaus lassen sich Bedrohungen in Szenarien simulieren und wirkungsvolle Gegenmaßnahmen entwickeln.
funkschau: Nehmen wir an, ein Unternehmen würde die Umsetzung eines Cloud-Computing-Konzeptes planen. Was stünde vor Projektbeginn ganz oben auf der To-do-Liste?
Kolp: Zu den wichtigsten Aufgaben vor Projektstart gehört es, die geschäftskritischen Anwendungen zu definieren. Denn sie bilden das Herzstück eines Unternehmens und sollten aus Sicherheitsgründen auch im Haus bleiben.
funkschau: Worauf sollten Unternehmen bei einem Vertragsabschluss achten?
Kolp: Kauft ein Unternehmen seine Leistungen nach Bedarf ein, ist darauf zu achten, dass die Technik der verschiedenen Vertragspartner miteinander harmoniert. Nur so lassen sich die definierten Sicherheitsstandards herstellerübergreifend einhalten. Gibt es von vornherein nur einen Vertragspartner, der wiederum mit Subunternehmen zusammenarbeitet, muss feststehen, wer letztlich die Daten speichert.
funkschau: Welche Praxistipps geben Sie Unternehmen mit, wenn Sie ein Cloud-Computing-Konzept erarbeiten?
Kolp: Jede Lösung sollte in das bestehende Sicherheitskonzept integriert und entsprechend konfiguriert werden. Dadurch lassen sich Wechselwirkungen zwischen Sicherheitstechnologien vermeiden. Zudem müssen technische Lösungen in der Lage sein, nicht nur den Angriff von Außen auf das Unternehmensnetzwerk zu erkennen und abzuwehren, sondern auch unberechtigte Aktionen innerhalb des Netzwerks selbst zu identifizieren und zu unterbinden.
So lässt sich beispielsweise verhindern, dass Hacker auf sensible Geschäftsdaten zugreifen oder Mitarbeiter unbefugt Dokumente öffnen und bearbeiten. In einem umfassenden Cloud-Computing-Konzept spielt auch der Serverstandort eine wichtige Rolle. Im Ausland gelten oft andere Datenschutzregeln. Deutsche Unternehmen sollten daher zunächst klären, in welchem Land die Server stehen, auf denen ihre Daten gespeichert werden.
funkschau: Wie können sich Unternehmen bei einem IT-Notfall absichern?
Kolp: Unternehmen sollten vertraglich genau fixieren, was passiert, wenn nicht genügend Speicherkapazität zur Verfügung gestellt wird oder ein IT-Notfall eintritt. Installiert ein Unternehmen eine Lösung ohne die geeignete, auf die Kundenanforderungen abgestimmte Konfiguration, schafft das nur eine Scheinsicherheit, die erst im Schadensfall sichtbar wird. Auch ist nicht immer gewährleistet, dass in Cloud-Umgebungen ausgelagerte Programme die für Verschlüsselung und Authentifizierung benötigten Zufallszahlen generieren können. Das sollte unbedingt im Vorfeld geklärt werden.
