Sicherheit in der Cloud
Nicht nur Datenschutz
Die vermehrte Nutzung von Cloud-Diensten ist eines der brisantesten IT-Themen für Unternehmen in Deutschland. Insbesondere das Thema "Datensicherheit" wird in diesem Kontext nach wie vor heftig diskutiert. Cloud Security ist aber facettenreicher und umfasst diverse weitere wichtige Aspekte, die es zu berücksichtigen gilt.
Die Bedürfnisse, die den Einsatz einer Cloud-Lösung erfordern, und die Anwendungen, für die das Cloud Computing einen Vorteil bietet, sind vielfältig. Eine Möglichkeit stellt der Cloud-basierte Informationsaustausch dar. Der Marktbeobachter IDC führte im Februar 2016 eine Umfrage zum Mobile-Content-Management (MCM) durch. Als Motivation für MCM nennt IDC die Reduktion der Schatten-IT, die Reduzierung des E-Mail-Volumens, eine höhere Mitarbeiterproduktivität und geringere IT-Kosten. Die Vorteile scheinen also auf der Hand zu liegen. Trotzdem haben gemäß der Umfrage erst 15 Prozent des deutschen Mittelstands eine EFSS-Lösung (Enterprise File Sync and Share) zum Synchronisieren und Teilen von Dokumenten mit externen Partnern im Einsatz. Einer der Hauptgründe ist die große Unsicherheit, inwieweit Unternehmensdaten in der Cloud wirklich sicher sind.
In Europa schaffen die EU-Datenschutz-Grundverordnung (EU-DSGVO) und eine Reihe von Zertifizierungen und Labels deutlich bessere Voraussetzungen dafür, dass Cloud-Lösungen "Made in Europe" mit entsprechenden Auszeichnungen nachweislich höhere Sicherheitsstandards erfüllen. Allzu oft wird aber bei der Auswahl von Cloud-Services nur auf die Themen Datenschutz und Ausfallssicherheit fokussiert. Doch eine wirklich sichere Cloud-Lösung muss weitaus mehr bieten. Nur dies gewährleistet, dass man Datendiebstahl, Wirtschaftsspionage oder Sabotage bestmöglich verhindern kann. Schließlich waren laut einer im April 2016 veröffentlichen Umfrage des Bitkom in den vergangenen zwei Jahren 69 Prozent der Industrieunternehmen in Deutschland davon betroffen.
Rechtssicherheit
Cloud-Anbieter aus dem EU-Raum, die nach den wichtigsten Standards zertifiziert sind, bieten ein hohes Niveau an Sicherheit. Zu diesen Standards zählen zum Beispiel ISO 20000 für das IT-Service-Management, ISO 27001 für die Informationssicherheit, ISO 27018 für den Schutz personenbezogener Daten, das Label "Certified Cloud Service" des TÜV Rheinland oder auch fünf Sterne beim Eurocloud Star Audit. Zudem gibt es von Land zu Land unterschiedliche Datenschutzrichtlinien. Daher ist es für Unternehmen wichtig, einen lokalen Vertragspartner im eigenen Land zu haben, mit dem sie einen Vertrag basierend auf lokalem Recht abschließen können. Große US-Cloud-Anbieter haben dies inzwischen erkannt und bauen derzeit eigene Rechenzentren in Deutschland auf. Es bleibt abzuwarten, inwieweit diese Services wirklich den gleichen Sicherheitsstandard wie deutsche Cloud-Lösungen bieten können.
Ein weiterer wichtiger Aspekt ist die Verschlüsselug. Damit Daten wirklich geschützt sind, muss die Verschlüsselung bereits am Endgerät erfolgen - dies betrifft sowohl Desktop-PCs als auch Laptops, Tablets und Smartphones. Nur dann ist sichergestellt, dass Angreifer zu keinem Zeitpunkt der Datenübertragung Informationen auslesen können. Ein eigenes Zertifikat, das am Endgerät installiert wird und für die Verschlüsselung herangezogen wird, stellt dabei den Schutz der Daten sicher. Manche Cloud-Anbieter stellen darüber hinaus eigene Appliances zur Verfügung, in der die Schlüssel so verwaltet werden, dass auch der Anbieter selbst darauf keinen Zugriff hat. Eine vorkonfigurierte Hardwareeinheit mit HSM (Hardware-Security-Modul) und darauf abgestimmter Software wird im eigenen Rechenzentrum installiert und bietet damit die absolute Kontrolle über die Schlüssel.
Ein Raum kann mit zwei oder mehr Schlüsseln versperrt sein - sensible Daten sind nur dann wirklich sicher, wenn auch klar ist, wer über diese Schlüssel verfügt. Dieser Punkt findet bei der Auswahl eines Cloud-Anbieters oft keine Berücksichtigung. Daher ist eine einfache und zentrale Benutzerverwaltung unerlässlich, um den vollständigen Überblick über die Zugriffe auf Daten einer Cloud-Lösung zu haben. Gerade bei der Zusammenarbeit mit externen Partnern muss auch nach der Beendigung von Großprojekten mit mehreren hundert externen Benutzern sichergestellt sein, dass ein Unternehmen den Anwendern Zugriffsberechtigungen gesichert wieder entziehen kann.
Mit einer EFSS-Lösung lassen sich Dokumente in Echtzeit unter internen Mitarbeitern und externen Partnern teilen, gemeinsam bearbeiten und synchronisieren. Dazu ist es im Regelfall notwendig, Kopien dieser Dokumente auf den jeweiligen Endgeräten zu speichern. Somit hat ein Unternehmen nur dann die volle Datenkontrolle, wenn es solche Kopien aus der Ferne löschen kann, falls ein Gerät verloren geht, ein Mitarbeiter ausscheidet oder eine Kooperation beendet wird.
Manche Cloud-Services bieten bereits eine Integration in Microsoft Office 365 zur gemeinsamen Online-Bearbeitung von Dokumenten in Echtzeit an. Damit entfällt das Anlegen lokaler Kopien von Dateien. In diesem Zusammenhang sollte ein Unternehmen aber darauf achten, dass damit in Europa gespeicherte und nach EU-DSGVO gesicherte Daten an Server in den USA geschickt werden und damit dem Zugriff von US-Geheimdiensten und US-Geheimgerichten ("FISA Court") ausgesetzt sind. Microsoft zum Beispiel baut gerade an einer Deutschland-Cloud für seinen Office-365-Service. Erst mit deren Fertigstellung sind die dort verarbeiteten Dokumente auch wirklich nach EU-Standards geschützt.
Hinzu gesellt sich die Frage nach der Unabhängigkeit des Anbieters. Laut der erwähnten IDC-Umfrage vom Februar 2016 wollen mehr als 50 Prozent der Unternehmen in Deutschland in den nächsten zwei Jahren in ein Mobile-Content-Management-System investieren. Gerade wenn ein Unternehmen unternehmenskritische Prozesse in eine Cloud auslagern will, sollte es verstärkt auf das Profil des Service-Providers achten: Wie lange gibt es den Anbieter bereits? Wie lange ist die Cloud-Lösung schon im Einsatz? Wie solide steht das Unternehmen finanziell da? Und eine der wichtigsten Fragen ist, ob der Anbieter eine eigene Cloud-Infrastruktur in Form von Hardware, Software, SLAs (Service-Level-Agreements), Entwicklung und Support besitzt.
Know-how-Schutz
In mehr als 69 Prozent der mittelständischen Unternehmen haben Anwender schon einmal ihr privates Filesharing-Konto für geschäftliche Zwecke genutzt - ein weiteres Ergebnis von IDC. Ein Grund dafür könnte die zögerliche Einführung von Cloud-Services in Deutschlands Unternehmen sein, sehen sich Mitarbeiter doch dadurch zur Selbsthilfe "gezwungen". Für kleinere und mittlere Unternehmen bietet sich daher eine Public-Cloud-Lösung an: Die Dateien, Dokumente und Prozesse werden im Rechenzentrum des Cloud-Providers verwaltet. Dieses bietet im Regelfall mindestens die eigenen Sicherheitsstandards, um wertvolles Firmen-Know-how zu schützen - wenn nicht sogar bessere.
Großunternehmen hingegen betreiben meist eigene Rechenzentren. Hier empfiehlt sich eine Private-Cloud-Lösung, mit der man Geschäftsprozesse digital modellieren und die eigene IT-Landschaft über Standards wie SOAP, CMIS, Webdav oder Caldav integrieren kann. Mit beiden Varianten lassen sich in der Regel Zeit und Kosten hinsichtlich Installation, Inbetriebnahme, Betrieb und Support im Vergleich zu "herkömmlichen" Softwarelösungen sparen.
Fazit
Es gilt, das Thema "Cloud-Lösungssicherheit" viel breiter zu betrachten, als lediglich den Datenschutz und die Ausfallssicherheit von Servern zu berücksichtigen. Gerade die oft zu einseitige Betrachtung von Cloud-Services ist mitunter einer der Gründe, warum so viel Unsicherheit bei den Unternehmen über die Nutzung von Cloud-Lösungen herrscht. Alle hier genannten Punkte sind unerlässlich für die Sicherheit von Unternehmensdaten - doch nur wenige Cloud-Anbieter bieten diese breite Palette an Sicherheitsaspekten. Viele prominente Beispiele in der Vergangenheit haben gezeigt, dass durch Sicherheitslücken großer Schaden für Unternehmen entstehen kann. Nur wer eine Cloud-Lösung einsetzt, die all diese Aspekte bietet, kann sich seiner Daten, Dokumente und Prozesse wirklich sicher sein, wird damit alle Möglichkeiten einer Cloud-Lösung ausschöpfen sowie mittel- und langfristig die Chance wahren, wettbewerbsfähig zu bleiben.
Lesen Sie mehr zum Thema
