Sicherheit in der Cloud ist mehr als nur Datenschutz

31. August 2016

Die vermehrte Nutzung von Cloud-Diensten ist eines der brisantesten IT-Themen für Unternehmen in Deutschland, Österreich und der Schweiz. Die Bedürfnisse und Anwendungen, die den Einsatz einer Cloud-Lösung notwendig machen bzw. Vorteile bieten, sind vielfältig. Der Marktbeobachter IDC führte im Februar 2016 eine Studie zum Thema „Mobile Content Management“ durch. Für dieses Thema nennt IDC die Reduktion der Schatten-IT, die Reduzierung des E-Mail-Volumens, eine höhere Mitarbeiterproduktivität und geringere IT-Kosten als Motivationsgründe an. Die Vorteile scheinen also auf der Hand zu liegen. Trotzdem haben gemäß der Studie erst 15 Prozent des deutschen Mittelstands eine Enterprise File Sync & Share Lösung zum Synchronisieren und Teilen von Dokumenten mit externen Partnern im Einsatz. Einer der Hauptgründe ist die große Unsicherheit, inwieweit Unternehmensdaten in einer Cloud auch wirklich sicher sind. Eine Anfang 2016 durchgeführte Umfrage eines großes IT-Unternehmens in den USA weist aus, dass rund 50 Prozent der befragten Unternehmen Bedenken haben, ihre Daten in die Cloud zu stellen, aber trotzdem in eine Cloud-Lösung investieren wollen. Dies zeigt, dass die Verwendung einer Cloud-Lösung für viele Unternehmen erforderlich ist, um mittel- und langfristig wettbewerbsfähig zu bleiben. Diese Aussage zeigt aber auch, wie hoch die Verunsicherung bei den Unternehmen in Bezug auf die Sicherheit von Cloud-Services ist.

In Europa schaffen die EU-Datenschutz-Grundverordnung (EU-DSGVO) und eine Reihe von Zertifizierungen und Labels deutlich bessere Voraussetzungen dafür, dass Cloud-Lösungen „Made in Europe“ mit entsprechenden Auszeichnungen nachweislich höhere Standards in Bezug auf Sicherheit bieten. Allzu oft wird aber bei der Auswahl von Cloud-Services nur auf die Themen Datenschutz und Ausfallssicherheit fokussiert. Doch eine wirklich sichere Cloud-Lösung muss weitaus mehr bieten. Nur dann ist gewährleistet, dass Datendiebstahl, Wirtschaftsspionage oder Sabotage bestmöglich verhindert werden. Immerhin waren laut einer im April 2016 veröffentlichen Umfrage der BITKOM in den vergangenen zwei Jahren 69 Prozent der Industrieunternehmen in Deutschland davon betroffen.

Rechtssicherheit

Cloud-Anbieter aus dem EU-Raum, die nach den wichtigsten Standards zertifiziert sind wie zum Beispiel ISO 20000 für IT-Service-Management, ISO 27001 für Informationssicherheit, ISO 27018 für den Schutz personenbezogener Daten, „Certified Cloud Service“ des TÜV Rheinland oder fünf Sterne beim EuroCloud Star Audit, bieten ein hohes Niveau an Sicherheit an. Es gibt aber auch von Land zu Land unterschiedliche Datenschutzrichtlinien. Daher ist es wichtig, einen lokalen Vertragspartner im eigenen Land zu haben, mit dem ein Vertrag basierend auf lokalem Recht abgeschlossen wird. Große US-Cloud-Anbieter haben dies inzwischen erkannt und bauen gerade eigene Rechenzentren in Deutschland auf. Es bleibt zu beweisen, in wie weit diese Services wirklich den selben Sicherheitsstandard wie deutsche Cloud-Lösungen bieten können.

Verschlüsselung

Damit Daten wirklich geschützt sind, muss die Verschlüsselung bereits am Endgerät passieren – dies betrifft sowohl Desktop-PCs als auch Laptops, Tablets und Smartphones. Nur dann ist gesichert, dass zu keinem Zeitpunkt der Datenübertragung Informationen ausgelesen werden können. Ein eigenes Zertifikat, das am Endgerät installiert wird und die Verschlüsselung übernimmt, stellt dabei den Schutz der Daten sicher. Manche Cloud-Anbieter stellen darüber hinaus eigene Appliances zur Verfügung, in der die Schlüssel so verwaltet werden, dass auch der Anbieter darauf keinen Zugriff hat. Eine vorkonfigurierte Hardwareeinheit mit HSM (Hardware-Security-Module) und darauf abgestimmter Software wird im eigenen Rechenzentrum installiert und bietet damit auch die absolute Kontrolle über die Schlüssel.

Zugriffssicherheit

Ein Raum kann mit zwei oder mehr Schlüsseln versperrt sein – sensible Daten sind nur dann wirklich sicher, wenn auch klar ist, wer über diese Schlüssel verfügt. Dieser Punkt wird oftmals nicht bei der Auswahl eines Cloud-Anbieters berücksichtigt. Daher ist eine einfache und zentrale Benutzerverwaltung unerlässlich, um vollständige Transparenz über die Zugriffe auf Daten seiner Cloud-Lösung zu haben. Gerade bei der Kollaboration mit externen Partnern muss auch nach der Beendigung von Großprojekten mit mehreren hundert externen Usern sichergestellt sein, dass Zugriffsberechtigungen gesichert wieder entzogen werden können.

Volle Datenkontrolle

Mit einer EFSS-Lösung (Enterprise File Sync & Share) können Dokumente in Echtzeit unter internen Mitarbeitern und externen Partnern geteilt, gemeinsam bearbeitet und synchronisiert werden. Dazu ist es im Regelfall notwendig, dass Kopien dieser Dokumente auf den jeweiligen Endgeräten gespeichert werden. Somit hat ein Unternehmen in diesem Fall nur dann die volle Datenkontrolle, wenn solche Kopien über die Ferne gelöscht werden können, falls ein Gerät verloren geht, ein Mitarbeiter ausscheidet oder eine Kooperation beendet wird. Manche Cloud-Services bieten bereits eine Integration von Microsoft Office 365 zur gemeinsamen Online-Bearbeitung von Dokumenten in Echtzeit an. Damit werden keine lokalen Kopien von Dateien angelegt. Aber in diesem Zusammenhang sollte darauf geachtet werden, dass damit in Europa gespeicherte und nach EU-Datenschutz-Grundverordnung gesicherte Daten eventuell an einen Server in den USA geschickt werden und damit dem Zugriff von US-Geheimdiensten und US-Geheimgerichten ausgesetzt sind. Microsoft baut gerade an einer Deutschland-Cloud für sein Microsoft Office 365 Service. Diese soll noch 2016 fertiggestellt werden. Erst dann sind Dokumente, die über diesen Server verarbeitet werden, auch wirklich nach EU-Standards geschützt.

Unabhängigkeit des Anbieters

Laut IDC wollen mehr als 50 Prozent der Unternehmen in Deutschland in den nächsten zwei Jahren in ein Mobile Content Management System investieren. Gerade wenn unternehmenskritische Prozesse in eine Cloud ausgelagert werden, sollte verstärkt auf das Profil des Unternehmens geachtet werden: Wie lange gibt es den Anbieter bereits? Wie lange ist die Cloud-Lösung bereits im Einsatz? Wie solide steht das Unternehmen finanziell da? Und eine der wichtigsten Fragen ist, ob der Anbieter eine eigene Cloud-Infrastruktur in Form von Hardware, Software, SLAs (Service Level Agreements), Entwicklung und Support besitzt.

Know-how-Schutz

In mehr als 69 Prozent der mittelständischen Unternehmen haben Anwender schon einmal ihren privaten File Sharing Account für geschäftliche Zwecke genutzt – dies ist ein weiteres Ergebnis der IDC-Studie vom Februar 2016. Ein Grund dafür ist sicherlich die zögerliche Einführung von Cloud-Services in Deutschlands Unternehmen. Damit sind Mitarbeiter zur Selbsthilfe „gezwungen“. Für kleinere und mittlere Unternehmen bietet sich daher eine Public Cloud Lösung an. Die Dateien, Dokumente und Prozesse werden im eigenen Rechenzentrum des Cloud-Providers verwaltet. Dieses bietet im Regelfall mindestens die eigenen Sicherheitsstandards, um wertvolles Firmen-Know-how zu schützen – wenn nicht sogar bessere. Großunternehmen hingegen betreiben oftmals ein eigenes Rechenzentrum. Dafür empfiehlt sich eine Private-Cloud-Lösung, mit der Geschäftsprozesse digital modelliert und die eigene IT-Landschaft über Standards wie SOAP, CMIS, WebDAV oder CalDAV integriert werden können. Mit beiden Varianten werden in der Regel Zeit und Kosten hinsichtlich Installation, Inbetriebnahme, Betrieb und Support im Vergleich „herkömmlichen Softwarelösungen“ deutlich reduziert. Die Hardwareeinheit mit vorkonfigurierter und auf die Hardware abgestimmter Software wird im eigenen Rechenzentrum installiert und mit den definierten vorhandenen IT-Diensten im Unternehmen gekoppelt.

Fazit

Das Thema „Sicherheit“ rund um Cloud-Lösungen muss also viel breiter betrachtet werden, als lediglich Datenschutz und Ausfallssicherheit von Servern zu berücksichtigen. Gerade diese oftmals zu einseitige Betrachtung von Cloud-Services ist mitunter einer der Gründe, warum so viel Unsicherheit bei den Unternehmen über die Nutzung einer Cloud-Lösung herrscht. Alle betrachteten Punkte sind unerlässlich für die Sicherheit von Unternehmensdaten – und nur wenige Cloud-Anbieter bieten diese breite Palette an Sicherheitsaspekten. Viele prominente Beispiele in der Vergangenheit haben gezeigt, dass durch Sicherheitslücken großer Schaden für Unternehmen entstehen kann. Nur wer eine Cloud-Lösung einsetzt, die all diese Aspekte bietet, kann sich seiner Daten, Dokumente und Prozesse wirklich sicher sein, wird damit alle Möglichkeiten einer Cloud-Lösung ausschöpfen und mittel- und langfristig die Chance wahren, wettbewerbsfähig zu sein beziehungsweise zu bleiben.

Andreas Dangl
Business Unit Executive Cloud Services

Andreas Dangl ist Business Unit Executive Cloud Services bei Fabasoft, einem führenden europäischen Cloud-Anbieter für Business-to-Business-Collaboration „Made in Europe“. Sein aktueller Schwerpunkt ist die durchgängige Digitalisierung von europäischen und global agierenden Unternehmen mit besonderen Compliance-Anforderungen (speziell im Bereich Datensicherheit und Datenschutz), die Nutzen aus dem Einsatz von Cloud-Diensten ziehen wollen, um im internationalen Wettbewerb erfolgreich zu sein.

Diesem Blog folgen

To prevent automated spam submissions leave this field empty.