- IT-Sicherheit in der Wolke - Datev
Der Wachstumsmarkt für Cloud-Software-Services und die dafür notwendige Infrastuktur in Deutschland ist ungebrochen. Institute und Analysten gehen bei diesem IT-Trendthema wie in seligen Dotcom-Zeiten von traumhaften Wachstumszahlen bis zu 40 Prozent jährlich aus. Dennoch birgt das neue IT-Betriebsmodell für die Anwender auch Sicherheitsrisiken.
Die Frage ist nicht, ob überhaupt, sondern vielmehr, wann es beim Cloud Computing ein Sicherheitsleck geben wird“, gibt der IDC-Analyst Rüdiger Spies zu bedenken. Dies könne nächste Woche passieren oder auch erst in zehn Jahren – leider gebe es keine Garantien. Vorfälle wie bei Sony oder diversen Kreditkartenanbietern belegten, dass immer wieder Daten in falsche Hände gelangen. „Irgendwann passiert es halt, genauso wie bei einem Flugzeugabsturz, und man kann es hinterher nicht wieder reparieren“, so der IT-Analyst. Vor diesem Hintergrund wird verständlich, warum die Experten – trotz aller euphorischen Prognosen – in den berechtigten Sicherheitsbedenken der Anwender nach wie vor den größten Hemmschuh bei der flächendeckenden Durchsetzung des Cloud Computing-Betriebsmodells in Deutschland sehen.
Die alte Outsourcing-Faustregel gilt auch beim Cloud Computing
Die alte Outsourcing-Faustregel, unternehmenskritische Anwendungen und Daten möglichst bei sich im Unternehmen zu behalten, Peripherie-Systeme dagegen mit gutem Gewissen auslagern zu können, hat offenbar auch im neuen IT-Zeitalter „in der Wolke“ nichts an seiner Aktualität eingebüßt. Spies: „Beim Thema Cloud Computing sollte die Aufmerksamkeit sogar noch etwas größer sein.“ Im Gegensatz zum klassischen Outsourcing, wo in einem externen Rechentrum eine eigene lizenzierte Anwendung ‚gehostet‘ wird, nutzen beim Cloud Computing im sogenannten ‚Multi-Tanent Betrieb‘ viele Nutzer ein und dieselbe Anwendung. „Nur die Daten werden beim Cloud Computing getrennt, nicht die Anwendung selbst“, erläutert der Analyst eine potenzielle Sicherheitslücke.
Das Internet ist kein völlig luftleerer und deregulierter Raum mehr
Internet-Computing findet aber schon lange nicht mehr im luftleeren bzw. völlig deregulierten Raum statt. So verweist beispielsweise die auf Hightech-Branchen spezialisierte Kanzlei Bird & Bird auf einen ganzen Strauß an gesetzlichen Vorgaben und Richtlinien wie die EU-Verordnung Rom I und das Bundesdatenschutzgesetz, die für viele Industriezweige vorschrieben, dass personenbezogene Kundendaten innerhalb der deutschen Landesgrenzen, zumindest aber innerhalb der Europäischen Union aufzubewahren seien. Spies: „Mit diesen Sicherheitsanforderungen tun sich viele der internationalen Cloud-Anbieter, die ihre Rechenzentren überwiegend noch in den USA oder in Asien unterhalten, allerdings sehr schwer.“
„Bestimmte Daten dürfen laut Bundesnetzagentur überhaupt nicht gespeichert werden, egal ob in den USA oder in Deutschland“, betont auch Joachim Schreiner, Area Vice President für Zentraleuropa beim US-amerikanischen Cloud-Computing-Pionier Salesforce.com. Gesetzliche Regelungen oder Einschränkungen, die prinzipiell gegen eine Datenhaltung in den USA sprächen, seien dem Unternehmen allerdings nicht bekannt. Der Anbieter einer führenden CRM-Applikation in der Cloud unterhält derzeit sechs Rechenzentren in Übersee, der Aufbau eines weiteren in Europa sei fest eingeplant.
Kundendaten werden über Verschlüsselungstechnologien geschützt
Der IT-Manager versichert: „Wir schützen unsere Kundendaten über Verschlüsselungstechnologie und andere Security-Maßnahmen wie regelmäßige Penetrations- und Belastungstests so, als ob sie in einem Rechenzentrum innerhalb der EU liegen würden.“ So musste für den Vertrieb des Cloudbasierten CRM-Systems in Deutschland und anderen EU-Ländern zunächst eine Zertifizierung nach den sogenannten EU Safe Harbour-Richtlinien erfolgen. Alle Salesforce.com-Rechenzentren erfüllen nach Unternehmensangaben strenge internationale Vorschriften nach ISO 27001 oder SAS/70, Type II, die auch höchste Ansprüche an Hochverfügbarkeit und Backup stellen.
Die gängigen IT-Sicherheitsanforderungen variieren von Branche zu Branche. Im sensiblen Bankenbereich beispielsweise sind sie, den professionellen Marktbeobachtern zufolge, auch besonders hoch. Bei Handelsunternehmen und in der Fertigung dagegen werden sowohl im fachlichen Bereich als auch auf der IT-Seite die größten Bedenken beobachtet. Spies: „Insbesondere die Großunternehmen scheuen sich daher noch, ihre Daten in ein Cloud-Rechenzentrum auszulagern.“
Das Gebot der Stunde für Cloud-Anbieter lautet weiter Vertrauen aufzubauen
Weiter Vertrauen aufbauen heißt daher für die ständig zunehmende Zahl der Cloud-Anbieter das Gebot der Stunde. Das sieht man auch bei der deutschen Datev so – einem auf personenbezogene Gehaltsabrechnungen und Steuerdaten spezialisierten IT-Systemhaus. „Wer seine sensiblen Geschäftsdaten auf die Server eines fremden Unternehmens lädt, sollte daher auch sicher sein, dass dieses Unternehmen keinen Unfug damit treibt“, betont Benedikt Leder, Pressesprecher Technologie und Software.
Die Nürnberger betreiben seit über 40 Jahren ihr Geschäft in diesem hochsensiblen Umfeld ohne bekannt gewordene Sicherheitslecks und bieten ihre IT-Branchenlösungen heute auf mehreren Plattformen parallel an: Server-basiert ‚on-premise‘, im Outsourcing-Modell, browsergestützt über das Internet und als Hybrid, wobei Teile des Systems auf Servern installiert sind und andere aus dem Netz hinzugezogen werden. Leder: „Alles unsere Kundendaten liegen stets in Deutschland, und die Verträge unterliegen der deutschen Gesetzgebung.“
IT-Sicherheitscheck auf dem Weg in die Wolke
Vor der Entscheidung für das Cloud-Computing-Betriebsmodell gilt es, einen umfangreichen Sicherheitscheck durchführen. Analysten und Security-Spezialisten empfehlen, als Erstes die Sicherheitsreferenz des ausgewählten Anbieters zu überprüfen: Sind irgendwelche IT-Sicherheitslücken aus der Vergangenheit bekannt? Wie geht der Anbieter mit den Daten um?, usw. Vor einer Entscheidung sollte das Cloud-Rechenzentrum, in das die eigenen Daten überspielt werden, persönlich in Augenschein genommen werden, wobei mindestens gleich hohe Standards wie im eigenen Unternehmen als Messlatte anzulegen sind.
Oftmals nicht im Standard-Vertrag vieler Anbieter enthalten ist die doppelt sichere Verschlüsselung der Daten sowohl auf der Leitung als auch bei der Speicherung. Beides sollte ggf. als zusätzliche Sicherheitsmaßnahme vereinbart werden. Ein Vertrag mit dem Cloud-Anbieter wird meistens über mehrere Jahre geschlossen und ein späterer Wechsel zu einem anderen Anbieter gestaltet sich als relativ schwierig. Last, but not least gilt es, von Anfang an eine verbindliche Vereinbarung darüber zu treffen, was mit den Daten passiert, wenn etwa der Cloud-Anbieter insolvent wird, und wie die Daten wieder zurück in das eigene Unternehmen gelangen.
Quelle: IDC
Harald Lutz - Harald Lutz (Jg. 1960) arbeitet als Fachjournalist sowie in der Presse- und Öffentlichkeitsarbeit am Standort Frankfurt am ...
