logo

Cloud Services: Kostengünstig, flexibel – und sicher?

Der IT-Security-Experte Erik Stengert erläutert in einem Gastbeitrag auf Reflektiert.com, worauf Unternehmen und insbesondere Startups achten sollten, wenn es um die Entscheidung für oder gegen eine externe Cloud-Lösung zur Speicherung unternehmensinterner Daten geht:

Blicken wir auf die lange Liste der informationstechnologischen Hype-Themen der letzten Jahre zurück, stellen wir fest, dass das Thema Cloud Services hier mittlerweile an erster Stelle rangiert (direkt danach kommt erstmal eine Weile nichts, dann folgen Big Data und Voice over IP).

Aber weshalb setzt dann eigentlich nur eine Minderheit der hiesigen Unternehmen auf kommerzielle Cloud-Produkte, obwohl all deren Anbieter (nicht zu Unrecht) Kostenersparnisse, exorbitant mehr Flexibilität und viele weitere nützliche Dinge im Vergleich zu selbst betriebenen Lösungen versprechen?

Die Hauptursache hierfür sind in der Tat Bedenken hinsichtlich der Vertrauenswürdigkeit der Cloud-Anbieter; Bedenken, die seit dem Juni 2013 nicht gerade kleiner geworden sind. Egal ob ein Cloud Service nun webbasierte Textverarbeitung, einen zentralen Datenspeicher, E-Mail Archivierung o.ä. bietet: Jedes Unternehmen von Startup bis Großkonzern, das sich für eine nicht selbst betriebene Wolken-Lösung entscheidet, vertraut deren Anbieter interne Informationen an und gibt gleichzeitig die Möglichkeit ab, selbst zu kontrollieren, wer wann auf die eigenen Daten zugreifen kann und konnte. „Vertrauen ist gut, Kontrolle ist besser“ reduziert sich bei Cloud-Lösungen auf den Satzteil mit dem Vertrauen.

Nicht völlig unwesentlich ist in diesem Zusammenhang die Tatsache, dass die Mehrheit der Anbieter von Cloud-Lösungen anglo-amerikanischen Ursprungs ist. Dies stellt für deren heimische Wirtschaft und deren regionale Kunden selbstverständlich kein Problem dar. Die Wahrscheinlichkeit, dass (beispielsweise) die NSA Wirtschaftsspionage gegen amerikanische Unternehmen oder Unternehmen der Five Eyes-Länder betreibt, dürfte Stand heute bei null liegen.

Was aber tut ein Unternehmen, dessen Heimatland nicht zu diesem privilegierten Kreis zählt und die Vorteile von Cloud-Produkten benötigt?

Der Königsweg ist eindeutig die Nutzung privater bzw. selbst gehosteter Cloud-Dienste.

Sollte dies aber aus technischen oder finanziellen Gründen (zum Beispiel bei Startups) nicht in Frage kommen, muss zunächst mit der Bewertung der Vertraulichkeit der eigenen Daten begonnen werden. – Wie geschäftskritisch sind die zu übertragenden Informationen? Wie viel würde es kosten, wenn die Daten in die Hände unberechtigter Dritter fielen und durch diese genutzt würden?

Zur Veranschaulichung ein plakatives Beispiel: Wenn es für bestimmte Daten verschmerzbar wäre, diese ausgedruckt tagsüber in einem Karton in einer Einkaufsstraße zu platzieren, spräche nichts dagegen, sie auch unverschlüsselt in die Cloud zu übertragen. – Derartige Daten gibt es durchaus reichlich, nebenbei bemerkt.

Innovative Geschäftsideen, Forschungs- und Entwicklungsergebnisse oder auch personenbezogene Daten im Sinne des BDSG gehören aber grundsätzlich niemals unverschlüsselt in die Wolke!

Apropos Verschlüsselung: Hierfür sollten ausschließlich selbst generierte Schlüssel verwendet werden. Ein vom Cloud-Anbieter bereitgestellter Schlüssel, der zum Beispiel für mehrere Kunden genutzt wird, ist so gut wie wertlos. Der eigengenerierte Schlüssel hingegen ist nur dem eigenen Unternehmen bekannt; selbst die NSA hat in diesem Falle (sofern ein zeitgemäßer Verschlüsselungsalgorithmus genutzt wird/wurde) massive Probleme, an den Inhalt der Daten zu kommen. Mittlerweile existiert eine ordentliche Zahl von Anbietern, die sich auf Datenverschlüsselung für Cloud-Speicher spezialisiert haben und hierbei auch eine relativ komfortable Nutzung ermöglichen.

Sollen zusätzlich zum eigenen Unternehmen auch weitere Instanzen wie zum Beispiel Kunden oder Zulieferer auf in der Cloud hinterlegte Daten zugreifen können, muss der Cloud-Anbieters ein granulares Berechtigungsmanagement anbieten, mit welchem sich die erlaubten Zugriffe konfigurieren bzw. freigeben lassen. Gleichzeitig benötigt die Datenverschlüsselungslösung in diesem Fall zusätzlich ein Schlüssel-Management bzw. Key Ring-Verfahren, wodurch die generierten Schlüssel automatisch an die zugriffsberechtigten Instanzen verteilt und Rechte sowohl gewährt, als auch wieder wirksam entzogen werden können.

An den oben genannten Beispielen wird ersichtlich: Der Einsatz von Cloud Services erfordert grundsätzlich ein Nutzungskonzept, welches die Basis für alle weiteren technischen Entscheidungen darstellt. Der Weg zur Erreichung einer sicheren Cloud-Nutzung ist in der Regel komplex, immer vom individuellen Bedarf abhängig und beinhaltet sowohl technische als auch organisatorische Komponenten. Was Unternehmen A hervorragend hilft, ist für Unternehmen B nicht selten völlig impraktikabel.

Nur wenn der Aufwand zur Erreichung von Sicherheit und Vertraulichkeit bei einer externen Cloud-Lösung geringer ist als bei einer intern gehosteten bzw. selbst betriebenen, sollte der kommerzielle Cloud-Anbieter tatsächlich die erste Wahl für das eigene Unternehmen sein.

 

 

Jetzt teilen...
Share on Facebook0Share on Google+0Tweet about this on Twitter

Jetzt antworten

*

captcha *