Cloud-Security

Mit dem Begriff „Cloud-Computing“ wissen 47 Prozent der Deutschen etwas anzufangen. Für die anderen 53 Prozent: Bei Cloud-Computing handelt es sich um das gemeinsame Nutzen von IT-Ressourcen über das Internet oder über ein unternehmensinternes Netzwerk. Mit „Ressourcen“ ist dabei sowohl Hardware (Server und Speichersysteme) als auch Software (Anwendungen und Dienste) gemeint.Verwirklichen lässt sich Cloud-Computing entweder in Form einer Public Cloud oder einer Private Cloud. Bei einer Public Cloud verwendet das Unternehmen die IT-Ressourcen eines Cloud-Anbieters. Bei einer Private Cloud hingegen nutzt das Unternehmen seine eigenen IT-Ressourcen. Die Vorteile dieser Technologie fasste Bitkom-Vizepräsident Achim Berg bei der Vorstellung der Studie „Cloud-Monitor 2015“ so zusammen: „Cloud-Services machen Unternehmen flexibler, mobiler und effizienter.“ Hinzu kommt: Viele neue digitale Geschäftsmodelle sind ohne eine Cloud-Lösung in der Wirtschaft 4.0 nicht denkbar.

Cloud-Security: Berechtigte Bedenken

Dennoch: Nur 44 Prozent der Unternehmen in Deutschland setzen Cloud-Computing bereits ein. Für 32 Prozent jedoch ist diese Technologie „kein Thema“.Woher diese Zurückhaltung? Die wichtigsten Gründe, die eine noch stärkere Verbreitung der Cloud-Nutzung verhindern, sind die Ängste vor Datenverlust und vor unberechtigtem Zugriff auf sensible Unternehmensdaten.Oliver Dehning, Leiter der TeleTrusT-Arbeitsgruppe „Cloud Security“, erläutert: „Cloud-Services unterliegen speziellen Risiken, denen Anwender adäquat begegnen müssen. Dazu gehören unter anderem eine erhöhte Abhängigkeit vom Anbieter und der teilweise Verlust der Kontrolle über ausgelagerte Daten. Dementsprechend wichtig sind eine sorgfältige Auswahl des Anbieters sowie die Verschlüsselung der Daten, wo immer das möglich ist.“

Zertifikate – aber welche?

Bei der Auswahl eines Cloud-Anbieters empfiehlt es sich, auf Zertifikate zu achten. Allerdings gibt es mittlerweile eine große Anzahl solcher Prüfsiegel. Der Branchenverband Bitkom empfiehlt: „Normen und Zertifizierungen für Cloud-Service-Provider sollten sich an bereits bestehende und allgemein in der Branche akzeptierte Ansätze wie ISO 27001 und ISO 27002 anlehnen, die um essenzielle Cloud-Spezifika ergänzt werden.“ Viele der existierenden Zertifikate beruhen auf Auskünften der Anbieter, ohne eine externe Prüfung. Beispiele für Zertifikate, bei denen dagegen eine Vor-Ort-Prüfung durch externe Auditoren Bedingung ist, sind „Certified Cloud Service“ vom TÜV Rheinland und „EuroCloud Star Audit“.Hat ein Unternehmen trotz sorgfältiger Auswahl eines Cloud-Anbieters Bedenken, seine Daten in einer Public Cloud zu lagern, dann bietet sich eine Mischform an, bei der für einige Zwecke zwar eine Public Cloud Verwendung findet, geschäftskritische Daten und Anwendungen jedoch in einer Private Cloud bleiben.„Wenn Mitarbeiter mit privaten Geräten wie Smartphones und Tablets auf Firmendaten zugreifen, dann bringt dies große Sicherheitsrisiken mit sich“, warnt Roland Günther, Sprecher der Fachgruppe IT-Sicherheit beim Bundesverband IT-Mittelstand. Weitgehend vermindern lassen sich diese Risiken jedoch durch den Einsatz von Mobile-Device-Management-Lösungen, die unter anderem dafür sorgen können, dass ein Smartphone einen besonders gesicherten Bereich erhält, in dem die geschäftlichen Apps und Daten gespeichert sind und aus dem heraus diese Apps über verschlüsselte Verbindungen mit dem Unternehmensnetzwerk kommunizieren können.

Mehr statt weniger Sicherheit

Nachlässig durchgeführt kann Cloud-Computing also ein Sicherheitsrisiko darstellen. Verantwortlich und kompetent umgesetzt dagegen erhöht Cloud-Computing sogar die IT-Sicherheit. Oliver Dehning erklärt, warum: „Sicherheitsmaßnahmen werden für den Einzelnen günstiger, wenn man die Anforderungen vieler Nutzer bündelt. Schon deshalb sind Cloud-Services vor allem für kleine und mittlere Unternehmen grundsätzlich sicherer als selbst betriebene IT-Systeme.“In solchen Unternehmen sind laut einer Studie des Wirtschaftsministeriums die wichtigsten Hindernisse beim Verbessern der IT-Sicherheit erstens der hohe Kosten- und Zeitaufwand, zweitens fehlendes Personal und drittens mangelnde Qualifikation der Mitarbeiter. Durch Cloud-Computing lassen sich alle diese Hürden überwinden.