Vielfach beschäftigen sich die Verantwortlichen in der Unternehmensleitung heute noch damit, ob überhaupt und wenn ja, in welchem (reglementierten) Umfang, sie zukünftig Dienste aus der Cloud nutzen sollen. Allein im Bezug auf die Sicherheit erscheint manch einem Geschäftsführer diese Technologie noch nicht ausgereift genug für den Einsatz im professionellen Umfeld. Doch nach Ansicht der meisten Experten erübrigt sich diese generelle Abwägung des Für und Wider mittlerweile. Denn, dass die Cloud längst in den Unternehmen angekommen ist – wenn auch nicht immer offiziell genehmigt – lässt sich nicht mehr wegdiskutieren. Allein aus dem Grund, weil es bereits einige innovative Geschäftsmodelle gibt, die gern und häufig von Mitarbeitern genutzt werden: Dropbox ist nur ein Beispiel dafür. Folglich sollte es jetzt verstärkt darum gehen, die richtigen Maßnahmen zu treffen, um einen sicheren Einsatz zu gewährleisten.
Sicherheitsanforderungen sind immer gleich
Die Sicherheitsanforderungen in sowie an Unternehmen sind ein weites Feld – sie schließen per Definition die Verfügbarkeit von Daten ebenso ein wie deren Absicherung und beinhalten auch den Datenschutz. Auf Letztgenannten sollten alle Betriebe, die oft viele Kundendaten erheben und abspeichern, bei der Auswahl von Cloud-Diensten ein besonderes Augenmerk richten, denn das Bundesdatenschutzgesetz (BDSG) enthält exakte Regelwerke, wie mit diesen Informationen zu verfahren ist. So sind für sensitive Daten ausreichende Zugriffskontrollen verpflichtend zu etablieren – eine Vorgabe, die bei bestimmten Cloud-Angeboten nicht vollumfänglich realisiert werden kann. Ebenso lässt sich teilweise die gesetzlich vorgeschriebene Löschung von Daten weder garantieren noch dokumentieren, da deren Lokalisierung auf den verteilten Plattformen und Datenbanken der Anbieter nur schwer möglich ist.
Doch neben den technischen Details gilt es vorab eine ganz essentielle Entscheidung zu treffen: genau darüber, inwieweit einem Cloud-Anbieter vertraut werden soll. Hier raten Sicherheitsexperten wie Stefan Strobel, Geschäftsführer der Cirosec GmbH dazu, die Kontrolle über die eigenen Daten nicht abzugeben und diese generell nur verschlüsselt in der Cloud abzuspeichern; zudem sei es ratsam, die entsprechenden Schlüssel im eigenen Unternehmen sicher abzulegen. Hierfür gibt es verschiedene technische Lösungsansätze, zum Beispiel sogenannte virtuelle „Trusted Platform Module“ (TPM).
Sicherheit aus der Cloud kann auch Sinn machen
Im Prinzip existiert das Angebot, bestimmte Anwendungen – wie etwa Sicherheitslösungen – von externen Dienstleistern beziehen zu können, bereits seit vielen Jahren – entweder klassisch im Outsourcing-Modell oder auch als Managed Security Services. Das neuere Cloud-Angebot zeichnet sich durch weitere Merkmale aus: Beispielsweise kann kurzfristig mehr Leistungsumfang nachgefragt werden – abgerechnet wird jedoch exakt nur der jeweilige Verbrauch.
In Puncto Sicherheit lässt sich durch die Nutzung der Cloud-Services ein zusätzlicher Mehrwert erzielen. Da ein Anbieter zumeist zahlreiche Kunden betreut, verfügt er fast zwangsläufig auch über eine entsprechend hohe Menge an Informationen bezüglich krimineller Angriffe. Zusammengeführt wird so eine Big-Data-Analyse über Angreifer sowie deren Methoden oder auch Angriffswellen ermöglicht und dadurch ein neuer Dienst geschaffen: Threat Intelligence. Diese Datensammlung von Kontext- und Hintergrundwissen zu relevanten Bedrohungen oder aktuellen Vorfällen eröffnet Unternehmen dann im Weiteren zum Beispiel die Optionen, um bei einem Angriff richtig zu reagieren.
Wissen, was Mitarbeiter machen – vor allem in der Cloud
Mittlerweile gibt es unzählige Cloud-Dienste und jede Woche kommen weitere hinzu. Das kann für Unternehmen zum Problem werden, da viele dieser Angebote auf den Bedarf von privaten Anwendern zugeschnitten sind und keine hohen Sicherheitsanforderungen erfüllen. Trotzdem werden diese von den Mitarbeitern gern genutzt, weil sich dadurch oftmals ein soeben aufgetretenes Problem ad hoc bewältigen lässt. Dies kann dazu führen, dass in Unternehmen beispielsweise bis zu 50 CRM-Lösungen nebeneinander genutzt werden. Solche Zahlen bezüglich der Schatten-IT ermittelt das Unternehmen Skyhigh ebenso wie die passende Erklärung dazu; im konkreten Fall handelte es sich um Insellösungen von verschiedenen Abteilungen. Dies hat zur Konsequenz, dass die Geschäftsleitung hier über keinerlei Kontrolle mehr verfügt – denn der Mitarbeiter, der die Daten abspeichert, kann diese im Prinzip nutzen, wie er will. Es gibt noch viele weitere Argumente, die dafür sprechen, sich mit dem Wildwuchs der Schatten-IT auseinanderzusetzen: so stehen bei manch einer Kollaborations-Plattform die darüber ausgetauschten unternehmenseigenen Entwicklungen am Ende als Open Source der Allgemeinheit zur Verfügung.
Die Basis für eine Entscheidung pro Cloud
Bei jeder Entscheidung, die bezüglich der Nutzung von Diensten und Anwendungen in der Cloud getroffen werden, sollte eines bedacht werden: Das oberste Ziel des Anbieters ist immer, Geld zu verdienen. Von daher empfiehlt Sicherheitsexperte Strobel die Angebote jeweils auch dahingehend zu überprüfen, wer in der Geschäftsbeziehung wie davon profitiert. So könnte die Motivation des Anbieters beispielsweise sein, den Kunden noch stärker zu binden oder gar ein Stück weit abhängig zu machen. Andererseits werden bestimmte Dienstleistungen wie Threat Intelligence – die positiv im Sinne des Kunden sind – erst durch die Cloud ermöglicht.
Doch unabhängig davon, welche Cloud-Dienste zum Einsatz kommen und in welchem Umfang sie genutzt werden – eines ist unerlässlich: Es bedarf immer Mitarbeitern im Unternehmen, die alle Prozesse verstehen und steuern können. Denn letztendlich ist es ratsam, die Kontrolle nie ganz aus der Hand zu geben und wichtige Funktionalitäten wie die Sicherheitseinstellungen selbst zu administrieren.
Foto: Fotolia / Jakub Jirsák
Weitere Informationen: www.cirosec.de und www.skyhighnetworks.com
Informationen zu TPM: https://www.bsi.bund.de/DE/Themen/weitereThemen/SicherePlattformen/TrustedComputing/TrustedPlatformModuleTPM/TrustedPlatformModuleTPM/grundlagen.html
Blickpunkt: Big Data und Cloud-Architekturen
Datengetriebene Geschäftsmodelle, so die Prognose, werden traditionelle Methoden der Wertschöpfung zunehmend ergänzen oder gar verdrängen. Als wichtiger Trend gilt derzeit die Analyse von Maschinen-generierten Daten, die beispielsweise in den Sensoren von Produktionsmaschinen und Fertigungsanlagen, in Gebäuden oder auf den Funkchips von Transportbehältern und Werkstücken permanent anfallen.