Die Sorge um die Sicherheit der eigenen Daten hält offenbar die große Mehrheit mittelständischer Unternehmen davon ab, den Weg in die Cloud zu gehen und Speicherdienstleistungen, fremde Rechenkapazitäten oder auch Backup-Dienste in Anspruch zu nehmen. Das hat eine Umfrage der Beratungsgesellschaft PWC unter 351 IT-Verantwortlichen anlässlich der CeBIT 2011 ergeben.
Gerade einmal zwölf Prozent der Befragten nutzten bereits Cloud-Dienste für Unternehmensdaten. 70 Prozent gaben an, dass Sicherheitsbedenken der wichtigste Grund für die Datenspeicherung im eigenen Haus seien. Doch wie viel von diesen Bedenken ist Vorurteil, und wie viel hat einen realen technischen Hintergrund? Verschlechtert sich die Sicherheit tatsächlich, wenn die Datenbestände auf einem fremden Server liegen und der Zugriff per Internet erfolgt? Nach einem Blick auf die gängigen Lösungen für Cloud-Speicherung und einige wichtige gesetzliche Bestimmungen ergibt sich ein teilweise erstaunliches Bild.
Staatlicher Zugriff auf die Cloud Daten
Einer der wichtigsten Aspekte hinsichtlich der Datensicherheit ist der - vermutete oder tatsächliche - Zugriff von US-Behörden auf die Unternehmensdaten, solange diese irgendwo in der Cloud gespeichert sind. Niemand möchte Betriebsgeheimnisse preisgeben, weil irgendwo auf der Welt laut Patriot Act ganz legal fremde Behörden Einblick in die eigenen Daten nehmen können. Doch diese Sorge ist nur teilweise begründet: Der Patriot Act erlaubt amerikanischen Stellen den Datenzugriff nur dann, wenn der Cloud-Anbieter oder dessen Mutterkonzern seinen Sitz in den USA oder einem befreundeten Drittstaat hat. Zudem ist der staatliche Zugriff bei allen aus den USA exportierten Software-Produkten legal.
Das Problem ist also nicht spezifisch für die Speicherung in der Cloud, sondern besteht überall dort, wo amerikanische Software involviert ist. Um den fest integrierten Einblick durch US-Behörden zu vermeiden, genügt es, einen rein deutschen Cloud-Anbieter mit deutschem Rechenzentrum auszuwählen und auf den Einsatz amerikanischer Software zu verzichten.
Sichere Übertragungswege
Es ist allgemein bekannt, dass unverschlüsselte E-Mails auf Ihrem Weg vom Absender zum Empfänger von praktisch jedermann mit Zugang zu den beteiligten Servern mitgelesen werden können. Gerne entsteht daraus die Schlussfolgerung, dass es bei der Übertragung von Daten in die Cloud ja nicht viel besser sein kann. In der Praxis ist es allerdings so, dass für die Übertragung das https-Protokoll eingesetzt wird, genau wie beim Online-Banking oder bei der Reisebuchung. Die Unternehmensdaten sind auf dem Weg in die Cloud also verschlüsselt und mindestens ebensogut geschützt wie Ihre Bankdaten bei einer Online-Überweisung.
Es besteht kein rationaler Grund, dem Verfahren in einem Fall zu vertrauen und im anderen Fall nicht. Eine potenzielle Lücke hat das System dennoch: Stammt das SSL-Zertifikat von einem amerikanischen Anbieter, greift wieder der Patriot Act. Achten Sie bei Ihrer nächsten Onlineüberweisung einmal auf den Zertifikatsaussteller Ihrer Bank. Es ist zwar nicht belegbar, dass SSL-Zertifikate aus der Hand gegeben und von dritten Stellen kopiert werden. Aber natürlich hat ein solcher Anbieter die gleichen Verträge mit US-Behörden unterzeichnet wie andere Software-Hersteller und Cloud-Anbieter aus diesen Ländern. Auch hier bleibt also alles sicher, solange die Zertifikate von Anbietern ohne US-Beteiligung stammen.
Cloud ist vor Hackern sicher
Natürlich ist ein Hackerangriff das große Gespenst, das Angst vor dem Gang in die Cloud verbreitet. Doch auch hier sieht die Realität weitaus weniger dramatisch aus, als es gängige Vorurteile vermuten lassen. Hacker könnten als Ziel für einen Angriff entweder den wesentlich schlechter geschützten Client-Rechner oder den Datenbestand auf dem Unternehmensserver auswählen. Das gilt gleichermaßen bei Speicherung der Daten im eigenen Haus wie auf einem Server in der Cloud.
Während die hauseigenen Server bei Großunternehmen hochsicher ausgelegt sind, können sich kleine und mittelständische Unternehmen diesen Aufwand in der Regel nicht leisten. Der Gang in die Cloud kann hier sogar eine Verbesserung der Sicherheit bedeuten, denn das Rechenzentrum eines spezialisierten Anbieters verfügt über ein mehrstufiges Firewall- und Sicherheitskonzept und erfordert eine strengere Authentifizierung des Zugriffs. Und selbst nach dem Zugang per VPN-Gateway greifen die Überwachung der Aktivitäten und Systeme zur Einbruchserkennung (IDS/IDP).
Wovor die Cloud nicht schützen kann, sind menschliches Versagen bei Mitarbeitern oder einem Trojaner auf einem der zugreifenden Client-Rechner. Beides kann einem Hacker Zugang zu den vertraulichen Daten verschaffen, aber auch diese Schwachstelle gibt es sowohl bei hausinterner Speicherung als auch bei Speicherung in der Cloud. Doch auch für Trojaner auf dem Clientsystem gibt es in der Cloud, insofern der Datenbestand den Aufwand rechtfertigt, durchaus leistungsfähige Lösungen, die sich im hausinternen Serverraum nur schwer umsetzen lassen.
Daten sind in der Cloud vor Verlust geschützt
Was für den Schutz vor Hackern gilt, gilt auch für die Datensicherheit: Sie kostet Geld für redundante Speicherung und das benötigte Personal zur Wartung und Administration der Systeme, und das ist mehr, als sich die meisten kleinen und mittleren Unternehmen leisten können oder wollen. Im Rechenzentrum eines Cloud-Anbieters werden die Kosten für die Speicherung an mehreren Standorten dagegen auf die Schultern aller Kunden verteilt.
Im Ergebnis sind die gespeicherten Daten hochverfügbar, können also im Fall einer Katastrophe oder eines Server-Ausfalls praktisch ohne Unterbrechung abgerufen werden. Selbst kleinere Rechenzentren besitzen zu diesem Zweck nach außen mindestens zwei Datenleitungen zweier unterschiedlicher Anbieter, um jederzeit die Verbindung zu gewährleisten. Speicher-Lösungen wie etwa IntelliVault von Ubique Technologies lassen sich zudem nahtlos in bestehende Backup- und Synchronisationssysteme integrieren und ermöglichen den sicheren Zugriff auf die eigenen Daten, solange Zugang zum Internet besteht.
Gefahr vor unbefugten Datenzugriffen unbegründet
Über die Abwehr von unbefugten Zugriffen von außen haben wir schon gesprochen, aber wie sieht die Absicherung gegen den Zugriff durch Mitarbeiter des Rechenzentrums aus? Hier greift unter anderem die Verschlüsselung der abgelegten Unternehmensdaten, möglichst auf einen Schlüssel oder ein Zertifikat des Kunden. Lassen die verwendeten Applikationen keine Verschlüsselung zu, greifen interne Sicherheitsrichtlinien und Datenschutzkonzepte.
Bundes- und Landesdatenschutzgesetz, nach deren strengen Vorgaben Rechenzentren und Cloud-Anbieter arbeiten müssen, schreiben eine umfangreiche Protokollierung und Überwachung der Datenzugriffe vor, Mitarbeiter und Administratoren werden strenger überprüft und überwacht als in einem herkömmlichen Unternehmen. Nicht zuletzt sehen die gesetzlichen Vorgaben einen Sicherheits- und einen Datenschutzbeauftragten und strenge Kontrollen vor, der Leitstand eines Rechenzentrums muss zu diesem Zweck rund um die Uhr besetzt sein. Diese Sicherheitsmaßnahmen stellen in der Summe erheblich größere Hürden für unbefugten Zugriff dar, als es die Maßnahmen in den meisten Unternehmen leisten können.
Unternehmen profitieren von verbesserter Sicherheit
Unter dem Strich bietet der Gang in die Cloud kleinen und mittelständischen Unternehmen in fast allen Gesichtspunkten eine verbesserte Sicherheit gegenüber dem Betrieb eines eigenen Servers. Das Bauchgefühl der meisten IT-Verantwortlichen basiert also tatsächlich auf unbegründeten Vorurteilen. Dennoch bleiben zwei wichtige Aspekte festzuhalten:
Ein wesentlicher Teil der Sicherheit fußt darauf, einen Cloud-Anbieter auszuwählen, der ein Rechenzentrum innerhalb Deutschlands betreibt, keine Software oder Sicherheitszertifikate mit amerikanischer Beteiligung einsetzt und der aufgrund seines deutschen Stammsitzes ausschließlich deutschem Recht unterliegt. Am besten geeignet sind deutsche Anbieter, die ein lokales Rechenzentrum betreiben und ihre eigene Software entwickeln.
Zweitens beseitigt die verbesserte Sicherheit bei der Datenspeicherung in der Cloud nicht die größte Sicherheitslücke, nämlich das Verhalten der eigenen Mitarbeiter. Doch um dieses Risiko muss sich jedes Unternehmen unabhängig davon kümmern wo seine Daten abgelegt sind. (Tecchannel)