Cloud, zumal die Public Cloud, und Sicherheit - diese Schlagworte gehören für viele Unternehmen zusammen. Wie IT-Chefs das umfassende Thema managen können, erklärt ein Webcast der Computerwoche. Moderator Detlef Korus spricht mit Frank Strecker, Senior Vice President Cloud Partner Products & Ecosystems bei T-Systems International, sowohl über rechtliche Aspekte als auch über physikalische Bedrohungen.
Zum Video: Die (Public) Cloud im Sicherheitscheck
Strecker kennt die psychologische Hemmschwelle beim Thema Public Cloud. Nicht jedem fällt es leicht, die Daten nach draußen zu geben. Wer sich doch dazu entschließt, arbeitet "gegen das Gefühl, die Daten sind bei mir und damit sicher", schmunzelt er.
Aber diese Sicherheit kann trügen. Stichwort Schatten-IT: "Mancher IT-Verantwortliche weiß überhaupt nicht, wer im Unternehmen welche Lösungen woher bezieht", beobachtet er. Governance ist daher unverzichtbar. Dabei will sich der T-Systems-Manager nicht als unbedingter Verfechter der Public Cloud verstanden wissen. "Es geht nicht um Public oder Private", sagt er, "sondern darum, das jeweilige Geschäftsmodell adäquat abzubilden."
Im Schnitt kostet ein Datenverlust 558.000 Euro
Wie sehr das Thema Security drängt, zeigen die Zahlen: 37 Prozent der deutschen Unternehmen haben in den vergangenen zwölf Monaten Geschäftsdaten verloren. Im Durchschnitt schlägt ein Datenverlust mit 558.000 Euro zu Buche. "Und das ist nur der wirtschaftliche Schaden", kommentiert Korus, "der Imageschaden kommt ja noch dazu!" Strecker ergänzt: "Wer will schon gern sein Unternehmen mit einem Datenverlust in den Schlagzeilen sehen?"
Für die technologische Seite der Sicherheit sorgt T-Systems durch ein eigenes Rechenzentren mit den entsprechenden Zertifizierungen. "Wir lassen nur Lösungen ins Rechenzentrum, die durch den eigenen Auditierungsprozess gegangen sind", sagt Strecker. Was das Rechtliche angeht, betont er drei Punkte: erstens werden Verträge nach deutschem Recht und mit hiesigem Rechtsstandort abgeschlossen. Zweitens stammt die Betriebsmannschaft aus der EU. "Aus Drittländern hat keiner Zugriff", erklärt der Manager. Und drittens steht das Rechenzentrum in Deutschland.
Microsoft zum Beispiel hat sich davon überzeugen lassen und T-Systems als Datentreuhänder gewählt. Das heißt, dass Microsoft nicht auf die Daten zugreifen kann, erklärt Strecker. "Es hat auch kein Microsoft-Mitarbeiter Zutritt zum Rechenzentrum."
Welche Rolle spielen Cloud Access Security Broker?
Doch der Webcast soll keine Einbahnstraße bleiben. Nach dem Gespräch können die Zuschauer im Chat ihre Fragen an Strecker richten. Dabei greift ein Nutzer das Thema Kontrolle nochmals auf. Er fragt: Welche Rolle spielen Cloud Access Security Broker (aka CASB) im Zusammenhang mit der Absicherung von Public Cloud Services und dem Management von Schatten IT? Strecker antwortet: "In einer Multi-Cloud-Umgebung macht die strukturierte Verwaltung und das Monitoring von gesicherten Verbindungen sehr viel Sinn. Auch bei Access gilt, dass eine zentrale "Verwaltung" Schatten-IT erschwert."
Ein anderer Zuschauer befürchtet, dass sich rechtliche Rahmenbedingungen in einem Land sehr schnell ändern können. Er will nun wissen, ob es dafür Schutzmechanismen - etwa Verschlüsselung - gibt oder ob diese Frage alleine dem Nutzer obliegt. "Der beste Schutz ist am Ende eine Verschlüsselung aller Anwendungsdaten und der Besitz der Schlüssel beim Anwender", antwortet Strecker, "auch, wenn das die Funktionalität einschränkt."
Die Ausstrahlung dieses Webcasts ist Teil einer mehrteiligen Serie auf der Computerwoche.