Jörg Liebe, CIO der Lufthansa Systems AG
"Hundertprozentige Sicherheit kann niemand garantieren"
In Zeiten hyperaktiver Geheimdienste kann die Security-Frage nicht ausbleiben. Die Vizepräsidentin der EU-Kommission, Viviane Reding, sagte: "Der Prism-Skandal zeigt, dass Clouds der bevorzugte Ort für alle sind, die Daten abgreifen wollen." Für Anbieter wie Lufthansa Systems sind solche Aussagen tödlich, oder?
Jörg Liebe: Unsere Kunden können sich auf die Einhaltung der gesetzlichen Bestimmungen für Datenverarbeitung in Deutschland verlassen. Konkret bedeutet dies, dass in Deutschland eine behördlich erzwungene Dateneinsicht à la Patriot Act beziehungsweise FISA-Court-Anweisungen nicht möglich ist. Dies wird von unseren Spezialisten bei der Entwicklung der kundenspezifischen Lösung berücksichtigt. Das hat zur Folge, dass entsprechend sensitiv bewertete Daten oder Anwendungen unserer Kunden ausschließlich in Deutschland verarbeitet werden, um damit einen Zugriff von außerhalb der deutschen Rechtsprechung zu verhindern.
Nach einer Comscore-Untersuchung trauen 57 Prozent aller deutschen Unternehmen der Cloud nicht. Was halten Sie dagegen, um die Zweifel zu zerstreuen?
Jörg Liebe: Da muss zunächst die Rückfrage erlaubt sein, was die Untersuchung in dem Zusammenhang unter "trauen" versteht, und vor allem: Bezogen auf welche Cloud-Variante haben die Teilnehmer geantwortet? Da gibt es große Unterschiede. Ausgangspunkt für uns ist in jedem Fall eine gründliche Schutzbedarfsanalyse, die es uns ermöglicht, die Daten und ihre Verarbeitungsprozesse individuell zu kategorisieren.
Entsprechend der ermittelten Schutzbedarfe beraten wir unsere Kunden umfassend über die möglichen Implementierungsszenarien, einschließlich der Frage einer Umsetzung in einer Private oder Public Cloud oder der Datenhaltung innerhalb Deutschlands. Auf dieser Basis verabschiedet der Kunde dann ein auf seine spezifischen Anforderungen abgestimmtes Konzept. Dieses beinhaltet nicht nur Fragen der IT-Security, sondern auch Themen wie beispielsweise Verfügbarkeit und Skalierbarkeit.
Der nach Durchsatz wahrscheinlich größte weltweite kommerzielle Internet-Knoten German Commercial Internet Exchange, kurz DE-CIX, in Frankfurt am Main war oder ist noch Ziel von Spähaktionen. Wie kann Lufthansa Systems ernsthaft versprechen, dass die Kundendaten in Ihrer Cloud sicher vor Zugriffen sind? In Ihren Rechenzentren mag das ja zutreffen. Auf dem Weg dorthin dürften aber erhebliche Sicherheitsrisiken auftreten. Was sagen Sie dazu?
Jörg Liebe: Lufthansa Systems kann zunächst nur in ihrem direkten Zugriffsbereich (Infrastruktur, Applikationen etc.) für die gesicherte und hochverfügbare Bereitstellung entsprechender Private-Cloud-Services Sorge tragen. Der Zugriff auf die Daten und Anwendungen erfolgt über verschlüsselte Datenverbindungen. Die angewandten Verschlüsselungsverfahren sind nach heutigem Kenntnisstand als sicher zu bewerten. Die sachgerechte Implementierung ermöglicht darauf aufbauend eine sichere Ende-zu-Ende-Datenverarbeitung.
Das wird von unseren IT-Sicherheitsexperten kontinuierlich überwacht und mittels PEN-Tests (Penetration-Tests beispielsweise zum Ausschluss von Man-in-the-Middle-Attacken) überprüft und gegebenenfalls auf Basis neuer Angriffsszenarien entsprechend angepasst und gehärtet. Dazu hat Lufthansa Systems ein dediziertes CERT (Computer Emergency Response Team) aufgebaut. Dessen Mitarbeiter erarbeiten auf Basis ihrer Einblicke in aktuelle technische und sicherheitsrelevante Entwicklungen Empfehlungen. Diese sind Grundlage der Maßnahmen, die wir unseren Kunden vorschlagen, um die jeweiligen Anforderungen entsprechend der ermittelten Schutzbedarfskategorien zu erfüllen.
Direkt gefragt: Können Sie guten Gewissens versprechen, dass Kundendaten in Ihrer Cloud sicher sind? Wie können Sie das garantieren?
Jörg Liebe: Eine hundertprozentige Sicherheit kann niemand garantieren. Das gilt ja nicht nur für IT-Sicherheit und sollte allen Unternehmen bewusst sein. Auf Basis des aktuellen Kenntnisstands und der ergriffenen technischen und organisatorischen Maßnahmen sind wir aber überzeugt, dass die Lufthansa-Systems-Cloud für unsere Kunden sicher ist. Dies wird auch durch entsprechende Zertifizierungen wie beispielsweise ISO 27001 belegt.
IBM und Accenture schneiden in einer internationalen IDC-Untersuchung als Cloud-Dienstleister sehr gut ab. Beide fokussieren sich auf branchenspezifische Lösungen. Ist das ein Weg, den Lufthansa Systems ebenfalls einschlagen könnte?
Jörg Liebe: Solange Private- oder Public-Cloud-Angebote im Umfeld von Infrastructure as a Service im Fokus stehen oder gegebenenfalls branchenunspezifische Backoffice-Anwendungen wie Microsofts Office 365Office 365, ist es nicht zwingend erforderlich, sich mit seinem Angebot an ausgewählte Branchen zu halten. Bei den Themen Software beziehungsweise Platform as a Service (SaaSSaaS, PaaS) sind branchenspezifische Kenntnisse für eine erfolgreiche Marktpositionierung dagegen erforderlich. Alles zu Office 365 auf CIO.de Alles zu SaaS auf CIO.de
Dabei haben wir uns auf hochverfügbare und mit einem entsprechenden Service-Level-Agreement versehene sichere Private-Cloud-Angebote für die Bereiche IndustrieIndustrie und Services sowie Logistik für international agierende Unternehmen fokussiert. Als Beispiel sei hier unser vor Kurzem in Betrieb gegangener Private-Cloud-Kunde Tecosim genannt: Aus unserer Private Cloud bezieht der Kunde im Rahmen eines IT-Komplett-Outsourcings Leistungen wie Server-Applikationen und zentralen Speicherplatz sowie die Office-Umgebung. Top-Firmen der Branche Industrie
Lufthansa Systems nutzt Virtual-Desktop-Infrastructure-(VDI-)Technologie, um zu den unter Linux laufenden Anwendungen von Tecosim (CAE-Software) die unter Windows laufenden Office-Anwendungen virtuell dazuzuschalten. Dieser Ansatz schont Ressourcen und ist flexibel, schnell und einfach zu warten. Tecosim kann dadurch sowohl einen High-Performance-Computing-Cluster für Simulationen - zum Beispiel Crashtests in der Automobilindustrie - als auch alle Workstations zur Vor- und Nachbearbeitung der Simulation in unserem RechenzentrumRechenzentrum nutzen. Alles zu Rechenzentrum auf CIO.de