Vorteile der Cloud
Die Cloud gilt als einer der größten Wachstumstreiber in der IT Branche. Neben deutlich kürzeren Implementierungszeiten und Einsparung von Investitionsaufwand, punktet die Cloud bei der Nutzung insbesondere durch eine höhere Skalierbarkeit und einfachere Zusammenarbeit. Da der Zugriff auf die Cloud über den Webbrowser erfolgt, können Mitarbeiter, Kunden und Partner von überall auf das zentralisierte System zugreifen. Das Abrufen von Geschäftsanwendungen, Dateien oder E-Mails ist jederzeit von allen Endgeräten wie Laptops, Tablet-PCs oder Smartphones möglich. Im Vergleich zu einem Serverraum benötigt eine Cloud keinen Platz und bei Bedarf kann der gemietete Speicher schnell erweitert werden. Durch bedarfsgerechtes Hinzufügen von Ressourcen können Nutzungsspitzen ausgeglichen und schnell auf Wachstum reagiert werden. Unternehmen müssen keine hohen Investitionskosten aufbringen, sondern zahlen nur für das, was sie auch tatsächlich verbrauchen. Aufgrund ihrer hohen Flexibilität zählt die Cloud zu bedeutendsten Technologien in der Informations- und Kommunikationstechnologie.
Mögliche Gefahren der Cloud
Dennoch wird die Cloud von vielen IT-Entscheidern mit Skepsis betrachtet. Während sich die Cloud in vielen Ländern bereits durchgesetzt hat, steht bei deutschen Unternehmen insbesondere die Frage im Raum, ob die Cloud-Lösung ausreichend Datensicherheit und Datenschutz gewährleistet. Laut der Studie "IT-Sicherheit und Datenschutz 2015" der Nationalen Initiative für Informations- und Internet-Sicherheit e.V. (NIFIS) sehen deutsche Unternehmen vor allem in Hacker-Angriffen eine große Gefahr beim Cloud Computing. 71 Prozent sorgen sich demnach darum, dass Externe oder auch Mitarbeiter sich Zugriff auf die Cloud verschaffen und Daten stehlen oder manipulieren. 84 Prozent haben Angst vor dem Kontrollverlust über die eigenen Daten, da diese auf fremden Servern gespeichert werden. Als größtes Risiko sehen die Befragten (89 Prozent) allerdings tatsächlich die eigene Unwissenheit über die Gefahren. Dieser Unwissenheit lässt sich natürlich entgegenwirken.
Die Frage, Cloud nun sicher ist oder nicht lässt sich nicht pauschal beantworten. Um die gespeicherten Daten umfassend zu schützen, gilt es vielmehr bei der Auswahl eines Cloud-Anbieters einige Punkte zu beachten.
Erste Orientierungshilfen für die Cloud-Anbieter Auswahl
Zunächst sind Sicherheitszertifikate des Cloud-Anbieters ein sehr guter Anhaltspunkt. Die ISO 27001 ist ein internationaler Branchenstandard für die IT-Sicherheit und zählt zu den bedeutsamsten Zertifikaten in der IT-Branche. Die Norm definiert unter anderem Anforderungen für die Einrichtung, Umsetzung und Aufrechterhaltung von Informationssicherheits-Managementsystemen sowie für die Beurteilung und Behandlung von Sicherheitsrisiken. Die ISO 27001 wird nur nach eingehender Prüfung durch einen unabhängigen, zertifizierten Auditor vergeben. Veröffentlicht ein Anbieter keine Zertifizierungen oder gibt auch auf Anfrage keine Auskunft, ist Vorsicht geboten.
Ein Vorteil ist es, wenn die Cloud das Kerngeschäft des Anbieters darstellt. Denn dann kann davon ausgegangen werden, dass der Anbieter sich auf die benötigten Kompetenzen fokussiert und die Gefahr, dass der Anbieter die Erbringung des Cloud-Services einstellt, ist gering.
Home sweet Home - Europa bietet Sicherheit
Darüber hinaus ist es wichtig, zu prüfen, wo der Cloudanbieter die Daten speichert. Grundsätzlich sollte sich das Rechenzentrum in Europa befinden. Wenn Daten innerhalb des europäischen Wirtschaftsrates verarbeitet werden greift das europäische Datenschutzgesetz. Die europäische Datenschutzrichtlinie (RL 95/46/EG) beschreibt die Mindeststandards für den Datenschutz, die in allen Mitgliedsstaaten der EU durch nationale Gesetze sichergestellt werden müssen. Sie dient dem Schutz natürlicher Personen bei der Verarbeitung personenbezogener Daten und verbietet in der Regel die Verarbeitung sensibler personenbezogener Daten. Aufgrund der Überwachungsskandale und der Zugriffsmöglichkeiten von US-Behörden ist von Cloud-Anbietern, deren Server in den USA angesiedelt sind, eher abzuraten. Die AGB von US-Anbietern entsprechen den europäischen Standards in der Regel nicht.
Vorsicht ist beim Cloud Computing die ganze Miete
Seriöse Cloud-Anbieter sichern Daten zudem meist mehrfach ab. Der Anbieter sollte verschlüsselte Datenübertragung sowie ausfallsichere und möglichst verschlüsselte Datenspeicherung bieten, um die Sicherheit zu erhöhen. Es ist empfehlenswert, Daten noch vor der Übertragung auf den Cloud Server zu verschlüsseln. Denn wenn die Daten erst in der Cloud verschlüsselt werden, befindet sich auch der Schlüssel unter den gespeicherten Daten. Darüberhinaus sollten regelmäßig Backups durchgeführt werden, um alle gespeicherten Daten und Codes zu sichern. So wird verhindert, dass Daten verloren gehen und auch bei unterbrochener Datenverbindung kann auf die Daten zugegriffen werden. Werden die Backups über eine SSH-Verbindung abgewickelt, ist es unmöglich sie abzuhören.
Bei Vertragsschluss sollte zudem ein sogenanntes Service Level Agreement mit dem Cloud-Anbieter ausgehandelt werden. In diesem wird der Leistungsumfang des Cloud-Dienstleisters dargelegt. Dadurch wird Transparenz geschaffen und Unsicherheiten minimiert. Das SLA legt fest mit welcher Qualität die Dienstleistungen zu erbringen sind und was passiert, wenn es zu Ausfällen oder Störungen in der Bereitstellung dieser kommt. Beispielsweise werden Reaktionszeiten des Cloud-Dienstleisters im Falle von Störungen definiert. So erfolgt ein Risikotransfer vom eigenen Unternehmen in Richtung des Cloud-Anbieters. Das SLA kann des Weiteren eine Geld-zurück-Garantie enthalten. Um zu verhindern, dass nach Vertragende Rechte an eigenen Dateien verloren gehen, sollten die AGB und das Service Level Agreement (SLA) des Cloud-Anbieters gründlich durchgelesen beziehungsweise dementsprechend angepasst werden. Darüber hinaus kann auf eine Klausel zum Verbleib der Datenrecht bestanden werden.
Natürlich müssen bei der Nutzung der Cloud auch grundsätzliche IT-Sicherheitsmaßnahmen sichere Passwörter und deren regelmäßige Änderung ergriffen werden. Der Anbieter sollte die Passwörter kryptisch verschlüsseln und Mitarbeiter sollten für einen verantwortungsbewussten Umgang mit der Cloud sensibilisiert werden.
Die Vorteile der Cloud überzeugen
Im Bezug auf Datensicherung und Abschirmung von externen Angriffen, kann die Cloud sogar Vorteile bieten. Große Cloud-Anbieter wie beispielsweise Amazon Web Services schützen Daten mit hochentwickelten Technologien und arbeiten kontinuierlich an der Weiterentwicklung ihrer Technologien sowie der Prävention von Gefahren wie Hackangriffen oder Diebstahl. Private IT-Strukturen von Unternehmen, deren Kernkompetenz nicht die IT ist, können keinen vergleichbaren Schutz bieten.
Werden die genannten Punkte bei der Auswahl des Cloud-Anbieters beachtet, müssen Unternehmen sich nicht um Datensicherheit und Datenschutz sorgen, sondern können vielmehr von der Kompetenz des Cloud-Anbieters im Bereich IT und Sicherheits-Management profitieren und sich auf ihr Kerngeschäft konzentrieren. Sollte das Unternehmen trotz allem nicht mit der Cloud-Lösung zufrieden sein, kann der Anbieter nach Ende der Vertragslaufzeit einfach gewechselt werden und da die Anschaffungskosten für eine Cloud vergleichsweise gering sind, hat das Unternehmen kein Investitionsrisiko zu tragen.
Erfahren Sie in unserem E-Book mehr über das Thema Sicherheit in der Cloud.
Sicherheit und Datenschutz eBook