Die Anwendungen sollen unter anderem komplexe Abläufe vereinfachen, Datenspitzen abfangen oder ganzheitliche Prozesse übernehmen. Aber wie sicher sind die Datenwolken? Wer trägt im Falle von Sicherheitsrisiken die Verantwortung?
Foto: ra2 studio - Fotolia.com
Wie trügerisch die Sicherheit im Umgang mit Cloud-Lösungen sein kann, zeigen Rechtsstreitigkeiten, die US-Cloud-Anbieter aktuell mit ihrem Land führen. Sie können die Daten bestmöglich vor Fremdzugriff schützen - garantieren können sie diesen Schutz jedoch nicht, wenn sich Behörden über die Rechtsprechung Zugriff verschaffen. Laut der Studie "IT-Sicherheit und Datenschutz 2014" der Nationalen Initiative für Informations- und Internet-Sicherheit e.V. (NIFIS) bereiten v.a. Hacker Unternehmen die größten Sorgen. 58 Prozent sehen die Angriffe als Hauptrisiko für ihre Cloud.
Wirkliche Sicherheit in der Cloud gibt es nicht. Denn egal wie sehr sich Unternehmen auch bemühen, eine Lücke oder ein Hebel wird sich immer finden. Dieser Umstand bremst den Trend Cloud nicht aus, lässt aber Unternehmen zweifeln. Laut aktueller DSAG-Studie zu Cloud und HANA sind über 40 Prozent der Befragten der Ansicht, dass der Schutz des geistigen Eigentums sich verschlechtert. Mit Verbesserungen rechnen hingegen weniger als 1 Prozent. Insbesondere wenn es um "Intellectual property" geht, überwiegt die Angst vor Sicherheitsrisiken.
Unternehmen brauchen verbindliche Rechtssicherheit
Das Hauptbedürfnis von Firmen ist schlicht Sicherheit. Der derzeit bestehende Schutz von Know-how und geistigem Eigentum gibt Unternehmern nicht die volle Garantie und das Vertrauen, um Cloud-Lösungen kompromisslos mitzutragen.
Der Schutz von Unternehmensdaten und Informationen ist in Europa insgesamt strenger, eine verbindliche und effektive Rechtssicherheit gibt es jedoch nicht. Wenn Staaten Gesetze beschließen, die sich über bestehende deutsche oder europäische Richtlinien hinwegsetzen, ist das ein Problem. Um grenzübergreifende Datenschutzverletzungen zu verhindern, ist deshalb ein internationales No-Spy-Abkommen nötig, das nicht nur die Daten, sondern vor allem das Know-how von Unternehmen schützt. Einheitliche rechtliche Rahmenbedingungen zu schaffen und so die Position Europas zu stärken, muss deshalb Priorität haben.
- 9 Basisanforderungen an einen Cloud-Vertrag
Die Entscheidung Cloud-Services zu nutzen, bedingt aus Sicht von IDC daher grundsätzlich, dass die Nutzung des jeweiligen Cloud-Service dem Unternehmen einen höheren Level in Bezug auf IT Sicherheit und Ausfallsicherheit bietet als vorher. Die folgenden Punkte zählt IDC zu Basisanforderungen in Vertragsverhandlungen. - 1. Zugangsrechte
Cloud-Services-Anbieter müssen in der Lage sein zu demonstrieren, dass die Kontrolle über Einstellungen, Aufsicht, Zugang des internen Personals jederzeit ausgeübt wird, damit Zuverlässigkeit und Integrität der internen Mitarbeiter sichergestellt ist. Ein Cloud-Anbieter sollte deshalb immer Identifikation und Zugriff mit geeigneten organisatorischen, personellen und technischen Maßnahmen absichern. - 2. Gesetzliche Compliance
Es bestehen nach wie vor große Unsicherheiten, welche Daten extern in welche Cloud-Variante verschoben werden dürfen. Deshalb sind "Datenspeicherung in Deutschland" (50 Prozent) sowie "Verträge nach deutschem Recht" (48 Prozent) aktuell die beiden wichtigsten Sicherheitsanforderungen der befragten IT-Entscheider an Hosted und Public Cloud-Anbieter. Obwohl schlussendlich immer der Kunde für die Einhaltung der gesetzlichen Compliance verantwortlich ist, sollte aber die Verantwortung für die Einhaltung der konsistenten Qualität der Arbeitsvorgänge seitens der Anbieter eingehalten werden. Die Verteilung der Haftung zwischen Cloud-Provider und Kunde muss eindeutig geklärt sein und in rechtlich-bindenden Verträgen festgehalten werden. Unabhängige Audits müssen beschrieben werden und die Lösung von widersprüchlichen Anforderungen muss definiert werden. Nur so erreicht man Transparenz. - 3. Anwendungszertifikate
Rechtsgültige Zertifikate sind ebenso eine Grundvoraussetzung für Cloud-Services, da diese bestätigen, dass das Unternehmen, welches für die Domain oder den Server verantwortlich ist, auch tatsächlich existiert. Nach Beobachtung von IDC steigt der Stellenwert von Standards und Zertifizierungen weiter stark an, denn sie schaffen Vertrauen und die Einhaltung von gesetzlichen Regularien lässt sich nachweisen. - 4. Datenursprung
Insbesondere in Deutschland sind die Datenschutzrechte stark ausgeprägt. Zudem werden die Cyberattacken nicht nur hartnäckiger sondern sie sind auch wesentlich raffinierter. Die Verträge müssen somit auch die Einhaltung der vielfältigen lokalen Datenschutzanforderungen sicherstellen, welchen außerdem einem konstanten Wandel unterliegen. - 5. Datentrennung
Da Public-Cloud-Services mandantenfähig sind und auf demselben Server oder Software-System mehrere Kunden bedienen, ist es essenziell, dass der Cloud-Hosting-Anbieter die Sicherheit zu jeder Zeit garantiert. Der Anbieter muss daher akzeptable Maßnahmen für das kontinuierliche Monitoring der Datenverarbeitung aufzeigen. - 6. Datenwiederherstellung (Recovery)
Für den Fall einer Störung oder Katastrophe muss der Anbieter in der Lage sein, die Daten wiederherstellen zu können. Auch dies sollte immer Vertragsbestandteil sein und sogar die maximale Ausfallzeit für verschiedene Vorfälle regeln. - 7. Transfer der Applikationen
Um Cloud-Services in die bestehende IT Landschaft zu integrieren und durchgängige Prozesse zu ermöglichen, sind in der Regel einige lokale Modifikationen notwendig. Dadurch können in der Regel Kosteneinsparungen erreicht werden. Gleichzeitig kann dies aber auch ein Hindernis für einen eventuellen Rücktransfer der Applikation darstellen. Es ist wichtig, vor allem auf die Interoperabilität der Lösungen auch vertraglich wert zu legen. Dies ist technisch gesehen ein anspruchsvoller Aspekt bei der Migration von Public-Cloud-Lösungen. Für die Befragten ist eine einfache Rückholung der Daten (35 Prozent) sowie die gesetzeskonforme und nachgewiesene Löschung aller Daten nach Anbieterwechsel (32 Prozent) besonders wichtig. - 8. Business Continuity
Unternehmen reorganisieren sich, schließen sich mit anderen zusammen und Rechenzentren werden konsolidiert. Cloud-Services Verträge sollten daher den Transfer der Daten zwischen verschiedenen Rechenzentren klar regeln, um den Betrieb auch bei großen Veränderungen jederzeit sicherzustellen. - 9. Monitoring und Reporting
ieser Aspekt kann insbesondere bei der Nutzung von Public-Cloud-Services komplex werden. Vor allem dann, wenn verschiedene Ansprechpartner die legale Verantwortung und die Kosten im Unternehmen dafür tragen. Die IT Abteilung sollte das Monitoring und Reporting idealerweise zentral übernehmen, um Synergien zu heben und Kosten zu senken.
Eine offene digitale Gesellschaft in Europa kann nur dann funktionieren, wenn in allen Mitgliedsstaaten auf dieser Ebene gleiches Recht gilt. Darauf können richtungsweisende Standards aufbauen, die den Umgang mit Cloud-Lösungen einheitlich regeln und klare Sicherheitsrichtlinien definieren.
Regionale Cloud wird globalen Strukturen oft nicht gerecht
Ausländische Behörden lassen sich nur dann sicher aussperren, wenn sie auch nach eigenem Recht keinen Anspruch auf Zugriff haben. Ein Weg, der heute schon zu erreichen ist: bewusst Anbieter zu wählen, die keine Konzernverbindung - etwa in die USA - haben und Daten auch nicht auf ausländische Server auslagern. Im europäischen Rechtsraum lassen sich besonders sichere Verbindungen durchaus realisieren. Nach heutigem Stand sind jedoch die wenigsten lokalen Cloud-Modelle tatsächlich praktikabel. Viele Unternehmen agieren in globalen Strukturen und haben enorme Datenaufkommen, die lokal begrenzte Lösungen schnell an ihre Grenzen bringen.
Verantwortung für eigene Daten lässt sich nicht auslagern
Für die Sicherheit ausgelagerter Daten tragen letztlich sowohl der Gesetzgeber als auch Provider und Unternehmer die Verantwortung. Die gesetzliche Grundlage muss ganzheitlich geschaffen und konsequent umgesetzt werden, um Firmen effektive Sicherheit zu geben. Aufgabe des Anbieters ist es, Dienste nachvollziehbar darzustellen und Klarheit darüber zu schaffen, ob die nötigen Sicherheitsanforderungen erfüllt werden können.
Pflicht der Unternehmen ist es, gewissenhaft mit ihrer "Intellectual property" umzugehen. Sie können sich nicht auf den Gesetzgeber und auch nicht auf ihren Provider verlassen. Deshalb müssen sie dafür sensibilisiert werden, selbst Sorge dafür zu tragen, dass beispielsweise unternehmenskritische Daten die eigenen Server gar nicht erst verlassen. (bw)