„Das Thema Datensicherheit ist gerade für deutsche Mittelständler, die nicht selten über weltweit einzigartige Technologien verfügen, überlebenswichtig“, sagt Stefan Strobel, Geschäftsführer beim Heilbronner IT-Sicherheitsspezialisten cirosec
“Warum würden Sie jemanden dafür bezahlen wollen, dass er Ihre geschäftlichen oder sonstigen Geheimnisse hütet, wenn Sie vermuten oder wissen, dass sie gegen Ihren Willen weitergegeben werden“, fragte EU-Vizepräsidenten Neelie Kroes nach einer Tagung des Lenkungsausschusses der European Cloud Partnership (ECP) in der estnischen Hauptstadt Tallinn. Globale Ausspähprogramme wie PRISM und Tempora haben die brüchige Sicherheit von Cloud-Computing wieder einmal in den Blickpunkt gerückt.
„Das Thema Datensicherheit ist gerade für deutsche Mittelständler, die nicht selten über weltweit einzigartige Technologien verfügen, überlebenswichtig“, sagt Stefan Strobel, Geschäftsführer beim Heilbronner IT-Sicherheitsspezialisten cirosec und ergänzt: „Cloud-Computing mit seinen kostenmäßigen Skaleneffekten ist für solche Unternehmen einerseits sehr interessant, andererseits kann es ihre Existenz kosten, wenn sie ausspioniert werden, denn bei Cloud-Computing kommen nun einmal die Daten per definitionem in fremde Hände.“
Die fremden Hände, denen die Daten anvertraut werden, müssen gewährleisten, dass die Daten in der Cloud nicht verloren gehen, eingesehen oder verändert werden. Große Cloud-Provider wissen, dass ihr Geschäft einzig und allein davon abhängt, dass sie dieses Vertrauen schaffen und natürlich auch tagtäglich einlösen können: „Der Kunde benötigt verifizierbare Nachweise von seinem Provider, wie dieser mit Datensicherheit und Datenschutz umgeht, Zertifikate wie ISO 27001 sind hierbei wichtig, aber sicher nicht ausreichend“, sagt Frank Strecker, der Cloud-Computing-Verantwortliche bei T-Systems. Die Deutsche Telekom beziehungsweise T-Systems hätten sich deshalb entschlossen, die technischen Sicherheitsanforderungen an die Cloud-Computing-Plattformen im Internet zu veröffentlichen, außerdem stünde man in Sicherheitsfragen in engem Kontakt mit staatlichen Behörden wie dem Bundesamt für Informationssicherheit (BSI), regen Austausch gebe es aber auch mit vielen Unternehmen, so auf dem nächsten Cyber Security Summit am 11. November in Bonn.
Sicherheit kann nicht delegiert werden
„Die Daten müssen für ein Unternehmen mehr wert sein als die Kosten, die durch einschlägige Schutzmaßnahmen auflaufen“, formuliert Marc Fliehe, Referent Sicherheit beim Branchenverband BITKOM
Da Vertrauen bekanntlich gut, Kontrolle aber besser ist, müssen alle Unternehmen, die sich mit ihren Daten in die Cloud begeben wollen, zwei wesentliche Entscheidungen treffen: das ist zum einen die Festlegung, ob sie auch mit ihren besonders sensiblen Daten (also beispielsweise Entwicklungsdaten, die Industriespione anziehen) in die Cloud gehen, zum anderen die Entscheidung, ob sie das Schlüsselmanagement dem Cloud-Provider überlassen oder ob sie es in eigener Regie gestalten wollen. Ob überhaupt verschlüsselt wird, sollte nun wirklich keine Frage sein, denn wer sich ohne Verschlüsselung in die Cloud begibt, dem ist nicht mehr helfen.
Wer die Verschlüsselung dem Cloud Provider überlässt, sollte sich im Klaren darüber sein, dass auch die Schlüssel in der Cloud liegen beziehungsweise verschlüsselte Daten und Schlüssel nicht streng getrennt sind. Andererseits erfordert natürlich das Betreiben eines eigenen Key Management Servers im Unternehmen einen nicht unerheblichen Aufwand in Sachen Mitarbeiter-Know-how und Hardware- und Software-Kosten. Letztlich geht es um eine Risikoanalyse, deren Parameter klar sind: „Die Daten müssen für ein Unternehmen mehr wert sein als die Kosten, die durch einschlägige Schutzmaßnahmen auflaufen“, formuliert Marc Fliehe, Referent Sicherheit beim Branchenverband BITKOM in Berlin das Kriterium. Fliehe plädiert für eine Risikoanalyse, die nicht durch das Prinzip Hoffnung („Es wird schon nichts passieren“) gesteuert ist und die sich darüber im Klaren ist, dass die Verantwortung für die Sicherheit letztlich allein beim Besitzer der Daten liegt: „Sicherheit lässt sich nicht delegieren, weder an den Cloud-Dienstleister, einen Sicherheitsverantwortlichen noch an die Firewall.“
Wer Daten in der Cloud verarbeiten lässt, die im Havariefall über Wohl und Wehe eines Unternehmens entscheiden, der kommt eigentlich nicht um ein eigenes Schlüsselmanagement herum, lässt Fliehe erkennen, obwohl er beileibe kein Cloud-Skeptiker ist. „Die tollste Verschlüsselungslösung nützt freilich nichts, wenn beispielsweise die Signaturen des Virenscanners veraltet sind und die Daten schon vor der Verschlüsselung kompromittiert werden“, mahnt er. Auch müsse man illusionslos feststellen, dass für viele mittelständische Unternehmen eine Cloud-Lösung durch einen kompetenten Provider in puncto Sicherheit eine deutliche Verbesserung bedeutet.
Neueste Kommentare
5 Kommentare zu Wer hat die Schlüsselgewalt in der Cloud?
Kommentar hinzufügenVielen Dank für Ihren Kommentar.
Ihr Kommentar wurde gespeichert und wartet auf Moderation.
Wenn auf dem eigenen Computer schon keine Kontrolle durch den User(client) mehr machbar ist. Was wenn die .api’s schon ins Betriebssytem integriert sind? Das Betriebssystem kennt einen fast besser als man selbst. Was wenn die Schnittstellenbefehle dort ansetzen? Einfach alles publizieren und sich so die Rechte sichern?
ist schon seltsam. Bis vor kurzem wurde hier würde das Thema „Cloud“ sehr intensiv berichtet (ZDNet). Es wurde als das Nonplusultra dahin gestellt. Diese Glorifizierung hat mich immer schon gewundert ! Zum Glück noch rechtzeitig (bevor alle darauf anspringen) wurde jetzt mit Held Snowden die Öffentlichkeit etwas aufgeklärt. Also Cloud -> Finger weg
Es ist schon lustig, wie nun alle Leute so stark von Cloud abrücken, weil dort ja alles angeblich so furchtbar risikobehaftet ist. Dieselben Leute schicken aber seit Jahren unverschlüsselte Emails offen durch das Internet und stören sich nicht daran, dass diese praktisch von jedermann gelesen werden können.
Etwas mehr Sachverstand und etwas weniger Panikmache wären da schon hilfreich. Die Cloud ist schon da und Cloud-Rechenzentren sind effizienter, umweltschonender – und im Zweifel sicherer – als die meisten unternehmenseigenen Rechenzentren.
Ist doch nicht ganz richtig: meine E-Mails kann ‚im Prinzip‘ jeder lesen, das ist aber nicht ganz so einfach, und die meisten Mails dürften eher belanglos sein, so dass die niemanden interessieren.. In die Cloud legt man aber zumeist wichtige Daten (Backup, Termine, Adressen, Nacktbilder von der Liebsten etc.), die dann deutlich sensibler sind, und die möglichst niemand sehen sollte.
Man muss sich daran gewöhnen, dass die Daten lokal verschlüsselt werden müssen, und erst dann in die Cloud gelegt werden können. Ist zwar auch nicht 100% sicher (kann ja ein Keylogger installiert sein), aber besser als nichts.
Sicherheit gibt es nur, wenn der Rechner als Insellösung nicht ans Internet angebunden ist. Aber wer tut sich so etwas freiwillig an? :-]
Na, wenn solche Unternehmen wie Google mit ihren ‚Mist‘ Android Systemen Backups in die Cloud laden, und in diesen Backups die WLAN Schlüssel/Kennworte (Ort, E-Mail Adresse, SSID, etc. sind ja durch Streetview bereits bekannt) unverschlüsselt aufbewahren, dann darf sich niemand wundern, dass das Wort ‚Cloud‘ mit ‚NSA-Selbstbedienungsladen‘ gleichgesetzt wird.