Wer hat die Schlüsselgewalt in der Cloud?

“Warum würden Sie jemanden dafür bezahlen wollen, dass er Ihre geschäftlichen oder sonstigen Geheimnisse hütet, wenn Sie vermuten oder wissen, dass sie gegen Ihren Willen weitergegeben werden“, fragte EU-Vizepräsidenten Neelie Kroes nach einer Tagung des Lenkungsausschusses der European Cloud Partnership (ECP) in der estnischen Hauptstadt Tallinn. Globale Ausspähprogramme wie PRISM und Tempora haben die brüchige Sicherheit von Cloud-Computing wieder einmal in den Blickpunkt gerückt.

„Das Thema Datensicherheit ist gerade für deutsche Mittelständler, die nicht selten über weltweit einzigartige Technologien verfügen, überlebenswichtig“, sagt Stefan Strobel, Geschäftsführer beim Heilbronner IT-Sicherheitsspezialisten cirosec und ergänzt: „Cloud-Computing mit seinen kostenmäßigen Skaleneffekten ist für solche Unternehmen einerseits sehr interessant, andererseits kann es ihre Existenz kosten, wenn sie ausspioniert werden, denn bei Cloud-Computing kommen nun einmal die Daten per definitionem in fremde Hände.“

Die fremden Hände, denen die Daten anvertraut werden, müssen gewährleisten, dass die Daten in der Cloud nicht verloren gehen, eingesehen oder verändert werden. Große Cloud-Provider wissen, dass ihr Geschäft einzig und allein davon abhängt, dass sie dieses Vertrauen schaffen und natürlich auch tagtäglich einlösen können: „Der Kunde benötigt verifizierbare Nachweise von seinem Provider, wie dieser mit Datensicherheit und Datenschutz umgeht, Zertifikate wie ISO 27001 sind hierbei wichtig, aber sicher nicht ausreichend“, sagt Frank Strecker, der Cloud-Computing-Verantwortliche bei T-Systems. Die Deutsche Telekom beziehungsweise T-Systems hätten sich deshalb entschlossen, die technischen Sicherheitsanforderungen an die Cloud-Computing-Plattformen im Internet zu veröffentlichen, außerdem stünde man in Sicherheitsfragen in engem Kontakt mit staatlichen Behörden wie dem Bundesamt für Informationssicherheit (BSI), regen Austausch gebe es aber auch mit vielen Unternehmen, so auf dem nächsten Cyber Security Summit am 11. November in Bonn.

Sicherheit kann nicht delegiert werden

Da Vertrauen bekanntlich gut, Kontrolle aber besser ist, müssen alle Unternehmen, die sich mit ihren Daten in die Cloud begeben wollen, zwei wesentliche Entscheidungen treffen: das ist zum einen die Festlegung, ob sie auch mit ihren besonders sensiblen Daten (also beispielsweise Entwicklungsdaten, die Industriespione anziehen) in die Cloud gehen, zum anderen die Entscheidung, ob sie das Schlüsselmanagement dem Cloud-Provider überlassen oder ob sie es in eigener Regie gestalten wollen. Ob überhaupt verschlüsselt wird, sollte nun wirklich keine Frage sein, denn wer sich ohne Verschlüsselung in die Cloud begibt, dem ist nicht mehr helfen.

Wer die Verschlüsselung dem Cloud Provider überlässt, sollte sich im Klaren darüber sein, dass auch die Schlüssel in der Cloud liegen beziehungsweise verschlüsselte Daten und Schlüssel nicht streng getrennt sind. Andererseits erfordert natürlich das Betreiben eines eigenen Key Management Servers im Unternehmen einen nicht unerheblichen Aufwand in Sachen Mitarbeiter-Know-how und Hardware- und Software-Kosten. Letztlich geht es um eine Risikoanalyse, deren Parameter klar sind: „Die Daten müssen für ein Unternehmen mehr wert sein als die Kosten, die durch einschlägige Schutzmaßnahmen auflaufen“, formuliert Marc Fliehe, Referent Sicherheit beim Branchenverband BITKOM in Berlin das Kriterium. Fliehe plädiert für eine Risikoanalyse, die nicht durch das Prinzip Hoffnung („Es wird schon nichts passieren“) gesteuert ist und die sich darüber im Klaren ist, dass die Verantwortung für die Sicherheit letztlich allein beim Besitzer der Daten liegt: „Sicherheit lässt sich nicht delegieren, weder an den Cloud-Dienstleister, einen Sicherheitsverantwortlichen noch an die Firewall.“

Wer Daten in der Cloud verarbeiten lässt, die im Havariefall über Wohl und Wehe eines Unternehmens entscheiden, der kommt eigentlich nicht um ein eigenes Schlüsselmanagement herum, lässt Fliehe erkennen, obwohl er beileibe kein Cloud-Skeptiker ist. „Die tollste Verschlüsselungslösung nützt freilich nichts, wenn beispielsweise die Signaturen des Virenscanners veraltet sind und die Daten schon vor der Verschlüsselung kompromittiert werden“, mahnt er. Auch müsse man illusionslos feststellen, dass für viele mittelständische Unternehmen eine Cloud-Lösung durch einen kompetenten Provider in puncto Sicherheit eine deutliche Verbesserung bedeutet.