Zwischen Vorteil und Frustration

5 von 5 Sterne, 1 Bewertung

Wenn Cloud Computing der IT-Abteilung schlaflose Nächte beschert

Geht es um die Einführung von Cloud-Lösungen, sind Unternehmen in Deutschland zunehmend offener. Laut Cloud-Monitor 2016 nutzten im vergangenen Jahr bereits 54 Prozent der befragten Unternehmen Cloud Computing. Das sind gut doppelt so viele wie vor fünf Jahren. Es gibt jedoch noch immer zahlreiche Firmen, die skeptisch sind und erhebliche Sicherheitsbedenken haben. So befürchten 58 Prozent einen unberechtigten Zugriff auf sensible Unternehmensdaten – und das zu Recht.[1] Denn weltweite Studien machen deutlich, dass die durchschnittlichen Gesamtkosten einer Datenschutzverletzung bei ungefähr 3,8 Millionen US-Dollar liegen. Aktuelle Meldungen zu Sicherheitslücken oder zum Verlust von Geschäftsgeheimnissen und geistigem Eigentum bestätigen Entscheider in ihren Zweifeln.

Umfassende Absicherung durch zertifizierten Datenschutz

Unternehmen mit Tendenzen zu Cloud Computing sollten sich jedoch nicht von Sicherheitsaspekten ausbremsen lassen. Wichtig ist, von Anfang an ein IT- sowie Sicherheitskonzept aufzustellen und darin die Cloud als einen Teil zu integrieren. Unterstützung bieten zertifizierte Cloud Provider, die weit höhere Sicherheitsstandards bereitstellen können als interne IT-Abteilungen. Doch wie finden Unternehmen unter all den Anbietern den Richtigen? Für die erste Einschätzung der Datensicherheit eines Cloud-Anbieters eignen sich unabhängige Zertifizierungen, wie ‚German Cloud‘, ISO 9001 oder 27001.

Beim Einsatz von Cloud-Lösungen sind neben einer optimalen Usability zudem individuelle Compliance-Richtlinien, eine zuverlässige Verschlüsselung sowie die physische Standortsicherheit der Server wichtig. Laut Cloud-Monitor 2016 erwarten 76 Prozent der Kunden von ihrem Cloud-Anbieter, dass er seine Rechenzentren ausschließlich in Deutschland betreibt. Nur durch die Auswahl eines deutschen Providers können Unternehmen hinsichtlich des Datenschutzes sicher sein. In der neuen EU-Datenschutz-Grundverordnung (General Data Protection Regulation, GDPR), die ab Mai 2018 anwendbar sein und das Bundesdatenschutzgesetz (BDSG) ablösen wird, sind die Datenschutzbestimmungen für deutsche Unternehmen verankert. Sie legt zudem fest, dass auch Cloud Provider aus anderen Ländern den EU-Datenschutzbestimmungen unterliegen. Möchten Unternehmen dennoch einen amerikanischen Cloud-Dienst nutzen, sollten sie sicherstellen, dass der Anbieter dem EU-US Privacy Shield zugestimmt hat. Dadurch akzeptiert dieser die geltenden Sicherheitsbestimmungen der Europäischen Union. Eine internationale Datenhaltung ist somit ausreichend abgesichert.

Durchgängige Verschlüsselung längst nicht Standard

Ist ein geeigneter Cloud Provider gefunden, entwerfen Betriebe gemeinsam mit ihm eine passende Strategie für sicherheitstechnische Maßnahmen in der eigenen IT-Infrastruktur. Das Fundament bildet ein Information-Security-Management-System (ISMS). Darin enthalten sind Verfahren und Regeln, mit denen die Sicherheit der geschäftlichen Daten in einem Rechenzentrum überwacht, gesteuert und kontinuierlich verbessert wird. Des Weiteren ist beim Einsatz von Cloud-Lösungen zu beachten, dass die Informationen ausreichend kodiert sind. Zahlreiche Cloud Provider bieten lediglich eine verschlüsselte Verbindung mittels SSL-Technologie (Secure Socket Layer) an. Diese transportiert die Daten zwar sicher zum Cloud-Server, kodiert sie jedoch nicht End-to-End. Das bedeutet, die Unternehmensdaten werden zwar verschlüsselt übertragen, sind dann aber unverschlüsselt und für jeden Netzwerkadministrator auf den Servern des Anbieters zugänglich. Absichern können sich Unternehmen, indem sie Hardware-Security-Module (HSM) in ihrem Rechenzentrum implementieren. Innerhalb der Infrastruktur erzeugen, speichern und verwalten diese kryptographische Schlüssel und deren Anwendung mit entsprechenden Algorithmen. Es empfiehlt sich, Cloud-Dienste externer Provider zu nutzen, aber den Standort und Betrieb des Schlüsseltresors im eigenen Unternehmen zu belassen. So profitieren Betriebe von den Vorteilen einer Cloud, ohne ihre Daten zu riskieren. Ideal wäre zudem, wenn der Cloud-Anbieter die Hardware-Security-Module nicht nur bereitstellt und in Betrieb nimmt, sondern diese auch verwaltet. Für Unternehmen bedeutet das: Flexibilität, Verfügbarkeit, hohe Skalierbarkeit sowie Administration eines Hardware-Security-Moduls je nach Bedarf.

Sicherheit in der Cloud nicht dem Zufall überlassen

Bei der Einführung von Cloud-Lösungen bieten zertifizierte Cloud Provider umfassende Unterstützung. Unternehmen können jedoch auch intern und eigenverantwortlich Maßnahmen ergreifen, um ihre Systeme vor Angreifern zu schützen.


Wie Sie die Gefahr von Datenverlusten durch Insider vermeiden, erfahren Sie unter anderem in folgendem Video:


[1] Cloud-Monitor 2016, Studie von Bitkom Research im Auftrag von KPMG, Mai 2016  https://home.kpmg.com/de/de/home/insights/2016/03/cloud-computing.html

Kommentare

5 von 5 Sterne, 1 Bewertung

Es gibt noch keine Kommentare

Kommentar hinterlassen