Communardo Software GmbH, Kleiststraße 10 a, D-01129 Dresden
+49 (0) 351/8 33 82-0

Die Cloud: Eine Frage der Sicherheit

Dieser Tage erschüttert eine Enthüllung nach der anderen das Vertrauen der Nutzer in die Sicherheit ihrer Kommunikation im Mobilfunknetz und im Internet. Ob nun Prism oder Tempora oder nicht zuletzt das Datenleck bei Facebook, man wird zunehmend unsicherer, was die verwendeten Tools und Plattformen angeht. Was ist wirklich noch sicher? Wem kann ich meine Daten guten Gewissens anvertrauen? Über welche Medien kann ich noch sicher kommunizieren? Diese Fragen stellen sich viele private Nutzer und sollten sich auch viele Unternehmen stellen, denn die Cloud ist allgegenwärtig. In ihr wird kommuniziert, werden Daten gespeichert oder auch komplexe Rechenoperationen durchgeführt. Wenn man das weiß, kann man sich darauf einstellen, aber viele Nutzer/ Mitarbeiter wissen das nicht und gehen allzu oft allzu sorglos mit vertraulichen und brisanten Daten um. Nicht zuletzt darum ist der Begriff „Industriespionage“ in den letzten Tagen häufig gefallen, weshab deutsche Unternehmen ihrer Infastruktur die Vertrauensfrage stellen sollten. Der Beitrag beschäftigt sich nun auch speziell mit den Herausforderungen an Unternehmen im Bereich des Cloud-Computing und der Datensicherheit.

Das große Problem der Schatten-IT

In vielen kleinen aber auch großen Firmen spielt sich etwas ab, was landläufig als Shadow-IT bezeichnet  wird. Während die IT-Abteilung peinlich genau darauf bedacht ist, dass  die Mitarbeiter nur sichere Passwörter nutzen und der Compliance-Bereich  darauf achtet, dass auch ja keine Firmen-Interna nach draußen dringen,  gibt es immer wieder Mitarbeiter, die sich fröhlich und unbeschwert  offener Systeme zur Kommunikation oder zum Datenaustausch bedienen. Unternehmen müssen sich die Frage stellen, ob das eigene Angebot von Kommunikationssoftware ausreichend ist und auch genutzt wird. Oder ob die Mitarbeiter vielleicht eigene externe, womöglich unsichere Lösungen nutzen und so womöglich interne Daten unwillig preisgeben.
 
Denn es ist schon verführerisch einfach, eine Kundenpräsentation auf Dropbox zu laden, um sie zu Hause weiter zu bearbeiten oder mal eben mit dem Kollegen aus der Nachbarabteilung per Facebook Chat die neuesten Angebote zu diskutieren. Wenn es die Lücken im System erlauben, entsteht inhouse ein Wildwuchs an genutzten Systemen, von dem die IT-Abteilung oftmals gar nichts weiß. Doch genau diese unsicheren, oft nicht zertifizierten und ungeprüften Systeme sind ein großes Sicherheitsproblem. Zum einen liegen die Daten nur auf unzureichend geschützten Servern, zum anderen findet die Datenübertragung bei freien Tools größtenteils unverschlüsselt statt.   
 
„Dropbox und andere verschlüsseln die Daten erst, wenn sie in der Cloud sind“, so Michael Waidner, Leiter des SIT am Fraunhofer Institut, in einem Statement im Chip Business Blog. Bei Systemen, deren Gerichtsstand nicht Deutschland nicht, kommt erschwerend hinzu, dass bei Pannen oder Datenverlusten das gerichtliche Vorgehen erheblich beeinträchtigt wird. Auch wenn den Anbietern dieser für private Nutzer konzipierten Systeme die Mängel oft bekannt sind, werden sie meist ignoriert oder stillschweigend hingenommen. Das ist bei Business-Cloud-Systemen wie IBM Connections anders. Hier gilt es, Standards einzuhalten und gesetzliche Regelungen zu befolgen.

Art von Clouds

Nun ist Cloud nicht gleich Cloud und bevor man sich mit einem System beschäftigt, muss man sich über die Optionen im Klaren sein.  Es gilt grundsätzlich, drei Bereiche voneinander zu unterscheiden:
    
  1. Cloud Infrastruktur: Infrastructure as a service (IaaS)
    Im Grunde genommen wird hier dem Kunden ein komplettes Rechenzentrum zur Verfügung gestellt. Die Lösung von Amazon, EC2, ist sicherlich ein bekanntes Beispiel.
  2. Cloud Plattformen: Platform as a service (PaaS)
    Auch hier werden Hard- und Softwarekomponenten bereitgestellt, wobei der Anwender beispielsweise jedoch keinen Zugriff auf das Betriebssystem und die Entwicklungsumgebung hat. Als Beispiel möchte ich hier force.com von Salesforce nennen.
  3. Cloud Anwendungen: Software as a service (SaaS)
    Die wohl bekanntestes Art und Weise, Cloud-Services zu nutzen, ist die mittels Software-Applikationen wie Microsoft Skydrive, Sharepoint Online oder jetzt auch Office 365.
    
Zusätzlich kann man in der Regel noch zwischen einer public und einer private Cloud unterscheiden. Es lassen sich demnach auch Cloud-Systeme auf internen Rechenzentren installieren. Unser Social Intranet Tool „Communote“ lässt sich zum einen als SaaS Version nutzen (ausschließlich auf deutschen Servern gehostet!), andererseite aber auch als komplette inhouse-Variante installieren. Bei der SaaS-Version legen wir großen Wert auf einen sicheren Datentransfer per SSL-Verschlüsselung, einer Einschränkung auf bestimmte IP-Adressen oder auf eine Authentifikation der User gegen ein zentrales LDAP-Verzeichnis. 
 
Genau diese Art von Sicherheitsmechanismen ist es auch, die Unternehmen vor der Wahl eines Cloud-Dienstes prüfen müssen. Hinzu kommt natürlich noch die Anforderung an den deutschen Datenschutz., die ebenfalls erfüllt sein muss. 

Sicherheit bei Cloud-Systemen

 Folgende Fragen sollten Sie dem Anbieter stellen, wenn Sie auf der Suche nach der für Sie passenden Cloud-Archtitektur sind:
  1.  Formalien z.B. Auftragsdatenverarbeitung inkl. TOM (Maßnahmen zu Datenschutz und Sicherheit)
  2. Serverstandort (Deutschland, USA….)
  3. Verfügbarkeit, Service & Support inkl. SLA
  4. Spätere Migrationsmöglichkeit (insbes. bei SaaS)
 Der Weg für Kommunikation und Zusammenarbeit zeigt ganz klar in Richtung Cloud, soviel lässt sich jetzt schon sagen. Genau aus diesem Grund ist es wichtig, von Anfang auf Sicherheit und Konsistenz zu setzen. Eine ausführliche Beratung und 100%ige Transparenz sind daher das Gebot der Stunde.

 

Kommentar hinterlassen


Pin It on Pinterest