Communardo Software GmbH, Kleiststraße 10 a, D-01129 Dresden
0800 1 255 255

Die Cloud: Eine Frage der Sicherheit

Dieser Tage erschüt­tert eine Enthüllung nach der ande­ren das Vertrauen der Nutzer in die Sicherheit ihrer Kommunikation im Mobilfunknetz und im Internet. Ob nun Prism oder Tempora oder nicht zuletzt das Datenleck bei Facebook, man wird zuneh­mend unsi­che­rer, was die ver­wen­de­ten Tools und Plattformen angeht. Was ist wirk­lich noch sicher? Wem kann ich meine Daten guten Gewissens anver­trauen? Über wel­che Medien kann ich noch sicher kom­mu­ni­zie­ren? Diese Fragen stel­len sich viele pri­vate Nutzer und soll­ten sich auch viele Unternehmen stel­len, denn die Cloud ist all­ge­gen­wär­tig. In ihr wird kom­mu­ni­ziert, wer­den Daten gespei­chert oder auch kom­plexe Rechenoperationen durch­ge­führt. Wenn man das weiß, kann man sich dar­auf ein­stel­len, aber viele Nutzer/ Mitarbeiter wis­sen das nicht und gehen allzu oft allzu sorg­los mit ver­trau­li­chen und bri­san­ten Daten um. Nicht zuletzt darum ist der Begriff "Industriespionage" in den letz­ten Tagen häu­fig gefal­len, wes­hab deut­sche Unternehmen ihrer Infastruktur die Vertrauensfrage stel­len soll­ten. Der Beitrag beschäf­tigt sich nun auch spe­zi­ell mit den Herausforderungen an Unternehmen im Bereich des Cloud-Computing und der Datensicherheit.

Das große Problem der Schatten-IT

In vie­len klei­nen aber auch gro­ßen Firmen spielt sich etwas ab, was land­läu­fig als Shadow-IT bezeich­net  wird. Während die IT-Abteilung pein­lich genau dar­auf bedacht ist, dass  die Mitarbeiter nur sichere Passwörter nut­zen und der Compliance-Bereich  dar­auf ach­tet, dass auch ja keine Firmen-Interna nach drau­ßen drin­gen,  gibt es immer wie­der Mitarbeiter, die sich fröh­lich und unbe­schwert  offe­ner Systeme zur Kommunikation oder zum Datenaustausch bedie­nen. Unternehmen müs­sen sich die Frage stel­len, ob das eigene Angebot von Kommunikationssoftware aus­rei­chend ist und auch genutzt wird. Oder ob die Mitarbeiter viel­leicht eigene externe, womög­lich unsi­chere Lösungen nut­zen und so womög­lich interne Daten unwil­lig preis­ge­ben.
 
Denn es ist schon ver­füh­re­risch ein­fach, eine Kundenpräsentation auf Dropbox zu laden, um sie zu Hause wei­ter zu bear­bei­ten oder mal eben mit dem Kollegen aus der Nachbarabteilung per Facebook Chat die neu­es­ten Angebote zu dis­ku­tie­ren. Wenn es die Lücken im System erlau­ben, ent­steht inhouse ein Wildwuchs an genutz­ten Systemen, von dem die IT-Abteilung oft­mals gar nichts weiß. Doch genau diese unsi­che­ren, oft nicht zer­ti­fi­zier­ten und unge­prüf­ten Systeme sind ein gro­ßes Sicherheitsproblem. Zum einen lie­gen die Daten nur auf unzu­rei­chend geschütz­ten Servern, zum ande­ren fin­det die Datenübertragung bei freien Tools größ­ten­teils unver­schlüs­selt statt.   
 
"Dropbox und andere ver­schlüs­seln die Daten erst, wenn sie in der Cloud sind", so Michael Waidner, Leiter des SIT am Fraunhofer Institut, in einem Statement im Chip Business Blog. Bei Systemen, deren Gerichtsstand nicht Deutschland nicht, kommt erschwe­rend hinzu, dass bei Pannen oder Datenverlusten das gericht­li­che Vorgehen erheb­lich beein­träch­tigt wird. Auch wenn den Anbietern die­ser für pri­vate Nutzer kon­zi­pier­ten Systeme die Mängel oft bekannt sind, wer­den sie meist igno­riert oder still­schwei­gend hin­ge­nom­men. Das ist bei Business-Cloud-Systemen wie IBM Connections anders. Hier gilt es, Standards ein­zu­hal­ten und gesetz­li­che Regelungen zu befol­gen.

Art von Clouds

Nun ist Cloud nicht gleich Cloud und bevor man sich mit einem System beschäf­tigt, muss man sich über die Optionen im Klaren sein.  Es gilt grund­sätz­lich, drei Bereiche von­ein­an­der zu unter­schei­den:
    
  1. Cloud Infrastruktur: Infrastructure as a ser­vice (IaaS)
    Im Grunde genom­men wird hier dem Kunden ein kom­plet­tes Rechenzentrum zur Verfügung gestellt. Die Lösung von Amazon, EC2, ist sicher­lich ein bekann­tes Beispiel.
  2. Cloud Plattformen: Platform as a ser­vice (PaaS)
    Auch hier wer­den Hard- und Softwarekomponenten bereit­ge­stellt, wobei der Anwender bei­spiels­weise jedoch kei­nen Zugriff auf das Betriebssystem und die Entwicklungsumgebung hat. Als Beispiel möchte ich hier force.com von Salesforce nen­nen.
  3. Cloud Anwendungen: Software as a ser­vice (SaaS)
    Die wohl bekann­tes­tes Art und Weise, Cloud-Services zu nut­zen, ist die mit­tels Software-Applikationen wie Microsoft Skydrive, Sharepoint Online oder jetzt auch Office 365.
    
Zusätzlich kann man in der Regel noch zwi­schen einer public und einer pri­vate Cloud unter­schei­den. Es las­sen sich dem­nach auch Cloud-Systeme auf inter­nen Rechenzentren instal­lie­ren. Unser Social Intranet Tool "Communote" lässt sich zum einen als SaaS Version nut­zen (aus­schließ­lich auf deut­schen Servern gehos­tet!), ande­rer­seite aber auch als kom­plette inhouse-Variante instal­lie­ren. Bei der SaaS-Version legen wir gro­ßen Wert auf einen siche­ren Datentransfer per SSL-Verschlüsselung, einer Einschränkung auf bestimmte IP-Adressen oder auf eine Authentifikation der User gegen ein zen­tra­les LDAP-Verzeichnis. 
 
Genau diese Art von Sicherheitsmechanismen ist es auch, die Unternehmen vor der Wahl eines Cloud-Dienstes prü­fen müs­sen. Hinzu kommt natür­lich noch die Anforderung an den deut­schen Datenschutz., die eben­falls erfüllt sein muss. 

Sicherheit bei Cloud-Systemen

 Folgende Fragen soll­ten Sie dem Anbieter stel­len, wenn Sie auf der Suche nach der für Sie pas­sen­den Cloud-Archtitektur sind:
  1.  Formalien z.B. Auftragsdatenverarbeitung inkl. TOM (Maßnahmen zu Datenschutz und Sicherheit)
  2. Serverstandort (Deutschland, USA.…)
  3. Verfügbarkeit, Service & Support inkl. SLA
  4. Spätere Migrationsmöglichkeit (ins­bes. bei SaaS)
 Der Weg für Kommunikation und Zusammenarbeit zeigt ganz klar in Richtung Cloud, soviel lässt sich jetzt schon sagen. Genau aus die­sem Grund ist es wich­tig, von Anfang auf Sicherheit und Konsistenz zu set­zen. Eine aus­führ­li­che Beratung und 100%ige Transparenz sind daher das Gebot der Stunde.

 

3. Juli 2013

Pin It on Pinterest