Startseite » Management » IT »

Ohne Datenverlust in der Wolke

Cloud Computing bei Sicherheitsstandards noch in den Kinderschuhen
Ohne Datenverlust in der Wolke

26. März 2012
6 Minuten Lesezeit
Im Cloud-Computing-Dschungel existiert eine Vielzahl von Angeboten. Die Palette reicht von simplen E-Mail-Services bis hin zu kompletten CRM- und ERP-Systemen. Nutzer sollten sich zuvor unbedingt mit Fragen zur Vertragsgestaltung, Rechenzentrumssicherheit und zum Anbieterwechsel auseinandersetzen.

Unzufriedenheit macht sich breit. Viele Anwender klagen beim Cloud Computing über intransparente Leistungsprozesse und eine unklar definierte Servicequalität, konstatiert eine Studie der Ardour Consulting Group von 2010. Da verwundert es nicht, dass die Anzahl der Cloud-Computing-Gegner mit 27 % in Deutschland relativ hoch ist. In einer Studie der Experton Group aus dem Vorjahr liegt Deutschland dabei vor Österreich (11 %) und der Schweiz (17 %). Denn obwohl die meisten Unternehmen in Deutschland bereits mehrere Cloud-Services nutzen, haben sie immer noch ein ungutes Gefühl dabei, ihre Daten in ein externes System zugeben, über das sie vielleicht nicht die nötige Kontrolle haben.

Gerade bei Public Clouds liegen die Hauptbefürchtungen immer noch bei der Sicherheit, wie eine IDC-Studie von 2011 belegt. Vor dem Hintergrund aktueller Datenskandale scheinen diese Bedenken nicht ganz unbegründet. So müssen amerikanische Cloud Provider, wie Salesforce, Rackspace, Google und Amazon, die auf ihren Servern gespeicherte Informationen auf Anfrage im Namen der Terrorbekämpfung und Spionageabwehr jederzeit an US-Geheimdienste abtreten, berichtete die „WirtschaftsWoche“ letzten August. US-Präsident Barack Obama verlängerte denn auch das umstrittene Spionagegesetz Patriot Act um weitere vier Jahre.
Vermehrt legen Unternehmen wie etwa Daimler und T-Systems daher nun Wert darauf, ihre sensiblen Daten in europäische externe Rechenzentren zu verlagern, sodass sie keinesfalls auf US-Servern gespeichert sind. Hierbei ist auch die Rechenzentrumsgröße ausschlaggebend. „Kleine Rechenzentren sind generell seltener von Skandalen betroffen, da sie nicht so stark im Visier der Hacker stehen. Viele davon können zudem mit vergleichbar guter Infrastruktur und Disaster Recovery aufwarten. Insbesondere große, internationale Kunden fühlen sich daher bei spezialisierten Mittelständlern oft besser aufgehoben als bei den ganz großen Anbietern“, erläutert Bernd Seeburger, CEO der Seeburger AG aus Bretten, einem Unternehmen das selbst ein ISO-zertifiziertes Rechenzentrum in Baden-Württemberg betreibt.
Stefan Riedl von IT-Business weist außerdem darauf hin, dass Änderungen beim Cloud-Anbieter selbst mit Risiken einhergehen können. Schaltet ein Cloud Provider Subunternehmen ein, wissen Firmen oft nicht einmal mehr, in welchen Ländern ihre Daten gespeichert sind. Sobald sich eine Cloud über verschiedene Länder erstreckt, entstehen überdies im Schadensfall juristische Probleme. Zum Schutz der europäischen Daten in den USA gibt es daher das Safe-Harbor-Abkommen. Der IT-Verband Bitkom rät Unternehmen noch vor Vertragsabschluss zu klären, wo die Daten gelagert werden und ob der Cloud-Anbieter Subunternehmer einschalten darf. Denn diese können sich in Drittländern befinden, in denen kein vergleichbares Datenschutzniveau herrscht. In Deutschland haben sich bereits Gremien wie das Open-Source-Projekt „Deutsche Wolke“ gebildet. Sie setzen sich dafür ein, dass Anwender mehr Kontrolle über ihre Daten bekommen und die Infrastruktur in Deutschland bleibt.
Trotz aller Bedenken ist der Sicherheitsstandard externer Rechenzentren meist höher, als der von Inhouse-Systemen. In seinem Eckpunktepapier mit Sicherheitsempfehlungen für Cloud-Computing-Anbieter führt das Bundesamt für Sicherheit in der Informationstechnik (BSI) die wichtigsten Standards auf (siehe Kasten). Demnach sollten Unternehmen sichergehen, dass eine robuste Trennung der Kunden auf allen Ebenen des Cloud Computing Stacks (etwa Anwendung, Server, Netze oder Storage) gewährleistet ist. Dies ist wichtig, um Vertraulichkeit, Integrität und Verfügbarkeit der dort gespeicherten Informationen nicht zu gefährden. Dies gilt für die Art der Inhalte. Ungleiche Inhalte sollten niemals auf gleiche Weise behandelt werden. Auch die Sicherheit der Anlagen aus technischer Sicht, das heißt Videoüberwachung, redundante Auslegung der Versorgungskanäle, Brandschutz, Zutritt über Zwei-Faktor-Authentisierung, muss erfüllt sein. Da viele Cloud Provider über keine eigene Infrastruktur verfügen, müssen Unternehmen sicherstellen, dass der eigentliche RZ-Betreiber diese Sicherheitsanforderungen erfüllt.
„Cloud Computing erfordert immer großes Vertrauen, das man dem Anbieter entgegenbringen muss“, ist Christian Lanzerath überzeugt. In seinem Buch „Cloud Computing und Microsoft Online Services“ warnt er auch vor dem sogenannten Lock-In-Effekt. Die Bindung an den Cloud-Service-Anbieter kann sehr stark sein. Oft sind Verträge mit langen Mindestlaufzeiten verbunden und ein Wechsel zu einem anderen Anbieter kann auf Grund technischer Inkompatibilitäten sehr aufwendig werden. Angebotene Schnittstellen sind äußerst herstellerspezifisch und verhindern den reibungslosen Datentransfer aus einer Cloud in die andere. Außerdem befürchten Cloud-Nutzer, dass sie nach Vertragsende zusätzlich zur Kasse gebeten werden und, trotz Kündigung, vorerst weiter an die Cloud gebunden sind.
Wie können Cloud-Nutzer diesen Problemen entgehen? „Für Unternehmen ist es wichtig, frühzeitig festzulegen, wie eine effiziente Migration der geschäftskritischen Daten zwischen den verschiedenen Systemen oder Anbietern stattfindet“, so Cloud-Experte Bernd Seeburger, „Ein regelmäßiger Download sowie die Zuordnung der Cloud-Daten zur Anwender-Datenstruktur (Mapping) sollten jederzeit möglich sein. Dieses Prinzip greift auch, wenn Daten in die eigene Cloud oder in eine neue Cloud übertragen werden.“
Da es für Cloud-Nutzer nicht so einfach ist, selbst Daten herunterzuladen, sollte der Anbieter dies während der Laufzeit der Cloud tun. Hierbei liegt die Schwierigkeit darin, Daten in das vom Kunden gewünschte Format zu konvertieren. „Treten Schwierigkeiten auf, muss sich das Unternehmen an einen Konvertierungsexperten wenden“, rät Seeburger. „Diese können für jede Art von Cloud-Lösung eines Fremdanbieters eine Exit-Strategie anbieten, wenn ihnen die Schnittstellendefinitionen des Cloud Providers vorliegen.“ Je spezialisierter der Anbieter ist, Daten zu konvertieren, umso besser für das Unternehmen. So muss es keine Ängste vor Datenverlust oder Datenbeschädigung haben.
Thomas Ludwig Uhl, Geschäftsführer der Topalis Holding, legt Unternehmen von Anfang an nahe, zweigleisig zu fahren: „Die Abhängigkeit von einem einzigen Anbieter ist desaströs. Als Anwender braucht man immer eine Dual-Vendor-Strategie, allein schon für den Fall, dass einem ein Cloud-Anbieter aus irgendeinem Grund abhandenkommt oder eine Zeitlang down ist.“
Bei Vertragsabschluss müssen Unternehmen das Thema Anbieterwechsel ansprechen. Der Leitfaden des Bitkom empfiehlt, beim Exit-Management und Exit-Support zu klären, wer für welche Schritte und Maßnahmen in welchem Zeitfenster und zu welchem Preis verantwortlich ist. Die Modalitäten, wenn die Daten nach Vertragsende übergeben werden, müssen genau festgelegt sein. Da die Vertragsregelungen bisher nicht standardisiert sind, sollten Cloud-Kunden genau auf Datenschutz und Compliance-Richtlinien achten. Für viele Unternehmen ist Flexibilität ein Hauptargument für Cloud-Lösungen. So selbstverständlich dies dem Kunden scheint, so wichtig ist es, dass genau dies sich auch im Vertrag widerspiegelt.
Iulia Staudacher Journalistin in Sindelfingen

Sicherheitsempfehlungen

Das PDF-Dokument „Mindestsicherheitsanforderungen in der Informationssicherheit“ des Bundesamts für Sicherheit in der Informationstechnik (BSI) können Sie sich auch direkt auf Ihr Smartphone laden:
  • QR-Code-Reader auf Ihrem Handy öffnen
  • Code fotografieren
  • Auf Online-Information zugreifen

    • Checkliste

    Worauf beim Cloud Computing zu achten ist:
    • Wo sind meine Daten gespeichert? Welche Sicherheitsbestimmungen gelten in diesem Land?
    • Welche Folgen hat ein Anbieterwechsel? Konvertiert der Anbieter meine Daten ohne Verluste?
    • Was passiert nach der Vertragslaufzeit? Wie werden die Daten bei Vertragsende übergeben?
    • Sind meine Daten in der Cloud von denen anderer Nutzer getrennt?
    • Werden sensible Daten in der Cloud anders behandelt als weniger kritische?
    • Welche Sicherheitsstandards erfüllt das Rechenzentrum?
      • Unsere Webinar-Empfehlung
      Teilen:
Industrieanzeiger
Titelbild Industrieanzeiger 5
Ausgabe
5.2024
LESEN
ABO
Newsletter

Jetzt unseren Newsletter abonnieren

Webinare & Webcasts

Technisches Wissen aus erster Hand

Whitepaper

Aktuelle Whitepaper aus der Industrie

Unsere Partner

Starke Zeitschrift – starke Partner


Industrie.de Infoservice
Vielen Dank für Ihre Bestellung!
Sie erhalten in Kürze eine Bestätigung per E-Mail.
Von Ihnen ausgesucht:
Weitere Informationen gewünscht?
Einfach neue Dokumente auswählen
und zuletzt Adresse eingeben.
Wie funktioniert der Industrie.de Infoservice?
Zur Hilfeseite »
Ihre Adresse:














Die Konradin Verlag Robert Kohlhammer GmbH erhebt, verarbeitet und nutzt die Daten, die der Nutzer bei der Registrierung zum Industrie.de Infoservice freiwillig zur Verfügung stellt, zum Zwecke der Erfüllung dieses Nutzungsverhältnisses. Der Nutzer erhält damit Zugang zu den Dokumenten des Industrie.de Infoservice.
AGB
datenschutz-online@konradin.de