Cloud Computing – Sicherheit in der Wolke
Wie kostengünstig und sicher ist Cloud Computing für KMU?
Cloud ist in aller Munde. Was kleinere Unternehmen dabei beachten sollten, damit auch sie in den Genuss der Vorteile der verbrauchsabhängigen Nutzung externer IT-Infrastrukturen kommen, erklärt Rainer Witt, Geschäftsführer der kreITiv GmbH, im Gespräch mit dem Wirtschaftsjournal.
Wirtschaftsjournal: Welche Cloud-Lösungen sind in welchem Anwendungsfall sinnvoll?
Witt: Das wohl bekannteste Beispiel ist der E-Mail-Dienst. Die wenigsten KMU nehmen den erhöhten Aufwand in Kauf und betreiben einen eigenen Mail- oder Exchangeserver. Die Komplexität und vor allem der Arbeitsaufwand, um die Sicherheit aufrechtzuerhalten, haben in den letzten Jahren stark zugenommen. Vereinfacht gesagt, vor allem bei komplexeren Anwendungen, bei welchen es auf Flexibilität und ortsunabhängigen Zugriff ankommt, sollte eher zu Cloud-Lösungen von etablierten Anbietern gegriffen werden. Auch bei seltenen Zugriffen oder erhöhtem Ressourcenverbrauch sind Anbieter mit nutzungsabhängigen Entgelten eine sehr gute Lösung.
WJ: Wann ist die private Cloud einer öffentlichen Cloud vorzuziehen?
Witt: Die private Cloud ist dann sinnvoll, wenn man die Nachteile der öffentlichen Cloud wie die eingeschränkte Netzbandbreite, Transparenz oder mangelnde Sicherheit und Kontrolle minimieren möchte. Durch den Betrieb im eigenen Rechenzentrum sinken die Sicherheitsrisiken beträchtlich. Der Hauptgrund ist aber, dass oft keine passende Cloudanwendung existiert und diese Businessanwendungen erst sehr aufwändig für den Einsatz in einer öffentlichen Cloud vorbereitet werden müssten. Mit der privaten Cloud können die Vorteile für das Unternehmen genutzt und vor allem effizient eingesetzt werden.
WJ: Wie sollte ein Cloud-Computing-Vertrag zwischen Anwender und IT-Dienstleister aussehen?
Witt: Wie bei jedem IT – Dienstleistungsvertrag kommt es auf eine detaillierte und klare Leistungsbeschreibung an, welche alle wesentlichen Ressourcen genau festhält. Darauf aufbauend sind die Service Level Agreements (SLA’s) wichtig, denn hier wird geregelt, welche Verfügbarkeit der Dienstleistungen zugesichert wird. Auch die Verfahren zur Fehlerbehebung mit Notfallplänen oder Entschädigungen im Ernstfall sollten hier festgehalten sein. Ebenso sollte der Vertrag eine passende Exit-Strategie aufweisen.
Speziell geklärt sein muss, welche Unternehmen die Daten anfassen, speichern und vor allem wo sie es tun. Denn Daten in der Cloud zu speichern, kann bedeuten, dass diese Daten quer in der Welt verstreut sind und sich Teile in Irland und andere sich in den USA befinden. Vor allem außerhalb der EU-Grenzen kann es sehr schnell mit der Abstimmung der örtlichen Gesetzgebung zu Problemen führen. Dies hat natürlich starke Auswirkungen auf den Datenschutz, denn in Deutschland ist jeder Nutzer von Cloud-Dienstleistungen selbst für den Schutz seiner ihm anvertrauten Daten verantwortlich, egal wo oder bei wem er diese lagert.
WJ: Was ist dabei genau zu beachten?
Witt: Das Unternehmen muss Authentizität, Integrität, Verfügbarkeit und Vertraulichkeit der Daten sicherstellen. Hier kommt es vor allem auf die sichere Verschlüsselung der Kommunikationswege, starke Authentifizierung des Benutzers und wenn möglich auch auf die verschlüsselte Ablage der Daten innerhalb des Cloud-Systems an. Da die Unternehmen selbst keinen direkten Einfluss auf die Sicherheitsprozesse und -mechanismen des Cloud-Anbieters haben, sollten die Unternehmen sich die Maßnahmen des Anbieters zur Informationssicherheit vorlegen lassen. Das Bundesamt für Sicherheit in der Informationstechnik (BSI) stellt als Diskussionsgrundlage für den Dialog zwischen Anwendern und Anbietern ein Eckpunktepapier zu Verfügung, welches die Mindestanforderungen an beide Parteien klar benennt.
WJ: Wie müssen die Mitarbeiter auf die Nutzung von Cloud Computing vorbereitet werden?
Witt: Hier muss für eine höhere Sensibilisierung der Mitarbeiter beim Umgang mit den Daten gesorgt werden. Oft ist für den Mitarbeiter nicht ersichtlich, ob er gerade eine lokale Anwendung einsetzt oder eine Cloud-Anwendung nutzt und was dies für Konsequenzen mit sich bringt. Mitarbeiter müssen hier vor allem im Punkt Sicherheit geschult werden, damit sie zum Beispiel darauf achten, ob eine sichere und verschlüsselte Verbindung aktiv ist oder ob Zugangsdaten an dem verwendeten Endgerät leicht ausgespäht werden können. Hierzu sollten Unternehmensrichtlinien zum Umgang mit Cloud-Anwendungen geschaffen werden, um die Unternehmen selbst und deren Mitarbeitern vor Missbrauch oder Angriffen zu schützen.
Gespräch: Simone Pflug
Quelle: Wirtschaftsjournal