Nachdem bekannt geworden ist, dass US-amerikanische Geheimdienste, ganz besonders die die National Security Agency (NSA) im großen Maße Nutzerdaten von großen US-amerikanischen Internet-Providern, aber auch von Facebook, Google und Microsoft, abgreift, Stichwort "PRISM" beziehungsweise "Upstream", schlagen deutsche Unternehmen wie Lancom, aber auch der TeleTrusT - Bundesverband IT-Sicherheit e.V. die Bresche für Sicherheitslösungen "Made in Germany". TeleTrusT fordert gar die Bundesregierung sofort zu handeln.
Nach den Terroranschlägen vom 11. September 2001 gewährte die US-Regierung ihren Geheimdiensten großen Spielraum beim Zugriff auf Daten von Internetnutzern (Stichwort "Patriot Act"). Unklar war bisher, in welchem Umfang US-Dienste diese eingeräumten Rechte, tatsächlich nutzen. die Dimension von PRISM hat aber selbst IT-Sicherheitsexperten überrascht.
Datenverschlüsselung
BoyD - Darauf ist zu achten
Der Trend zu privaten Geräten am Arbeitsplatz ist kaum aufzuhalten. Aber nicht nur in Sachen Sicherheit, auch beim Lizenz-Management ist Vorsicht geboten.
Wenn die Mitarbeiter eigene Geräte nutzen sollen oder wollen, gilt es, die möglichen Gefahren zu analysieren und „Sicherheitsklassen" zu definieren.
Maßnahmen wie Data-Loss- oder -Lea- kage-Prevention sowie automatische Verschlüsselung kritischer Dokumente schließen viele Sicherheitslücken.
Mobile-Device-Management kontrolliert den Sicherheitsstatus der mobilen Geräte und blockiert bei Gefahr den Zugriff auf das Unternehmensnetz.
Um der Unter- oder Überlizenzierung zu entgehen, muss das Unternehmen den Lizenzbedarf richtig einschätzen lernen.
Zudem muss es einen Weg finden, die privaten von den beruflichen Applikationen zu trennen.
Für privat beschaffte und im Dienst genutzte Software ist vom Nutzer eine gültige Lizenz vorzulegen.
Der erste Schritt in die richtige Richtung besteht darin, dass IT und Einkaufs-/Lizenz-Manager miteinander reden.
Auch das Gespräch mit den Softwareanbietern sollte gesucht werden; neue Lizenzmodelle kommen nicht von allein.
Laut TeleTrusT sollten sich daher deutsche Behörden, Unternehmen und private Anwender sich fragen, welche Konsequenzen sie aus dieser Erkenntnis ziehen. Ob nämlich der Zugriff auf Daten sinnvoll und welcher rechtliche Rahmen dabei einzuhalten ist, bestimmen amerikanische Institutionen. Deutschen Organisationen, Unternehmen und privaten Nutzern bleibt ein Mitbestimmungsrecht offensichtlich verwehrt, wenn man von der Möglichkeit der Nichtnutzung der Markt dominierenden Internetdienste absieht. Ebenso verborgen bleibt, in welchen Verwendungskontext die erhobenen Daten geraten.
Behörden sind in der besonderen Pflicht, vertrauenswürdige Anbieter auswählen, z.B. mit deutscher Sicherheitszulassung oder Zertifizierung. Privatanwender haben die Option, einheimische Mail-Kommunikations-Dienstleister zu nutzen, vorausgesetzt, es gelingt diesen, das durch die jetzigen Vorgänge insgesamt gestörte Vertrauen aufzubauen. IT-Sicherheit ist dabei das entscheidende Element.
TeleTrusT kritisiert in diesem Zusammenhang, dass seit zwei Jahren erfolglos ein Datenschutzabkommen zwischen der EU und den USA verhandelt wird. TeleTrusT unterstützt die europäische Forderung, wonach US-Partner zwei Grundbedingungen akzeptieren müssen. Erstens sollten EU-Bürger auch vor US-Gerichten klagen dürfen, und zweitens sollten sich US-Firmen, die in der EU tätig sind, verpflichten. sich an die in der Datenschutzrichtlinie vorgesehenen hohen EU-Standards zu halten.
Der Bundesverband IT-Sicherheit sieht sich in der Vermutung bestätigt, dass sensible Daten in Servern US-amerikanischer Anbieter nicht sicher im Sinne des hiesigen Datenschutzverständnisses beziehungsweise des Fernmeldegeheimnisses sind. TeleTrusT empfiehlt deshalb mit Nachdruck mindestens bei Cloud-Speicherung und vertraulicher Kommunikation den Einsatz von Technologie deutscher oder europäischer Anbieter, die dem Bundesdatenschutzgesetz bzw. dem Fernmeldegeheimnis oder einer gleichartigen Rechtsqualität unterliegen oder zumindest dem Datenschutzniveau auf EU-Ebene. Zusätzlich sollten adäquate Verschlüsselungsverfahren eingesetzt werden. Auch hier gibt es zahlreiche Lösungen deutscher Anbieter.
Erfreulicherweise wird die Entwicklung von IT-Sicherheitstechnologien in Deutschland seit längerem durch Förderprogramme unterstützt. "IT Security made in Germany" genießt weltweit einen guten Ruf. Was gelegentlich fehlt, ist die Anerkennung durch die breite Öffentlichkeit. Amerikanische Anbieter nutzen vor allem hier den Vorteil eines starken Heimatmarktes.
Private, öffentliche und hybride Cloud
Die Skepsis wächst, trotz guter Erfahrungen
Obwohl die meisten Nutzer mit Cloud-Lösungen zufrieden waren - mehr als drei Viertel aller Nutzer gab dies an -, wächst die Skepsis vor allem gegenüber der Public Cloud. Nur ein Prozent mehr als 2011 konnte positive Erfahrungen sammeln, während die Zahl der Skeptiker stieg. 19 Prozent der Befragten gaben an, der Wolke eher negativ gegenüber zu stehen, im Vorjahr waren es noch 16 Prozent. Auch die Zahl derjenigen, die "eher positiv" eingestellt waren, schrumpfte. Dies betrifft nicht nur Public-Cloud-Lösungen, wie die Studie ergab, ...
Deutsche Unternehmen immer vorsichtiger
... sondern auch die generelle Einstellung der Unternehmen gegenüber der Wolke. Auch hier gilt: Mehr Firmen sind aufgeschlossen und interessiert, aber ebenso viele sind kritisch eingestellt. Dass es immer weniger Unentschiedene gibt, schreiben die Analysten von KPMG der Tatsache zu, dass das Thema generell mehr an Reife gewonnen hat.
Diese Branchen nutzen die Private Cloud am meisten
Der ITK-Sektor ist wieder mal der Vorreiter: Mehr als die Hälfte (58 Prozent) der Unternehmen aus diesem Bereich nutzt schon die Private Cloud. Aber auch die Chemie- und Pharmabranche, sowie Verkehr und Logistik zeigen sich dem Trend gegenüber aufgeschlossen. Vorsichtig und Investitions-scheu zeigten sich dagegen die Maschinen- und Anlagebauer, sowie der Groß- und Einzelhandel. "Bei diesen Branchen ist auch der Anteil der Cloud-Skeptiker/-Unentschlossenen hoch", heißt es in der Studie.
Anteil der Private Cloud am IT-Budget wird weiter wachsen
Noch macht die Private Cloud nur einen geringen Anteil am IT-Budget aus. Fast jedes zehnte Unternehmen investiert heute gar nicht in die Private Cloud - dieser Anteil wird aber in zwei Jahren auf drei Prozent gesunken sein. In fast jedem dritten Unternehmen (32 Prozent) werden nur ein bis zehn Prozent für die Private Cloud aufgewendet. Eine große Investition mit mehr als 50 Prozent des Etats - daran glauben immerhin noch 18 Prozent der Befragten. Im Schnitt, so das Ergebnis der Studie, würde knapp ein Viertel (24 Prozent) des IT-Budgets für die Private Cloud ausgegeben. 2011 waren es nur 19 Prozent. Die Tendenz zur mehr Investition zeichnet sich deutlich ab: In zwei Jahren werde dies, so glauben viele Unternehmen, auf 34 Prozent steigen. Die Private Cloud mag zwar angekommen sein, ...
Unternehmen fürchten den Datenverlust
... für die Public Cloud gilt das aber nur bedingt. Als größte Herausforderung für Public-Cloud-Anbieter hat sich, wie in vergangenen Jahren auch, der Datenschutz erwiesen. Insgesamt 73 Prozent der Befragten gaben an, mehr oder weniger ausgeprägt Datenverlust zu fürchten. Und sogar 75 Prozent bemängelten, dass sich unterschiedliche Public-Cloud-Lösungen nicht miteinander vertrügen und dass sie oft nicht mit inhouse Anwendungen kompatibel seien. Auch die unklare Rechtslage und die Angst davor, IT-Know-How zu verlieren, sind Hinderungsgründe. Die Bedenken schlagen sich auch in den Nutzerzahlen wieder:
Vor allem größere Unternehmen nutzen die Cloud
Zwar nutzen doppelt so viele Unternehmen Public-Cloud wie noch im Vorjahr, so ein Ergebnis der Studie, aber der Mittelstand setzt noch nicht auf die Public-Cloud. Vor allem große Unternehmen mit mehr als 2000 Mitarbeitern nutzen sie: Hier ist jede fünfte Firma zu finden. Bei kleineren Unternehmen mit weniger als 100 Angestellten sind es nur fünf Prozent. Hier ist der Anteil gleich geblieben.
Software as a Service liegt bei Nutzung vorn
Wenn Unternehmen in der Public Cloud aktiv sind, setzen sie vor allem auf Software as a Service (SaaS): Schon 17 Prozent nutzen sie bereits, fast eben so viele planen sie. Allerdings hat SaaS an Boden verloren: 2011 gaben noch 25 Prozent an, dies zu nutzen. Infrastructure as a Service (IaaS) und Platform as a Service (PaaS) liegen knapp dahinter. Business Process as a Service (BPaaS) hat deutlich zugenommen: 2011 nutzten nur ein Prozent der Befragten BPaaS, nun sind es immerhin elf Prozent. Ein Trend lässt sich hier noch nicht festmachen. Inwieweit Software as a Service in Zukunft eine Rolle spielen wird, lässt sich noch nicht sagen.
Gewisse Sättigung erreicht
Zwar glauben viele Unternehmen, dass die Aufwendungen für Cloud-Lösungen zunehmen werden. Aber es sieht so aus, als wäre eine gewisse Sättigung erreicht. Weniger als noch 2011 wollen Unternehmen viel Geld in die Hand nehmen und wenn, dann auch eher für Private-Cloud-Lösungen. Aber wenigstens sind sich alle einig: Dass die Ausgaben sinken, davon geht fast keiner aus.
Der überwiegende Teil der IT-Sicherheitsindustrie in Deutschland besteht aus mittelständischen Unternehmen oder hoch spezialisierten Start-ups. Die Bundesregierung hat jetzt die Gelegenheit, unter Beweis zu stellen, dass ihr Mittelstands- und Innovationsförderung auch auf diesem Gebiet wichtig sind.
Das deutsche Bundesamt für Sicherheit in der Informationstechnik (BSI) hat durch seine bisherige Evaluierungs- und Zulassungspolitik einen wichtigen Beitrag für die Stärkung der deutschen IT-Sicherheitsindustrie geleistet. Dieser Weg erscheint aus Sicht von TeleTrusT richtig.
TeleTrusT-Vorsitzender Norbert Pohlmann kommentiert die aktuelle Entwicklung : "Auch zukünftig müssen exzellente Lösungen 'made in Germany' gefördert werden. Verwaltung und Industrie müssen sich hier als Partner verstehen. Eine gesunde und leistungsfähige IT-Sicherheitsindustrie ist für Deutschland von nationaler und politisch-strategischer Bedeutung." (rw)