Zwei von drei Unternehmen haben noch keine Sicherheitsstrategie für die Cloud entwickelt, warnt Bitkom Research. Gerade kleinere Unternehmen würden häufig darauf verzichten, schreiben die Analysten im aktuellen Cloud-Monitor 2017. Nur 28 Prozent der Unternehmen mit 20 bis 99 Mitarbeitern haben bislang eine Sicherheitsstrategie entwickelt. Bei Unternehmen mit 100 bis 499 Mitarbeitern sind es 35 Prozent. Erst über der Schwelle von 500 Mitarbeitern hat sich die Mehrheit der Firmen mit diesem Thema bereits ausgiebig beschäftigt.
Foto: Bitkom Research
Vorsprung der großen Unternehmen
So haben bei Unternehmen von 500 bis 1.999 Beschäftigten immerhin 61 Prozent eine passende Strategie entwickelt. Bei den noch größeren Firmen sind es laut Bitkom Research sogar 68 Prozent. Die Studie wurde im Auftrag von KPMG angefertigt. Nach Ansicht von Axel Pols, Geschäftsführer von Bitkom Research ist Cloud Computing mittlerweile "eine Basis-Technologie der Digitalisierung". Laut Studie nutzen mittlerweile 65 Prozent der Unternehmen ab 20 Mitarbeitern zumindest den einen oder anderen Dienst aus dem Internet. Im Vorjahr waren es 54 Prozent, 2014 sogar erst 44 Prozent. "Richtig eingesetzt kann Cloud Computing nicht nur Geschäftsprozesse effizienter machen, sondern auch die Sicherheit erhöhen", so Pols.
Gerade viele kleinere Unternehmen sind sich offensichtlich aber noch nicht sicher, wie sie den Einstieg in die Cloud angehen sollen. Der slowakische Security-Anbieter Eset hat deswegen sieben Tipps zusammengetragen, "damit die Migration in die Cloud nicht zur bösen Überraschung wird".
Prüfe, wer sich ewig bindet
Nicht nur der Umfang der angebotenen Cloud-Services und -Plattformen sollte ausschlaggebend bei der Entscheidung für einen bestimmten Provider sein, sondern das Paket, empfiehlt Eset. Interessierte Unternehmen sollten sich folgende Fragen stellen:
Wie steht es um die Reputation des Anbieters und die Vertragsbedingungen?
Welche Sicherheitsvorkehrungen bietet das Unternehmen und hat es entsprechende Zertifizierungen?
Schließlich vertraue man diesem Dienstleister sein wichtigstes Gut an: die Geschäftsdaten. Gerade beim Thema Sicherheit dürfe man nicht sparen. "Sonst wird das, was anfangs günstig erschien, schnell zu einem teuren Desaster", so Eset.
Frage: Was brauchen wir wirklich?
Bevor ein Unternehmen sich für einen Anbieter entscheidet, sollte es sich genau darüber im Klaren sein, was wirklich benötigt wird und welchen Einfluss diese Entscheidung auf das Tagesgeschäft und die Unternehmensziele hat. Wer beispielsweise eine schnelle Verbindung ohne Verzögerung und Wartezeit brauche, könne eine Enttäuschung erleben. Wenn es zum Beispiel um Datenbankanfragen gehe, habe die Reaktionszeit erhebliche Auswirkungen auf das Geschäft. Gleiches gelte bei Echtzeitanfragen auf große Datenmengen. Hier mache Prozessoptimierung im Zweifelsfall mehr Sinn als eine Migration in die Cloud, rät Eset.
Guter Rat: Verschlüsseln Sie Ihre Informationen
Eine Grundregel für den Umgang mit Daten in der Cloud ist laut Eset: "Alles verschlüsseln, was verschlüsselt werden kann!" Das gelte für die Daten selbst, aber auch für ihre Übertragung. Der dadurch erforderliche Mehraufwand und die höhere Komplexität der Vorgänge, verbessere aber die Sicherheit vertraulicher Informationen. Egal wie sicher und zuverlässig ein Provider auch sein möge. Niemand könne einen hundertprozentigen Schutz der Daten garantieren. "Ihre verschlüsselten Daten sind dann immerhin nicht für jedermann einsehbar", so Eset.
Zugangskontrolle auch in der Cloud
Auch um Daten, die sich nicht mehr physisch im Unternehmen, sondern in einem Rechenzentrum des Dienstleisters befinden, müsse man sich kümmern. Die Provider böten zwar "ein gewisses Maß an Sicherheitsvorkehrungen" und schützten auch ihre Infrastruktur. "Wenn Unternehmen aber die Tür offen lassen, sind all diese Maßnahmen umsonst", warnt der Sicherheitsspezialist. Der Zugriff auf die Daten in der Cloud sollte wie im Firmnenetz eingeschränkt werden. Eset empfiehlt einen zusätzlichen Schutzmechanismus wie die Zwei-Faktor-Authentifizierung.
Ein Backup ist besser als kein Backup
Mittlerweile sollte es sich herumgesprochen haben, dass Backups zur absoluten Grundausstattung in Sachen Datensicherheit gehören. Meist sei dieser Service auch Teil des Rahmenvertrages mit dem Cloud-Anbieter, so Eset. Dabei gehe es aber nicht nur um den Schutz der Daten, "sondern auch darum, ob sie im Fall eines Verlustes wiederhergestellt werden können". Empfehlenswert sei deswegen ein eigenes, regelmäßiges Backup aller gespeicherten Informationen. Eset: "So sind Unternehmen nicht nur in der Lage zu überprüfen, ob der Cloud-Provider seinen Teil des Vertrages erfüllt, sondern stellen auch sicher, dass die Informationen vollständig und verfügbar sind, wenn sie benötigt werden."
Durchleuchten Sie die Geschäftsbedingungen gründlich
Um vor bösen Überraschungen gefeit zu sein, sollten Unternehmen ein besonderes Augenmerk auf die Abschnitte des Vertrags werfen, in denen es um den Umgang mit Informationen, Privatsphäre und Haftungsfragen im Falle von Datenverlust geht. Auch die Erreichbarkeit des Service-Anbieters sollte klar geregelt sein.
Auch die Cloud ist anfällig für Malware
Es sei ein weit verbreiteter Irrglaube, dass die Cloud vor Malware gefeit sei, warnt Eset. Nur weil die Infrastruktur in der Cloud liege, heiße das nicht, dass Unternehmen auf den Einsatz einer guten und zuverlässigen Security-Lösung verzichten sollten. Hardware, Server und Services seien durchaus auch in der Cloud angreifbar.
Lesetipp: Cloud oder On-Premise - ein unfairer Kostenvergleich?