Cloud Security

Sichere Cloud-Lösungen verkaufen sich besser

02.05.2013
Uwe Küll ist freier Journalist in München.

Beispiel Qualys

Als weiteres Beispiel nennen Velten und Janata Qualys: "Die Firma hat ursprünglich damit begonnen, Internet-Auftritte und E-Commerce-Content auf Malware-Befall zu untersuchen, auch Content von Drittanbietern. Um dieses Angebot herum entstand ein breites Portfolio von Infrastruktur- und Sicherheits-Management-Tools, die aus der Cloud heraus nutzbar sind. Wir bei Experton schätzen diesen Bereich als einen der wichtigsten Wachstumsbereiche im Cloud-Markt ein."

Alles in die Cloud - die Sicherheit darf dabei aber nicht auf der Strecke bleiben...
Alles in die Cloud - die Sicherheit darf dabei aber nicht auf der Strecke bleiben...
Foto: natashasha, shutterstock.com

Auch die Neuregelung des elektronischen Zahlungsverkehrs mit der für alle Unternehmen verpflichtenden Einführung von SEPA bietet neue Möglichkeiten zum Einsatz von Cloud-Lösungen. Dabei gilt es für Anwender, die drei Prüfungsbereiche Server, Zertifikatsaustausch und Zugriff zu untersuchen. Zum Beispiel bestimmen im Bereich Server Betriebsort und Herkunft des Anbieters die Rahmenbedingungen für den Datenschutz aufgrund der jeweiligen nationalen Gesetzgebungen. Christian Fink, Zahlungsverkehrsexperte bei NTT Data, betont: "Cloud-Lösungen, die europäische Sicherheitsstandards erfüllen, sind vor allem für hoch vernetzte Unternehmensprozesse mit geschäftskritischen Daten geeignet."

Der deutsche Sonderweg

Frank Pototzki, Principal Manager Application Services Capgemini Deutschland, meint: "Im deutschen Markt muss die Nutzung von Cloud-Services den Anforderungen des Bundesdatenschutzgesetzes sowie spezifischen Regelungen aus dem Telekommunikationsgesetz für Netzdienstleister oder dem Sozialgesetzbuch für öffentliche Dienstleister genügen." Vor allem die Auftragsdatenverarbeitung sei ein kritischer Punkt.
Vor Vertragsabschluss müsse mit dem Cloud-Anbieter verifiziert werden, wo die Daten gespeichert sind und wie auf sie zugegriffen wird. Persönliche gesundheitliche Befunde, oder Gesprächsdaten dürften beispielsweise nicht außerhalb Deutschlands gespeichert werden.
"Unabhängig vom tatsächlichen Speicherort spielt es für den Datenschutz eine wichtige Rolle, ob ein Cloud-Anbieter ausschließlich deutschem Recht oder beispielsweise dem US Patriot Act verpflichtet ist", sagt der Experte. Hierbei sei nicht relevant, mit wem der Vertrag geschlossen wird, sondern wer die Leistung letztlich erbringt. "In unserer globalisierten und vernetzten Welt ist es für die Anbieter von Cloud-Services und Integratoren von Cloud-basierten Lösungen eine besondere Herausforderung, diesen Nachweis zu erbringen."

Mehr zum Thema Sicherheit in der Cloud erfahren Systemhäuser auf dem Channel Kongress Security & Cloud am 11. Juni in Köln.
(Der Beitrag wurde von der CP-Schwesterpublikation Computerwoche übernommen / rb)

Fünf Fragen zum Thema Cloud Security an Christian Illek

CW: Welche Bedeutung hat das Thema Sicherheit für die Entwicklung des Marktes für Business-Cloud-Lösungen in Deutschland?

Christian Illek: Sicherheit ist eine wichtige Voraussetzung für den Durchbruch von Cloud Computing in Deutschland. ITAnbieter sind hier in der Pflicht, ihren Kunden schlüssige und verlässliche Konzepte anzubieten, mit denen sie die Vorteile der Cloud, nämlich unbeschränkte Skalierbarkeit, Produktivität und Effizienz, voll ausschöpfen, ohne auf Sicherheit und Compliance zu verzichten. Durch die Einbindung der EU Model Clauses als Standardvertragsklauseln schaffen wir dies. Unsere Vertragsdokumente von Office 365 oder CRM Online enthalten beispielsweise eine umfassende Vereinbarung zur Auftragsdatenverarbeitung. Damit unterstützen wir unsere Kunden bei der Erfüllung ihrer rechtlichen Verpflichtungen entsprechend den EU-Richtlinien und sind sicherlich Vorreiter in Sachen Datenschutz, indem wir die Forderungen der deutschen Datenschützer transparent umsetzen.

Ob Anwender jedoch das ganze Potenzial der Cloud abrufen, hängt stark vom Vertrauen in diese Technologie ab. Vertrauen entwickelt sich aufgrund von positiven Erfahrungen, und für uns bedeutet es zunächst, dass wir die Besorgnisse und Ängs-te unserer Kunden und der Öffentlichkeit ernst nehmen.

Es ist eine Frage der Haltung, die bei der Produktentwicklung beginnt und sich über den Lebenszyklus eines Produkts oder einer Dienstleistung hinweg erstreckt. Wir verbinden das mit dem Begriff "Corporate Technical Responsibility" (CTR) und stehen für eine freiwillige Verpflichtung von Unternehmen der ITK-Branche, Verantwortung für gesellschaftliche, wirtschaftliche und politische Veränderungen zu übernehmen, die durch technische Innovationen angestoßen werden.

CW: Inwiefern unterscheiden sich die Sicherheitsanforderungen des deutschen Marktes von denen anderer Märkte?

Illek: Egal ob in den USA, Großbritannien oder Deutschland, überall ist die Sicherheit ein wichtiger Schlüssel für den Erfolg der Cloud-Technologie. Es zeigt sich aber, dass besonders der deutsche Markt hohe Anforderungen in puncto Sicherheit und Datenschutz hat - deutsche Unternehmen fürchten dabei vor allem den Kontrollverlust ihrer Daten. Das bestätigen auch die Ergebnisse der jährlich betriebenen "SMB Cloud Adaption Study" von Microsoft. Demnach schätzen 61 Prozent der hiesigen kleinen und mittelständischen Unternehmen die Cloud-Technologie als risikoreich ein. In Europa sind es dagegen 44 Prozent. Doch die Sicherheitsbedenken werden kleiner, je mehr die Cloud-Angebote an Reife gewinnen. Und hier müssen wir ansetzen.

CW: Wie adressieren die Cloud-Angebote Ihres Unternehmens das Sicherheitsbedürfnis der Business-Anwender?

Illek: Microsoft setzt vor allem auf die Wahlfreiheit. Im Gegensatz zu einigen unserer Mitbewerber passen wir die Cloud an die individuellen Bedürfnisse des jeweiligen Unternehmens an - egal ob Cloud, on Premise oder hybrid. Die Cloud-basierten und On-Premise-Lösungen basieren dabei auf dem jeweils gleichen Code. Das gewährleistet einen nahtlosen Übergang zwischen den verschiedenen Systemen - ohne auf Sicherheit zu verzichten. Die Frage nach dem Standort des Rechenzentrums ist jedenfalls nachrangig, sofern es in Europa steht.

CW: Wie unterstützt Microsoft insbesondere kleine und mittlere Unternehmen in Fragen der Cloud-Sicherheit?

Illek: Mit der Umsetzung der EU Model Clauses in unseren Cloud-Angeboten haben Unternehmen die Möglichkeit, die Verträge vorab unter dem Microsoft Trustcenter einzusehen, herunterzuladen und zur genauen Prüfung ihren juristischen Beratern vorzulegen. Zuvor musste sich jedes Unternehmen direkt an den Cloud-Anbieter wenden und sich persönlich von der Umsetzung des Datenschutzes und der Einhaltung des deutschen Rechts überzeugen. Das war nicht nur zeitaufwendig, sondern oft auch gar nicht praktikabel. Mit der Orientierungshilfe und dem Veröffentlichen der entsprechenden Dokumente an zentraler Stelle haben wir Transparenz und Vertrauen geschaffen. Eine weitere Entscheidungshilfe bieten die Microsoft-Cloudaufgaben. Hier finden Anwender schnell und einfach Antworten auf die wichtigsten Sicherheitsfragen. Außerdem können sie ihre Kenntnisse zum Thema Cloud testen - und die Ergebnisse werden an manchen Stellen überraschen.

CW: Was empfehlen Sie Unternehmensentscheidern in puncto sichere Cloud-Nutzung?

Illek: Es gibt nicht den einzig wahren Weg in die Cloud. So unterschiedlich die Unternehmen und Branchen, so unterschiedlich sind auch die Bedürfnisse und Anforderungen an eine Cloud-Lösung. Bei unserem Kunden TUI Leisure Travel ging es beispielsweise nicht nur darum, die Kommunikation und Zusammenarbeit der oft dezentral arbeitenden Reisebüros durch die Microsoft Cloud zu vereinheitlichen und unternehmensweit auf den gleichen Standard zu bringen. Es ging auch darum, die sensiblen Kundendaten vor externen Zugriffen zu schützen. Bei solchen komplexen Projekten kommt unser starkes Partnernetz zum Tragen. Mit rund 38.000 Partnern betreuen wir Unternehmen aller Branchen und Größen. Das garantiert Unternehmen ein auf ihre speziellen Anforderungen abgestimmtes Cloud-Angebot. Unsere Partner sind für Unternehmen daher auch der erste Schritt in eine sichere und erfolgreiche Cloud-Nutzung.

Wie sicher ist Ihr Cloud-Client ?

Ein besonders schwieriger, weil heterogener und schwer kontrollierbarer Bereich des Cloud Computings sind die zahllosen Clients. Experten wie Hagen Dommershausen, Spezialist für Cloud Client Computing bei Dell, empfehlen daher, bei der Einbindung von Geräten, mobilen ebenso wie stationären, in eine Cloud-Infrastruktur folgende wichtigen Aspekte zu beachten:

• Zentrales Management der Geräte einschließlich Policy- und User-Management.

• Zentrale Datensicherung und -wiederherstellung für alle Geräte.

• Bedarfsorientierte Auswahl der Geräte, nicht ein Device für alle Aufgaben.

• Berücksichtigung mitarbeitereigener Geräte (ByoD).

• Unternehmensweit einheitliche Compliance-Vorgaben für die Anwendung von (mobilen) Geräten, Anwendungen (Apps) und Services, eventuell auch durch Betriebsvereinbarungen abgestützt.

Zur Startseite