Gut geschützt in der Private Cloud
Gegen Geheimdienste werden sich mittelständische Unternehmen aufgrund ungleich verteilter Ressourcen immer schwertun. Aber die zahlreichen Bedrohungen unterhalb der "Geheimdienstschwelle" lassen sich wirksam bekämpfen. Die Cloud bietet sogar Vorteile, weil hier auch kleinere Anwender das Know-how und die Erfahrung von Sicherheitsexperten nutzen können.
Die offenbar unendliche NSA-Affäre verunsichert gerade mittelständische Unternehmen. Gerade sie hatten sich zuletzt ja allmählich an den Gedanken gewöhnt, dass die Cloud gerade auch für ihre Belange eine passende Plattform sein könne. Mittelständler mit begrenzten eignen Ressourcen können sc...
Die offenbar unendliche NSA-Affäre verunsichert gerade mittelständische Unternehmen. Gerade sie hatten sich zuletzt ja allmählich an den Gedanken gewöhnt, dass die Cloud gerade auch für ihre Belange eine passende Plattform sein könne. Mittelständler mit begrenzten eignen Ressourcen können schließlich besonders profitieren, wenn sie IT-Leistungen skalierbar, bequem, schnell und ohne Voraus-Investition in Anspruch nehmen. Nun stellen sie sich jedoch die Frage, was ihnen diese Vorteile unterm Strich noch nützen, wenn die Daten, die sie in der Cloud verarbeiten letztlich eine Art digitales Freiwild sind.
Die Cloud-Anbieter sollten derartige Bedenken auf jeden Fall ernst nehmen, denn wenn die aktuelle Debatte eines zeigt, dann, dass Unternehmen mit gutem Recht vorsichtig geworden sind. Allerdings muss man auch differenzieren. Das Ausspähen von Daten durch Organisationen wie die NSA ist ja kein spezifisches Problem des Cloud Computing. Betroffen sind Übertragungsleitungen, einzelne Rechner und Kommunikationsgeräte, Router, internationale Knoten, E-Mails, also alles, was mit dem Austausch von Daten zu tun hat. Vor Organisationen, die mit großem Know-how und nahezu unbegrenzten Ressourcen arbeiten, sind die Daten nirgends ganz sicher, auch nicht innerhalb des eigenen Rechenzentrums.
Abschotten nützt nichts
Selbst wenn ein Unternehmen alle Verbindungen zur Außenwelt kappen würde - gelegentlich versuchen sich Unternehmen an solchen Szenarien, - bliebe es angreifbar, denn Angreifer, die auf diesem Niveau operieren, sind in ihren Möglichkeiten keineswegs auf die Technik beschränkt. Sie können beispielweise, wenn sie mit ihren reichhaltigen technischen Mitteln nicht weiterkommen, bei Herstellern, Lieferanten oder Geschäftspartnern" Überzeugungsarbeit" in ihrem Sinne leisten und beispielsweise Schadsoftware oder Systeme mit Hintertüren einschleusen; die aktuelle Debatte hat auch dafür Beispiele gebracht.
Hier sollte man realistisch sein: Ein normales mittelständisches Unternehmen hat dagegen kaum Abwehrmöglichkeiten, die Ressourcen sind einfach zu ungleich verteilt. Auf dieser Ebene ist Datensicherheit aber ohnehin gar keine Frage der Technik, sondern kann nur auf politischer Ebene sinnvoll diskutiert werden.
Insofern verstellt die aktuelle Diskussion um das Ausspähen von Daten ein wenig die für Unternehmen wirklich relevanten Sicherheitsthemen: Um den Schutz vor Geheimdienstorganisationen muss sich letztlich die Politik kümmern, die Unternehmen selbst können und müssen auf einer anderen Ebene agieren. Denn unterhalb der Geheimdienstschwelle gibt es genug Angreifer, die beispielsweise Daten aus rein kommerziellen Interessen ausspähen wollen, die beispielsweise Entwicklungsdaten abgreifen, Schadsoftware einschleusen oder in den Besitz von Kundendaten kommen wollen.
Im Unterschied zu Geheimdiensten haben solche Gegner aber begrenzte Ressourcen, weil sich ihr Einsatz immer auch an Aufwand und Ertrag bemisst. Hier kann man als Unternehmen dafür sorgen, dass Angriffe zu teuer und damit unattraktiv werden.
Datenpannen sind vermeidbar
Kein Unternehmen kommt heute ohne Verbindungen nach außen aus, auch nicht ohne Cloud Computing. Die Anbindung von Niederlassungen oder die Kommunikation mit Kunden, und sei es bloß per E-Mail, ist heute für Geschäftsprozesse unerlässlich. Diese Kommunikationsverbindungen können durchaus wirksam geschützt werden, das ist Basisarbeit der IT-Sicherheit und musste nicht erst für das Cloud Computing erfunden werden. Das geht zwar nicht ohne Aufwand, aber es geht. Die berüchtigten Datenpannen sind Fehler und als solche - wie gesagt: unterhalb der Geheimdienstschwelle - immer vermeidbar.
Cloud Computing stellt dabei allerdings tatsächlich besondere Anforderungen. Anders als im hauseigenen Rechenzentrum werden auf den Systemen eines Cloud-Providers die Daten vieler Unternehmen gleichzeitig verarbeitet. Die Folgen einer Sicherheitspanne sind damit erheblich größer, weil davon gleich mehrere Unternehmen betroffen sein können. Schon deshalb betreiben die Service Provider zur Begrenzung von Risiken natürlich einen besonders hohen Aufwand, und das kommt dann wieder jedem einzelnen Nutzer zugute.
So widersinnig es angesichts der aktuellen Diskussion zunächst klingen mag: Grundsätzlich sind die Daten in der Cloud sogar besonders sicher. Cloud-Provider sind hinsichtlich des technisch realisierten Sicherheitsniveaus den meisten Unternehmen überlegen. IT-Sicherheit ist heute ein überaus komplexes Thema, das viel Know-how und Erfahrung erfordert. Große Unternehmen verfügen über Expertenteams, die den ganzen Tag nichts anders tun, als für die Sicherheit ihres Unternehmens zu sorgen.
Einen derartigen Aufwand kann ein mittelständischer Anwender nicht betreiben, daher wird er auch bei bestem Willen früher oder später den Anschluss an die sich schnell ändernden Technologien verlieren. Für ihn ist es dann in der Tat sicherer, den Schutz der eigenen IT einem Provider anzuvertrauen, der sich darauf spezialisiert hat. Hier wirkt die "Irony of Scale" : Mittelständische Unternehmen können von der Cloud mehr profitieren als große.
(Auch) eine Frage des Standorts
Ein anderer Aspekt des Cloud Computing, der derzeit häufig diskutiert wird, ist die Frage, wo sich die Cloud-Server physikalisch befinden. In allen Ländern bestehen gesetzliche Vorschriften über die Sicherheit und das Zugänglichmachen von Daten für Dritte, aber nicht alle dieser Vorschriften sind auch mit den in Deutschland gültigen konform - und ausschließlich diese sind für deutsche Unternehmen verbindlich und damit auch unverzichtbarer Bestandteil ihrer Compliance.
In etlichen Staaten ist ein Zugriff, der hierzulande illegal wäre, völlig legal, und dafür braucht man dann gar keinen Geheimdienst bemühen, da reicht dann beispielsweise in einfacher Polizeibeamter oder der Mitarbeiter einer Einfuhrkontrollstelle. In diesem Fall haben beide Cloud-Partner - Provider und Kunde - ein Problem: Der Provider muss sich an die Gesetze halten, der Kunde mit Sitz in Deutschland aber auch.
Lösen ließe sich das Problem nur durch international einheitliche Regelungen, wovon wir jedoch noch weit entfernt sind. Vorerst kommt für unternehmenskritische Anwendungen und Daten ein Cloud Computing, das keinen bestimmten Serverstandort garantieren kann, nicht infrage. Das Geschäftsmodell von Public Cloud beruht gerade auf einem freien Floating - Ressourcen werden unabhängig vom Standort nach ihrer effizienten Verfügbarkeit genutzt. Selbst dieses Verfahren ließe sich technisch sicher ausgestalten, das wird aber von den unterschiedlichen hoheitlichen Vorschriften regelmäßig unterlaufen.
Mit der Private Cloud aus dem Dilemma
Damit wird Cloud Computing keineswegs obsolet. Die technisch-wirtschaftlichen Vorteile des Cloud-Modells bestehen ja weiter. Es kommt daher darauf an, Cloud Computing so zu nutzen, dass man die Compliance der Cloud-Kunden erfüllen kann. Das ist in der Private oder Enterprise Cloud ohne Weiteres möglich.
Im Unterschied zur Public Cloud stellen Provider wie Nexinto dabei dedizierte Ressourcen zur Verfügung, bei denen nicht nur bestimmte technische Eigenschaften der Systeme zugesichert werden, sondern auch die Standorte der Server. Der Cloud-Anwender weiß in diesem Modell immer, wo sich seine Daten befinden und kann so problemlos seine individuellen Vorschriften einhalten, weil die Daten, wenn er das wünscht, sich nur innerhalb des Geltungsbereichs nationalen Rechts bewegen.
Dass dieser Ansatz dem internationalen Grundgedanken des Internets wiederspricht, mag Web-Philosophen bekümmern - für mittelständische Unternehmen stellt dies den einzigen Weg dar, auf dem sie die Effizienz der Cloud mit ihrer Compliance verbinden können. Unternehmen, die Zweifel haben - in der aktuellen Phase des Cloud Computing sind Zweifel vielleicht nie ganz verkehrt -, ob der Provider sich an derartige Zusagen hält, sollten darauf achten, dass diese entsprechende Zertifizierungen vorweisen kann. So ist beispielsweise sehr vorteilhaft, wenn der Anbieter nach der internationalen Informationssicherheitsnorm ISO 27001 und nach ISO 9001 hinsichtlich des Qualitätsmanagements zertifiziert ist.
Auf dieser Basis kann der Provider gemeinsam mit seinem Kunden anwendungsspezifische Zertifizierungen erarbeiten und die Audits durchführen, so etwa für ISAE3402 oder SSAE16. Solche Zertifizierungen sind unerlässlich, wenn es um hochkritische Daten geht, so zum Beispiel um die Verarbeitung von Kreditkartendaten.
Fazit
In der Private Cloud kann der Provider ein individuelles Sicherheitsmodell realisieren, das an die Anforderungen des jeweiligen Unternehmens angepasst ist. Der Cloud-Anwender muss dafür klare Vorstellungen darüber haben, was er mit den Systemen erreichen will und welche Risiken damit verbunden sind.
Im Enterprise beziehungsweise Private Cloud Computing werden individuelle Lösungen erarbeitet, nicht Services von der Stange verkauft, und das gilt auch für die Sicherheit. NSA, GCHQ oder FSB wird man auf diese Weise vermutlich nicht ausbremsen können. Aber jenseits davon lässt sich mit einem durchdachten Sicherheitskonzept und mit Partnern, die sich in diesem schwierigen Feld auskennen, ein hohes Maß an Sicherheit erreichen. Nicht trotz, sondern wegen Cloud Computing.
