Ist es Unternehmen wirklich unmöglich, Cloud-Anbieter zu auditieren? „Es ist möglich“, sagt Oliver Karow, Security Consultant bei Symantec. „Es ist nur wesentlich komplizierter.“ Karow empfiehlt daher einen anderen Ansatz. Outsourcer und andere Dienstleister ließen sich bereits heute beispielsweise nach dem internationalen Standard SAS 70 (Typ 2) oder seinem deutschen Pendant PS 951 (Typ B) auditieren.
In Verbindung mit einem ausgereiften Kontrollsystem, wie es auf Basis von Standards wie COBIT oder ITIL V3 umgesetzt werden kann, ließe sich in der Regel bereits eine erhebliche Vereinfachung der Auditierung erreichen. Dennoch werde auch hier die Frage nicht vollständig geklärt, wo die Daten physisch tatsächlich liegen.
Udo Schneider, Solution Architect EMEA bei Trend Micro (Bild: Trend Micro).
IBM sieht das Thema Auditieren ähnlich: „Es gibt durchaus Mechanismen, mit denen der Kunde seiner Auditierungspflicht nachkommen kann“, sagt IT-Infrastruktur-Architekt Gerhard Widmeyer. Doch auch er schränkt ein: „Ein Restrisiko bleibt.“
Also verschlüsseln. Das klingt einfach und scheint eine nahe liegende Lösung zu sein. „Verschlüsselung ist ein Mittel, aber bei weitem kein Allheilmittel“, sagt Carsten Casper, Research Director Security und Privacy beim Analystenhaus Gartner. Natürlich gebe es Schlüsselstandards, die relativ sicher seien. Dennoch gebe es immer den Einwand, der Standard sei nicht ausreichend oder er sei schon geknackt. Hinzu komme, dass Codierungen teuer sein können oder die Performance so stark einschränken, dass sie nicht praktikabel sind.
Udo Schneider, Solution Architect EMEA bei Trend Micro, sieht das ähnlich. „Verschlüsselung ist eine angemessene Lösung, wenn ein Unternehmen die Cloud als erweiterten Datenspeicher nutzt und Daten dort nicht bearbeitet.“ Das sei beim Backup eine gängige Praxis und nichts Neues. Schwierig werde es, wenn Daten in der Wolke verarbeitet werden, etwa bei einem CRM-System. Zum Bearbeiten müssen die Informationen nämlich wieder entschlüsselt werden. Und damit sind sie vor dem Zugriff Dritter ungeschützt. Wie dieses Problem zu lösen ist, weiß im Moment niemand. „Dafür gibt es derzeit keine Produkte auf dem Markt“, so der Sicherheitsexperte.
Neueste Kommentare
1 Kommentar zu Sicherheit in der Cloud: Verschlüsseln reicht nicht aus
Kommentar hinzufügenVielen Dank für Ihren Kommentar.
Ihr Kommentar wurde gespeichert und wartet auf Moderation.
Wie auditieren denn die Unternehmen ihre selbstgehostete Software?
Es ist sehr einfach auf die Cloud einzuschlagen und einfach zu sage aus juristischer Sicht geht das nicht.
In der Praxis hilft das natürlich kein Stück weiter, da es letztendlich darum geht eine sichere Lösung zu finden und hier haben "nicht-Cloud" Systeme genau die gleichen Probleme.
Wie soll ein Unternehmen den auditieren, ob die nicht-Cloud-Software, die sie einsetzten okay ist? Das fängt beim Betriebssystem an, bis zu den Treibern für die Hardware (Router, Switches, Server, Drucker), und geht weiter über die ganzen Softwarepakete? Ach ja, eigentlich müsste man dafür ja den Entwicklungsprozess von Novell, IBM, Micorsoft und co auditieren. Das ist natürlich Blödsinn. Genau der gleiche Blödsinn, wie wenn man fordert, dass jedes Cloud-Kunde unternehmen, die Cloud-Software genau auditieren müsste. An dieser Stelle helfen Standards und Zertifizierungen, wie auch in diesem Artikel richtig erwähnt wurde.
Und richtig sicher ist man nie. In der Praxis sind gehostete Cloud-Systeme von sehr großen Anbietern oft deutlich sichere als selbergebastelte Server. Das gilt besonder für kleine und mittlere Unternehmen.