Sicherheit in der Cloud: Verschlüsseln reicht nicht aus

Ist es Unternehmen wirklich unmöglich, Cloud-Anbieter zu auditieren? „Es ist möglich“, sagt Oliver Karow, Security Consultant bei Symantec. „Es ist nur wesentlich komplizierter.“ Karow empfiehlt daher einen anderen Ansatz. Outsourcer und andere Dienstleister ließen sich bereits heute beispielsweise nach dem internationalen Standard SAS 70 (Typ 2) oder seinem deutschen Pendant PS 951 (Typ B) auditieren.

In Verbindung mit einem ausgereiften Kontrollsystem, wie es auf Basis von Standards wie COBIT oder ITIL V3 umgesetzt werden kann, ließe sich in der Regel bereits eine erhebliche Vereinfachung der Auditierung erreichen. Dennoch werde auch hier die Frage nicht vollständig geklärt, wo die Daten physisch tatsächlich liegen.


Udo Schneider, Solution Architect EMEA bei Trend Micro (Bild: Trend Micro).

IBM sieht das Thema Auditieren ähnlich: „Es gibt durchaus Mechanismen, mit denen der Kunde seiner Auditierungspflicht nachkommen kann“, sagt IT-Infrastruktur-Architekt Gerhard Widmeyer. Doch auch er schränkt ein: „Ein Restrisiko bleibt.“

Also verschlüsseln. Das klingt einfach und scheint eine nahe liegende Lösung zu sein. „Verschlüsselung ist ein Mittel, aber bei weitem kein Allheilmittel“, sagt Carsten Casper, Research Director Security und Privacy beim Analystenhaus Gartner. Natürlich gebe es Schlüsselstandards, die relativ sicher seien. Dennoch gebe es immer den Einwand, der Standard sei nicht ausreichend oder er sei schon geknackt. Hinzu komme, dass Codierungen teuer sein können oder die Performance so stark einschränken, dass sie nicht praktikabel sind.

Udo Schneider, Solution Architect EMEA bei Trend Micro, sieht das ähnlich. „Verschlüsselung ist eine angemessene Lösung, wenn ein Unternehmen die Cloud als erweiterten Datenspeicher nutzt und Daten dort nicht bearbeitet.“ Das sei beim Backup eine gängige Praxis und nichts Neues. Schwierig werde es, wenn Daten in der Wolke verarbeitet werden, etwa bei einem CRM-System. Zum Bearbeiten müssen die Informationen nämlich wieder entschlüsselt werden. Und damit sind sie vor dem Zugriff Dritter ungeschützt. Wie dieses Problem zu lösen ist, weiß im Moment niemand. „Dafür gibt es derzeit keine Produkte auf dem Markt“, so der Sicherheitsexperte.

Page: 1 2 3

ZDNet.de Redaktion

Recent Posts

Netzwerk-Portfolio für das KI-Zeitalter

Huawei stellt auf der Connect Europe 2024 in Paris mit Xinghe Intelligent Network eine erweiterte…

1 Tag ago

Internet-Tempo in Deutschland: Viel Luft nach oben

Höchste Zeit für eine schnelle Kupfer-Glas-Migration. Bis 2030 soll in Deutschland Glasfaser flächendeckend ausgerollt sein.

1 Tag ago

Erste Entwickler-Preview von Android 16 verfügbar

Schon im April 2025 soll Android 16 den Status Plattformstabilität erreichen. Entwicklern gibt Google danach…

1 Tag ago

Kaspersky warnt vor Cyberangriff auf PyPI-Lieferkette

Die Hintermänner setzen KI-Chatbot-Tools als Köder ein. Opfer fangen sich den Infostealer JarkaStealer ein.

2 Tagen ago

Digitale Produkte „cyberfit“ machen

Vernetzte Produkte müssen laut Cyber Resilience Act über Möglichkeiten zur Datenverschlüsselung und Zugangsverwaltung verfügen.

2 Tagen ago

Google schließt schwerwiegende Sicherheitslücken in Chrome 131

Das jüngste Update für Windows, macOS und Linux stopft drei Löcher. Eine Anfälligkeit setzt Nutzer…

2 Tagen ago