Sicherheit in der Cloud: Verschlüsseln reicht nicht aus

Ist es Unternehmen wirklich unmöglich, Cloud-Anbieter zu auditieren? „Es ist möglich“, sagt Oliver Karow, Security Consultant bei Symantec. „Es ist nur wesentlich komplizierter.“ Karow empfiehlt daher einen anderen Ansatz. Outsourcer und andere Dienstleister ließen sich bereits heute beispielsweise nach dem internationalen Standard SAS 70 (Typ 2) oder seinem deutschen Pendant PS 951 (Typ B) auditieren.

In Verbindung mit einem ausgereiften Kontrollsystem, wie es auf Basis von Standards wie COBIT oder ITIL V3 umgesetzt werden kann, ließe sich in der Regel bereits eine erhebliche Vereinfachung der Auditierung erreichen. Dennoch werde auch hier die Frage nicht vollständig geklärt, wo die Daten physisch tatsächlich liegen.


Udo Schneider, Solution Architect EMEA bei Trend Micro (Bild: Trend Micro).

IBM sieht das Thema Auditieren ähnlich: „Es gibt durchaus Mechanismen, mit denen der Kunde seiner Auditierungspflicht nachkommen kann“, sagt IT-Infrastruktur-Architekt Gerhard Widmeyer. Doch auch er schränkt ein: „Ein Restrisiko bleibt.“

Also verschlüsseln. Das klingt einfach und scheint eine nahe liegende Lösung zu sein. „Verschlüsselung ist ein Mittel, aber bei weitem kein Allheilmittel“, sagt Carsten Casper, Research Director Security und Privacy beim Analystenhaus Gartner. Natürlich gebe es Schlüsselstandards, die relativ sicher seien. Dennoch gebe es immer den Einwand, der Standard sei nicht ausreichend oder er sei schon geknackt. Hinzu komme, dass Codierungen teuer sein können oder die Performance so stark einschränken, dass sie nicht praktikabel sind.

Udo Schneider, Solution Architect EMEA bei Trend Micro, sieht das ähnlich. „Verschlüsselung ist eine angemessene Lösung, wenn ein Unternehmen die Cloud als erweiterten Datenspeicher nutzt und Daten dort nicht bearbeitet.“ Das sei beim Backup eine gängige Praxis und nichts Neues. Schwierig werde es, wenn Daten in der Wolke verarbeitet werden, etwa bei einem CRM-System. Zum Bearbeiten müssen die Informationen nämlich wieder entschlüsselt werden. Und damit sind sie vor dem Zugriff Dritter ungeschützt. Wie dieses Problem zu lösen ist, weiß im Moment niemand. „Dafür gibt es derzeit keine Produkte auf dem Markt“, so der Sicherheitsexperte.

Page: 1 2 3

ZDNet.de Redaktion

Recent Posts

1 Million Dollar: Apple zahlt Prämie für Hack seiner Apple Intelligence Server

Ein neues Bug-Bounty-Programm beschäftigt sich mit Apples Private Cloud Compute. Prämien gibt es unter für…

4 Tagen ago

Apple stopft 28 Sicherheitslöcher in iOS und iPadOS 18

Betroffen sind alle aktuell unterstützten Apple-Smartphones und -Tablets. Schwachstellen in iOS und iPadOS erlauben unter…

4 Tagen ago

Mandiant warnt vor Angriffen auf Zero-Day-Lücke in FortiManager-Appliances

Sie erlaubt Diebstahl von Daten. Bedrohungsakteure könnten FortiManager-Appliances kompromittieren, um Unternehmensumgebungen anzugreifen.

4 Tagen ago

Gartner: Halbleiterumsätze steigen 2025 voraussichtlich um 14 Prozent

Speicherchips und GPUs für KI-Server beflügeln das Wachstum. Die Nachfrage aus dem Automobil- und Industriesektor…

5 Tagen ago

Deutlicher Anstieg der Cyberangriffe auf deutsche Unternehmen

Hierzulande liegt das Wachstum im dritten Quartal gegenüber dem Vorjahreszeitraum bei 78 Prozent. In Österreich…

5 Tagen ago

310 Mio. Euro: Irische Datenschutz- behörde verhängt Bußgeld gegen LinkedIn

Die Datenschützer kritisieren die Nutzung von Kundendaten für gezielte Werbung auf LinkedIn. Die Microsoft-Tochter muss…

1 Woche ago