Ist es Unternehmen wirklich unmöglich, Cloud-Anbieter zu auditieren? „Es ist möglich“, sagt Oliver Karow, Security Consultant bei Symantec. „Es ist nur wesentlich komplizierter.“ Karow empfiehlt daher einen anderen Ansatz. Outsourcer und andere Dienstleister ließen sich bereits heute beispielsweise nach dem internationalen Standard SAS 70 (Typ 2) oder seinem deutschen Pendant PS 951 (Typ B) auditieren.
In Verbindung mit einem ausgereiften Kontrollsystem, wie es auf Basis von Standards wie COBIT oder ITIL V3 umgesetzt werden kann, ließe sich in der Regel bereits eine erhebliche Vereinfachung der Auditierung erreichen. Dennoch werde auch hier die Frage nicht vollständig geklärt, wo die Daten physisch tatsächlich liegen.
IBM sieht das Thema Auditieren ähnlich: „Es gibt durchaus Mechanismen, mit denen der Kunde seiner Auditierungspflicht nachkommen kann“, sagt IT-Infrastruktur-Architekt Gerhard Widmeyer. Doch auch er schränkt ein: „Ein Restrisiko bleibt.“
Also verschlüsseln. Das klingt einfach und scheint eine nahe liegende Lösung zu sein. „Verschlüsselung ist ein Mittel, aber bei weitem kein Allheilmittel“, sagt Carsten Casper, Research Director Security und Privacy beim Analystenhaus Gartner. Natürlich gebe es Schlüsselstandards, die relativ sicher seien. Dennoch gebe es immer den Einwand, der Standard sei nicht ausreichend oder er sei schon geknackt. Hinzu komme, dass Codierungen teuer sein können oder die Performance so stark einschränken, dass sie nicht praktikabel sind.
Udo Schneider, Solution Architect EMEA bei Trend Micro, sieht das ähnlich. „Verschlüsselung ist eine angemessene Lösung, wenn ein Unternehmen die Cloud als erweiterten Datenspeicher nutzt und Daten dort nicht bearbeitet.“ Das sei beim Backup eine gängige Praxis und nichts Neues. Schwierig werde es, wenn Daten in der Wolke verarbeitet werden, etwa bei einem CRM-System. Zum Bearbeiten müssen die Informationen nämlich wieder entschlüsselt werden. Und damit sind sie vor dem Zugriff Dritter ungeschützt. Wie dieses Problem zu lösen ist, weiß im Moment niemand. „Dafür gibt es derzeit keine Produkte auf dem Markt“, so der Sicherheitsexperte.
Ein neues Bug-Bounty-Programm beschäftigt sich mit Apples Private Cloud Compute. Prämien gibt es unter für…
Betroffen sind alle aktuell unterstützten Apple-Smartphones und -Tablets. Schwachstellen in iOS und iPadOS erlauben unter…
Sie erlaubt Diebstahl von Daten. Bedrohungsakteure könnten FortiManager-Appliances kompromittieren, um Unternehmensumgebungen anzugreifen.
Speicherchips und GPUs für KI-Server beflügeln das Wachstum. Die Nachfrage aus dem Automobil- und Industriesektor…
Hierzulande liegt das Wachstum im dritten Quartal gegenüber dem Vorjahreszeitraum bei 78 Prozent. In Österreich…
Die Datenschützer kritisieren die Nutzung von Kundendaten für gezielte Werbung auf LinkedIn. Die Microsoft-Tochter muss…