Balance von Kosten, Komfort und Funktion
Die letzte Aussage sieht cirosec-Geschäftsführer Stefan Strobel eher skeptisch: „Sicherlich liegt bei vielen Mittelständlern die IT-Security im Argen, aber es finden sich halt auch nicht wenige Fälle, bei denen Cloud-Provider mittelständischen Firmen eine überdimensionierte Lösung verkauft haben“, resümiert er seine Beratungserfahrung. Eine ausreichende eigene Expertise in Sachen IT-Sicherheit sollten sich nach Strobels Meinung auch Mittelständler leisten. Wer bestimmte Bedrohungsszenarien selbst durchspielen könne und damit auf Augenhöhe mit dem Cloud-Provider stehe, erhalte letzten Endes besser passende und vor allem auch preiswertere Lösungen.
Wer im Rahmen von Cloud-Computing nicht unbedingt auf die eigene Schlüsselgewalt Wert legen will, weil es ihm zu kompliziert oder zu teuer ist, der sollte sich für sensiblere Daten wenigstens für eine Lösung eines Cloud-Computing-Providers entscheiden, von dem er sicher sein kann, dass dieser die anvertrauten Daten in einem Rechenzentrum in Europa unter europäischer Gesetzgebung verarbeitet und er sollte sich auf jeden Fall für eine Private-Cloud-Lösung und nicht für die Public-Cloud-Variante entscheiden: „Umgebungen mit hohen Sicherheitsansprüchen lassen sich primär durch Private-Cloud-Lösungen abbilden“, sagt Frank Strecker von T-Systems.
Wenn Treuhänder zur Untreue gezwungen werden
Die Etablierung von Sicherheit ist nicht nur eine Kostenfrage, sondern immer auch eine Frage von Komfort und Funktionalität: Man kann sich leicht vorstellen, dass es alles andere als einfach ist, bestimmte Programmier-Funktionen wie beispielsweise Suchoperationen auf verschlüsselten Daten genau so effektiv und effizient durchzuführen wie auf unverschlüsselten Daten. Gerade bei Public-Cloud-Lösungen liegen da erhebliche Fallstricke. Man wird also öfter einmal abwägen müssen, welches Feld man verschlüsselt und welches man um des Funktionserhalts willen eher nicht verschlüsselt. Frank Strecker von T-Systems meint indes, dass man dieses Problem mittlerweile gut lösen kann: „Durch den geschickten Einsatz von Standardalgorithmen können wir eine format- und funktionserhaltende Verschlüsselung erreichen, Produkte wie CipherCloud ermöglichen eine feldbasierte Verschlüsselung von Public- und Privat-Cloud-Services“, sagt er, vergisst aber auch nicht hinzuzufügen: „Derartige Lösungen müssen in Bezug auf das Verhältnis von Sicherheit und Funktionsumfang sorgfältig justiert werden.“
Angesichts der jüngst bekannt gewordenen gigantischen Ausspähprogramme kann man in Sachen Cloud-Computing eigentlich nicht wachsam genug sein, vor allem bei der Auswahl des Cloud-Computing-Providers und natürlich bei der Frage, ob man die Schlüssel bei sich im Unternehmen behält. Falls man nämlich diesen Teil der Sicherheit an den Cloud-Computing-Provider delegiert, kann man nie sicher sein, ob dieser nicht auch bei bester treuhänderischer Absicht von „höherer Stelle“ dazu gezwungen wird, den Schlüssel herauszugeben beziehungsweise von vornherein einen Generalschlüssel bereitzuhalten. Sicherheit lässt sich eben nicht delegieren.
Neueste Kommentare
5 Kommentare zu Wer hat die Schlüsselgewalt in der Cloud?
Kommentar hinzufügenVielen Dank für Ihren Kommentar.
Ihr Kommentar wurde gespeichert und wartet auf Moderation.
Wenn auf dem eigenen Computer schon keine Kontrolle durch den User(client) mehr machbar ist. Was wenn die .api’s schon ins Betriebssytem integriert sind? Das Betriebssystem kennt einen fast besser als man selbst. Was wenn die Schnittstellenbefehle dort ansetzen? Einfach alles publizieren und sich so die Rechte sichern?
ist schon seltsam. Bis vor kurzem wurde hier würde das Thema „Cloud“ sehr intensiv berichtet (ZDNet). Es wurde als das Nonplusultra dahin gestellt. Diese Glorifizierung hat mich immer schon gewundert ! Zum Glück noch rechtzeitig (bevor alle darauf anspringen) wurde jetzt mit Held Snowden die Öffentlichkeit etwas aufgeklärt. Also Cloud -> Finger weg
Es ist schon lustig, wie nun alle Leute so stark von Cloud abrücken, weil dort ja alles angeblich so furchtbar risikobehaftet ist. Dieselben Leute schicken aber seit Jahren unverschlüsselte Emails offen durch das Internet und stören sich nicht daran, dass diese praktisch von jedermann gelesen werden können.
Etwas mehr Sachverstand und etwas weniger Panikmache wären da schon hilfreich. Die Cloud ist schon da und Cloud-Rechenzentren sind effizienter, umweltschonender – und im Zweifel sicherer – als die meisten unternehmenseigenen Rechenzentren.
Ist doch nicht ganz richtig: meine E-Mails kann ‚im Prinzip‘ jeder lesen, das ist aber nicht ganz so einfach, und die meisten Mails dürften eher belanglos sein, so dass die niemanden interessieren.. In die Cloud legt man aber zumeist wichtige Daten (Backup, Termine, Adressen, Nacktbilder von der Liebsten etc.), die dann deutlich sensibler sind, und die möglichst niemand sehen sollte.
Man muss sich daran gewöhnen, dass die Daten lokal verschlüsselt werden müssen, und erst dann in die Cloud gelegt werden können. Ist zwar auch nicht 100% sicher (kann ja ein Keylogger installiert sein), aber besser als nichts.
Sicherheit gibt es nur, wenn der Rechner als Insellösung nicht ans Internet angebunden ist. Aber wer tut sich so etwas freiwillig an? :-]
Na, wenn solche Unternehmen wie Google mit ihren ‚Mist‘ Android Systemen Backups in die Cloud laden, und in diesen Backups die WLAN Schlüssel/Kennworte (Ort, E-Mail Adresse, SSID, etc. sind ja durch Streetview bereits bekannt) unverschlüsselt aufbewahren, dann darf sich niemand wundern, dass das Wort ‚Cloud‘ mit ‚NSA-Selbstbedienungsladen‘ gleichgesetzt wird.