Wer hat die Schlüsselgewalt in der Cloud?

Balance von Kosten, Komfort und Funktion

Die letzte Aussage sieht cirosec-Geschäftsführer Stefan Strobel eher skeptisch: „Sicherlich liegt bei vielen Mittelständlern die IT-Security im Argen, aber es finden sich halt auch nicht wenige Fälle, bei denen Cloud-Provider mittelständischen Firmen eine überdimensionierte Lösung verkauft haben“, resümiert er seine Beratungserfahrung. Eine ausreichende eigene Expertise in Sachen IT-Sicherheit sollten sich nach Strobels Meinung auch Mittelständler leisten. Wer bestimmte Bedrohungsszenarien selbst durchspielen könne und damit auf Augenhöhe mit dem Cloud-Provider stehe, erhalte letzten Endes besser passende und vor allem auch preiswertere Lösungen.

Wer im Rahmen von Cloud-Computing nicht unbedingt auf die eigene Schlüsselgewalt Wert legen will, weil es ihm zu kompliziert oder zu teuer ist, der sollte sich für sensiblere Daten wenigstens für eine Lösung eines Cloud-Computing-Providers entscheiden, von dem er sicher sein kann, dass dieser die anvertrauten Daten in einem Rechenzentrum in Europa unter europäischer Gesetzgebung verarbeitet und er sollte sich auf jeden Fall für eine Private-Cloud-Lösung und nicht für die Public-Cloud-Variante entscheiden: „Umgebungen mit hohen Sicherheitsansprüchen lassen sich primär durch Private-Cloud-Lösungen abbilden“, sagt Frank Strecker von T-Systems.

Wenn Treuhänder zur Untreue gezwungen werden

Die Etablierung von Sicherheit ist nicht nur eine Kostenfrage, sondern immer auch eine Frage von Komfort und Funktionalität: Man kann sich leicht vorstellen, dass es alles andere als einfach ist, bestimmte Programmier-Funktionen wie beispielsweise Suchoperationen auf verschlüsselten Daten genau so effektiv und effizient durchzuführen wie auf unverschlüsselten Daten. Gerade bei Public-Cloud-Lösungen liegen da erhebliche Fallstricke. Man wird also öfter einmal abwägen müssen, welches Feld man verschlüsselt und welches man um des Funktionserhalts willen eher nicht verschlüsselt. Frank Strecker von T-Systems meint indes, dass man dieses Problem mittlerweile gut lösen kann: „Durch den geschickten Einsatz von Standardalgorithmen können wir eine format- und funktionserhaltende Verschlüsselung erreichen, Produkte wie CipherCloud ermöglichen eine feldbasierte Verschlüsselung von Public- und Privat-Cloud-Services“, sagt er, vergisst aber auch nicht hinzuzufügen: „Derartige Lösungen müssen in Bezug auf das Verhältnis von Sicherheit und Funktionsumfang sorgfältig justiert werden.“

Angesichts der jüngst bekannt gewordenen gigantischen Ausspähprogramme kann man in Sachen Cloud-Computing eigentlich nicht wachsam genug sein, vor allem bei der Auswahl des Cloud-Computing-Providers und natürlich bei der Frage, ob man die Schlüssel bei sich im Unternehmen behält. Falls man nämlich diesen Teil der Sicherheit an den Cloud-Computing-Provider delegiert, kann man nie sicher sein, ob dieser nicht auch bei bester treuhänderischer Absicht von „höherer Stelle“ dazu gezwungen wird, den Schlüssel herauszugeben beziehungsweise von vornherein einen Generalschlüssel bereitzuhalten. Sicherheit lässt sich eben nicht delegieren.