Wer hat die Schlüsselgewalt in der Cloud?

„Das Thema Datensicherheit ist gerade für deutsche Mittelständler, die nicht selten über weltweit einzigartige Technologien verfügen, überlebenswichtig“, sagt Stefan Strobel, Geschäftsführer beim Heilbronner IT-Sicherheitsspezialisten cirosec

“Warum würden Sie jemanden dafür bezahlen wollen, dass er Ihre geschäftlichen oder sonstigen Geheimnisse hütet, wenn Sie vermuten oder wissen, dass sie gegen Ihren Willen weitergegeben werden“, fragte EU-Vizepräsidenten Neelie Kroes nach einer Tagung des Lenkungsausschusses der European Cloud Partnership (ECP) in der estnischen Hauptstadt Tallinn. Globale Ausspähprogramme wie PRISM und Tempora haben die brüchige Sicherheit von Cloud-Computing wieder einmal in den Blickpunkt gerückt.

„Das Thema Datensicherheit ist gerade für deutsche Mittelständler, die nicht selten über weltweit einzigartige Technologien verfügen, überlebenswichtig“, sagt Stefan Strobel, Geschäftsführer beim Heilbronner IT-Sicherheitsspezialisten cirosec und ergänzt: „Cloud-Computing mit seinen kostenmäßigen Skaleneffekten ist für solche Unternehmen einerseits sehr interessant, andererseits kann es ihre Existenz kosten, wenn sie ausspioniert werden, denn bei Cloud-Computing kommen nun einmal die Daten per definitionem in fremde Hände.“

Die fremden Hände, denen die Daten anvertraut werden, müssen gewährleisten, dass die Daten in der Cloud nicht verloren gehen, eingesehen oder verändert werden. Große Cloud-Provider wissen, dass ihr Geschäft einzig und allein davon abhängt, dass sie dieses Vertrauen schaffen und natürlich auch tagtäglich einlösen können: „Der Kunde benötigt verifizierbare Nachweise von seinem Provider, wie dieser mit Datensicherheit und Datenschutz umgeht, Zertifikate wie ISO 27001 sind hierbei wichtig, aber sicher nicht ausreichend“, sagt Frank Strecker, der Cloud-Computing-Verantwortliche bei T-Systems. Die Deutsche Telekom beziehungsweise T-Systems hätten sich deshalb entschlossen, die technischen Sicherheitsanforderungen an die Cloud-Computing-Plattformen im Internet zu veröffentlichen, außerdem stünde man in Sicherheitsfragen in engem Kontakt mit staatlichen Behörden wie dem Bundesamt für Informationssicherheit (BSI), regen Austausch gebe es aber auch mit vielen Unternehmen, so auf dem nächsten Cyber Security Summit am 11. November in Bonn.

Sicherheit kann nicht delegiert werden

„Die Daten müssen für ein Unternehmen mehr wert sein als die Kosten, die durch einschlägige Schutzmaßnahmen auflaufen“, formuliert Marc Fliehe, Referent Sicherheit beim Branchenverband BITKOM

Da Vertrauen bekanntlich gut, Kontrolle aber besser ist, müssen alle Unternehmen, die sich mit ihren Daten in die Cloud begeben wollen, zwei wesentliche Entscheidungen treffen: das ist zum einen die Festlegung, ob sie auch mit ihren besonders sensiblen Daten (also beispielsweise Entwicklungsdaten, die Industriespione anziehen) in die Cloud gehen, zum anderen die Entscheidung, ob sie das Schlüsselmanagement dem Cloud-Provider überlassen oder ob sie es in eigener Regie gestalten wollen. Ob überhaupt verschlüsselt wird, sollte nun wirklich keine Frage sein, denn wer sich ohne Verschlüsselung in die Cloud begibt, dem ist nicht mehr helfen.

Wer die Verschlüsselung dem Cloud Provider überlässt, sollte sich im Klaren darüber sein, dass auch die Schlüssel in der Cloud liegen beziehungsweise verschlüsselte Daten und Schlüssel nicht streng getrennt sind. Andererseits erfordert natürlich das Betreiben eines eigenen Key Management Servers im Unternehmen einen nicht unerheblichen Aufwand in Sachen Mitarbeiter-Know-how und Hardware- und Software-Kosten. Letztlich geht es um eine Risikoanalyse, deren Parameter klar sind: „Die Daten müssen für ein Unternehmen mehr wert sein als die Kosten, die durch einschlägige Schutzmaßnahmen auflaufen“, formuliert Marc Fliehe, Referent Sicherheit beim Branchenverband BITKOM in Berlin das Kriterium. Fliehe plädiert für eine Risikoanalyse, die nicht durch das Prinzip Hoffnung („Es wird schon nichts passieren“) gesteuert ist und die sich darüber im Klaren ist, dass die Verantwortung für die Sicherheit letztlich allein beim Besitzer der Daten liegt: „Sicherheit lässt sich nicht delegieren, weder an den Cloud-Dienstleister, einen Sicherheitsverantwortlichen noch an die Firewall.“

Wer Daten in der Cloud verarbeiten lässt, die im Havariefall über Wohl und Wehe eines Unternehmens entscheiden, der kommt eigentlich nicht um ein eigenes Schlüsselmanagement herum, lässt Fliehe erkennen, obwohl er beileibe kein Cloud-Skeptiker ist. „Die tollste Verschlüsselungslösung nützt freilich nichts, wenn beispielsweise die Signaturen des Virenscanners veraltet sind und die Daten schon vor der Verschlüsselung kompromittiert werden“, mahnt er. Auch müsse man illusionslos feststellen, dass für viele mittelständische Unternehmen eine Cloud-Lösung durch einen kompetenten Provider in puncto Sicherheit eine deutliche Verbesserung bedeutet.

Page: 1 2

Kai Schmerer

Kai ist seit 2000 Mitglied der ZDNet-Redaktion, wo er zunächst den Bereich TechExpert leitete und 2005 zum Stellvertretenden Chefredakteur befördert wurde. Als Chefredakteur von ZDNet.de ist er seit 2008 tätig.

Recent Posts

Taugen Kryptowährungen als Unterstützer der Energiewende?

Bankhaus Metzler und Telekom-Tochter MMS testen, inwieweit Bitcoin-Miner das deutsche Stromnetz stabilisieren könnten.

13 Stunden ago

Supercomputer-Ranking: El Capitan überholt Frontier und Aurora

Mit 1,7 Exaflops ist El Capitan nun der dritte Exascale-Supercomputer weltweit. Deutschland stellt erneut den…

17 Stunden ago

Ionos führt neue AMD-Prozessoren ein

Der deutsche Hyperscaler erweitert sein Server-Portfolio um vier Angebote mit den neuen AMD EPYC 4004…

18 Stunden ago

Lags beim Online-Gaming? DSL-Vergleich und andere Tipps schaffen Abhilfe

Beim Online-Gaming kommt es nicht nur auf das eigene Können an. Auch die technischen Voraussetzungen…

19 Stunden ago

GenKI-Fortbildung immer noch Mangelware

Fast jedes zweite Unternehmen bietet keinerlei Schulungen an. In den übrigen Betrieben profitieren oft nur…

19 Stunden ago

Netzwerk-Portfolio für das KI-Zeitalter

Huawei stellt auf der Connect Europe 2024 in Paris mit Xinghe Intelligent Network eine erweiterte…

21 Stunden ago