Sicherheit in Zeiten der Cloud

Screen mit Wolkensymbolen und rotem Schloss

Titelbild: © Maksim Kabakou/Shutterstock.com

Immer mehr Unternehmen ziehen mit ihren Daten in die Cloud. Doch wie ist es um die Sicherheit in der Wolke bestellt? So minimieren Unternehmen das Risiko eines unberechtigten Zugriffs auf ihre Daten.

Die digitale Wolke über Deutschland dehnt sich weiter aus. Mehr als die Hälfte aller Unternehmen in Deutschland nutzt laut der Studie „Cloud Monitor 2016“ des IT-Verbands Bitkom die Cloud. Die Gründe liegen auf der Hand: Die Cloud ermöglicht Unternehmen, ihre Rechenleistung schon mit geringen finanziellen Mitteln aufzustocken und Daten zu speichern, die von jedem Ort der Welt abrufbar sind. Trotz aller Vorzüge sollten Unternehmen eine Frage nicht außer Acht lassen: die nach der Sicherheit der Daten. Wer kann auf die teils sensiblen Informationen zugreifen? Und wo werden die Daten eigentlich aufbewahrt?

Unberechtigter Zugriff auf Daten befürchtet

Fragen, die das weitere Wachstum der Cloud offenbar vorerst bremsen: So befürchten laut Bitkom 58 Prozent der befragten Unternehmen durch die Cloud einen unberechtigten Zugriff auf Unternehmensdaten, 45 Prozent gar den Verlust von Daten. Unklarheiten hinsichtlich der Rechtslage nennen zudem 36 Prozent. Berechtigte Bedenken?

Mehrzahl der IT-Angriffe ohne Cloud-Bezug

Klar ist: Auch der deutsche Mittelstand ist für Cyberkriminelle zu einem attraktiven Ziel geworden. Angriffe auf ihre IT-Systeme registrierten im Jahr 2015 gut zwei Drittel aller Industrieunternehmen. Die Mehrzahl der IT-Angriffe (85 Prozent) steht aber offenbar nicht im Zusammenhang mit den eingesetzten Cloud-Lösungen. So beklagen nur 15 Prozent der befragten Unternehmen Datensicherheitsvorfälle beim Einsatz von Public-Cloud-Lösungen, weitere 20 Prozent äußerten einen Verdacht.

Erfüllt Anbieter die Sicherheitsvorgaben?

Bei der Auswahl des Cloud-Anbieters müssen Unternehmen sich zunächst darüber klar werden, für welche Zwecke die Cloud verwendet werden soll. Dann können sie nach geeigneten Sicherheitsmaßnahmen suchen, empfiehlt das Bundesamt für Sicherheit in der Informationstechnik (BSI). Doch auch die Anforderungen an die Sicherheit nützen dem BSI zufolge wenig, wenn sich der Anbieter im Betrieb nicht an Sicherheitsvorgaben und -vorschriften hält. Zur Überprüfung und Eignung sollten Unternehmen laut BSI folgende Kriterien berücksichtigen:

  • Reputation (überprüfbare Referenzen)
  • Rankings oder Bewertungsmatrizen von (möglichst unabhängigen) Organisationen
  • Ist Cloud Computing das Kerngeschäft des Anbieters? Falls nicht, könnte es sein, dass der Cloud-Dienst rasch eingestellt oder von einem anderen Anbieter übernommen wird.
  • Welche Zugriffe durch den Diensteanbieter oder Dritte werden erlaubt oder sind möglich?
  • An welchen Standorten werden die Informationen verarbeitet und gespeichert?
  • Welches geltende Recht liegt einem Vertrag zugrunde, welchen rechtlichen Rahmenbedingungen unterliegt der Anbieter?
  • Angabe der Subunternehmen zur Service-Erbringung um Abhängigkeiten des Cloud-Anbieters beurteilen zu können.

Auf Zertifizierungen achten

Oft reicht es nicht aus, sich auf die Sicherheitsstandards zu verlassen, die sich die Anbieter selbst auferlegt haben. Unternehmen sollten sich daher bewusst sein, welche Sicherheitsanforderungen der Cloud-Anbieter erfüllen muss und ob er das auch durch entsprechende Zertifizierungen nachweisen soll. Vorsicht: Nicht alle Cloud-Anbieter müssen offenlegen, welche Eingriffsmöglichkeiten staatliche Stellen oder andere Dritte auf die Kundendaten haben. Laut BSI ist dies bei globalen Clouds, in denen die Daten über alle Kontinente verteilt sind, ein schwieriges Unterfangen. Das Bundesamt rät daher dazu, einen Cloud-Anbieter zu wählen, bei dem an dieser Stelle Klarheit herrscht.

Einhaltung rechtlicher Bestimmungen

Zu Aufmerksamkeit rät das BSI auch bei personenbezogenen Daten: Unternehmen, die die Cloud nutzen und diese Daten  erheben, verarbeiten oder nutzen, müssen alle datenschutzrechtlichen Bestimmungen sowie weitere Compliance-Regeln einhalten. Dies können Anforderungen etwa aus dem Telekommunikationsgesetz (TKG), der Abgabenordnung (AO) bei der Verarbeitung steuerrechtlicher Daten, dem Handelsgesetzbuch (HGB) bei der Verarbeitung buchführungsrelevanter Daten und dem Strafgesetzbuch sein. In allen Fällen gilt: Wer personenbezogene Daten in einer Cloud verarbeitet, muss sicherstellen, dass der jeweilige Cloud-Anbieter diese Daten gemäß der genannten Vorschriften und Gesetze behandelt.

Dieser Artikel erschien ursprünglich auf Digitales-Wirtschaftswunder.de, dem Themenblog der QSC AG

Beitrag bewerten
Drucken

Schreibe einen Kommentar

Deine E-Mail-Adresse wird nicht veröffentlicht. Erforderliche Felder sind mit * markiert.

*

Um die Diskussionsqualität zu wahren, veröffentlichen wir nur noch Kommentare mit nachvollziehbarem Vor- und Nachnamen sowie authentischer E-Mail-Adresse. Bitte beachten Sie zudem unsere Social Media Guidelines.