Aus allen Wolken: Datensicherheit in der Cloud

Die Enthüllungen der NSA-Affäre haben das Vertrauen in die Sicherheit der Speicherung von Unternehmensdaten in der Cloud massiv erschüttert. Diese neue Einschätzung ist nicht immer gerechtfertigt - es herrscht ein differenziertes Bild.

Für einige Anbieter von Cloud-Services könnte sich die neue Skepsis als eine massive Wachstumsbremse erweisen.

Wie ist es um die Sicherheit meiner Daten bestellt? Diese Frage beschäftigt seit Monaten die IT-Verantwortlichen vieler deutscher Unternehmen. Sie waren dem Trend der vergangenen Jahre gefolgt und hatten ihre Terabyte-großen Datenbestände nicht länger auf teuren firmeneigenen Servern abgelegt, sondern kostengünstig in der angemieteten Cloud. Nun wurde für sie mit den Enthüllungen um die Machenschaften des US-Geheimdienstes NSA und seines britischen Pendants GHCQ ein Alptraum wahr. Plötzlich steht das Thema Industriespionage ganz oben auf der Agenda. Entsprechend rasch sank innerhalb kürzester Zeit das Vertrauen in die Datenwolken.

Rückläufiges Vertrauen

Waren laut einer aktuellen Untersuchung des Meinungsforschungsinstituts Allensbach im Jahr 2012 von 1.500 Befragten noch 45 Prozent bereit, ihre Daten bei der Deutschen Telekom in einer Cloud speichern zu lassen, so sind es aktuell nur noch 39 Prozent. „In der Tat stellen die Spähattacken der NSA eine neue Dimension dar“, glaubt Werner Grohmann. „Vor den Enthüllungen von Edward Snowden galten insbesondere Kriminelle aus Asien als Gefahr, weil sie firmeninternes Wissen anzuzapfen versuchten. Jetzt aber stehen die Geheimdienste einer befreundeten Nation im Ruf, Unternehmen weltweit auszuhorchen“, so der Mitbegründer der Initiative „Cloud Services made in Germany“, die 2010 ins Leben gerufen wurde, um für mehr Rechtssicherheit beim Einsatz von Cloud-Computing-Lösungen zu sorgen. Erste Konsequenzen des NSA-Skandals: Bewerteten vor zwei Jahren gerade einmal sechs Prozent aller IT-Entscheider die Vereinigten Staaten als Ausgangspunkt für Bedrohungen, so schnellte die Zahl auf aktuell 26 Prozent hoch, so das Ergebnis einer Umfrage des Beratungsunternehmens Ernst & Young.

Comeback firmeneigener Rechenzentren

Für einige Anbieter von Cloud-Services könnte sich die neue Skepsis als eine massive Wachstumsbremse erweisen. Noch kürzlich erwartete der Branchendienst Gartner für das Jahr 2017 eine Verdoppelung des weltweiten Umsatzvolumens mit Cloud-Computing auf 200 Milliarden Dollar. Diese optimistische Prognose scheint sich nun als hinfällig zu erweisen. Die Stiftung Information Technology & Innovation hat im August einmal ausgerechnet, dass der NSA-Skandal den amerikanischen Cloud-Providern in den kommenden drei Jahren Geschäfte im Wert von bis zu 35 Milliarden Dollar verhageln könnte. Denn mit Hinweis auf den mangelnden Datenschutz begraben derzeit zahlreiche IT-Abteilungen ihre Pläne, externe Dienstleister in Anspruch zu nehmen, und bevorzugen wieder die firmeneigenen Rechenzentren.

Angriffspunkt Peripheriegeräte

Für den Experten Grohmann ergibt das nicht unbedingt Sinn: „Es gibt keine eindeutigen Antworten auf die Frage, ob meine Daten besser in der Cloud oder unternehmensintern aufgehoben sind, entscheidend ist in beiden Fällen ausschließlich die Qualität der sie schützenden Sicherheitsarchitektur.“ Gerade im Mittelstand herrschen mitunter sehr laxe Zustände, was den Datenschutz angeht. So sind viele hunderttausend Dienst-Smartphones oder -Tablets im Umlauf, die auch privat benutzt werden und Kriminellen problemlos den Zugriff auf sensible Firmeninterna ermöglichen. Den Fokus allein auf die Wolke als mögliche Datenlücke zu richten, erscheint vor diesem Hintergrund etwas eindimensional.

Richtige Auswahl der Dienstleister entscheidend

Im Mittelpunkt einer jeden Cloud-Strategie sollte immer eine Kosten-Nutzen-Rechnung stehen, und zwar nach folgender Formel: „Wie teuer wird für mich die Verwaltung meiner Daten, wenn ich eine eigene IT-Infrastruktur aufbaue, und ist es nicht vielleicht doch günstiger, auf externes Know-how und externe Kapazitäten zurückzugreifen?“ Gerade das Thema Datensicherheit kann sehr viel Zeit, Geld und personelle Ressourcen in Anspruch nehmen und ist deshalb für kleinere Unternehmen extern oftmals besser aufgehoben. „Empfehlenswert ist auf jeden Fall ein Blick auf die Referenzen“, rät Grohmann. „Dabei sollte die Aufmerksamkeit auf die Frage gerichtet sein, ob der Provider Kunden von vergleichbarer Größe oder aus ähnlichen Branchen wie das eigene Unternehmen betreut. Schließlich muss er in der Lage sein, ihr Geschäftsmodell zu verstehen.“

Fragwürdige Zugriffe

Wer mit seinen Daten in die Wolke gehen möchte, sollte immer einen Blick auf die Herkunft der Anbieter von Cloud-Services werfen. „Daten bei in den Vereinigten Staaten beheimateten Providern unterliegen der amerikanischen Rechtsprechung, und der nach dem 9. September 2001 beschlossene Patriot Act gibt den Regierungsstellen dort die Möglichkeit des unmittelbaren Zugriffs“, weiß Grohmann zu berichten. „Anders dagegen die Rechtslage für deutsche Cloud-Anbieter. Für sie gelten ausschließlich die hiesigen Datenschutzbestimmungen. Informationen dürfen nur nach einem Gerichtsbeschluss weitergegeben werden.“ NSA & Co. können also auf ganz legalem Weg praktisch alle Daten eines deutschen Unternehmens ausspähen, die bei Google, Apple oder Microsoft gespeichert sind.

Europäische Anbieter auf dem Sprung

Was jenseits des Atlantiks der Branche nun Sorgen bereitet, erfreut die europäischen und asiatischen Wettbewerber. Denn aufgrund dieser Situation rechnen sie damit, dass ihr Marktanteil in Sachen Cloud-Services deutlich zulegen wird. Gerade hierzulande setzt man in Zeiten großer Unsicherheit deshalb verstärkt auf das seit 2005 existierende Gütesiegel IT-Security made in Germany und umfangreiche Zertifizierung. Darüber hinaus hat der NSA-Skandal auch eine positive Seite, weil viele Unternehmen endlich das Thema Datensicherheit offensiver angehen als früher. Der Verband Bitkom schätzt, dass die erwartete Umsatzsteigerung der IT-Sicherheitsindustrie von fünf Prozent auf rund 3,3 Milliarden Euro aufgrund der NSA-Diskussion deutlich übertroffen wird.

Cloud-Services: „Unternehmen entdecken Hybridlösungen“

Ein Interview mit Werner Grohmann, Mitbegründer der Initiative „Cloud Services made in Germany“.

Die Abhörmaßnahmen des US-Geheimdienstes NSA sowie zahlreiche Sicherheitspannen in jüngster Zeit lassen bei vielen Entscheidern die Frage aufkommen, ob es überhaupt ratsam ist, seine Daten in einer Cloud abzulegen. Sind diese Bedenken berechtigt?

GrohmannWie oft bei so emotional in der Öffentlichkeit diskutierten Themen liegt die Antwort irgendwo in der Mitte. Egal, ob Daten sich in einer Cloud befinden oder unternehmensintern verwaltet werden, entscheidend ist in beiden Fällen ausschließlich die Qualität der sie schützenden Sicherheitsarchitektur. In der Tat aber stellen die Spähattacken eine neue Dimension dar. Vor den Enthüllungen von Edward Snowden galten insbesondere Kriminelle aus Asien als Gefahr, weil sie firmeninternes Wissen anzuzapfen versuchten. Jetzt aber stehen die Geheimdienste einer befreundeten Nation im Ruf, Unternehmen weltweit auszuhorchen.

Egal, ob Daten in einer Cloud oder unternehmensintern verwaltet werden, entscheidend ist ausschließlich die Qualität der sie schützenden Sicherheitsarchitektur.
Werner Grohmann

Was sollten die Cloud-Anbieter unternehmen, um die Datensicherheit zu erhöhen und das Vertrauen wiederherzustellen?

GrohmannZum einen sollten die Provider entsprechender Leistungen ganz klar darauf hinweisen, dass sie sich an die Vorgaben des gesetzlichen Datenschutzes halten und über vernünftige Sicherheitssysteme verfügen. Zum anderen kann man ihnen nur dazu raten, ein Höchstmaß an Transparenz zu ermöglichen. Der Kunde muss ganz genau in Erfahrung bringen können, was mit seinen Daten passiert.

Ist es sinnvoll, bei der Auswahl der Cloud-Anbieter auf die Herkunft zu achten?

GrohmannAuf jeden Fall hat der NSA-Skandal zu einer Neubewertung dieses Aspektes geführt. Denn Daten, die bei in den Vereinigten Staaten beheimateten Providern gespeichert sind, unterliegen der amerikanischen Rechtsprechung, und der nach dem 9. September 2001 beschlossene Patriot Act gibt den Regierungsstellen dort die Möglichkeit des unmittelbaren Zugriffs. Anders dagegen die Rechtslage für deutsche Cloud-Anbieter. Für sie gelten ausschließlich die hiesigen Datenschutzbestimmungen. Informationen dürfen nur nach einem Gerichtsbeschluss weitergegeben werden. Aber auch die bessere Verfügbarkeit von Supportleistungen spricht eindeutig für einen Provider im eigenen Land.

Viele Unternehmen sind der Überzeugung, dass ihre Daten sicherer sind, wenn sie diese nicht in der Cloud ablegen. Handelt es sich dabei um einen Irrglauben oder hat diese Annahme ihre Berechtigung?

GrohmannIch habe schon Unternehmen gesehen, wo sich in den Server-Räumen der Getränkeautomat befand oder wo die Liste aller firmeninternen Passwörter direkt neben dem Speiseplan der Kantine offen aushing. Wer dann noch glaubt, dass seine Daten nur im eigenen Hause sicher sind, irrt gewaltig. Wichtig ist immer eine Kosten-Nutzen-Rechnung, und zwar nach folgender Formel: Wie teuer kommt mich die Verwaltung meiner Daten zu stehen, wenn ich eine eigene IT-Infrastruktur aufbaue, und ist es nicht vielleicht doch günstiger, auf externes Know-how und externe Kapazitäten zurückzugreifen?

Hat der NSA-Skandal nicht auch etwas Positives bewirkt, weil sich nun viele Unternehmen ernsthafter mit der Frage ihrer Datensicherheit beschäftigen als früher?

GrohmannSelbstverständlich steht die Sicherheitsfrage jetzt verstärkt im Raum und viele Unternehmen bemühen sich angesichts der aktuellen Diskussionen um ein höheres Maß an Sicherheit. Dabei entdecken sie immer mehr die sogenannte Hybridlösung. In diesem Modell verlagern Firmen nur einen Teil ihrer Daten in die Cloud und entschließen sich, besonders wichtige Informationen unter strengen Sicherheitsauflagen weiter im eigenen Haus zu verwalten. Auf was sollten Unternehmen ganz konkret achten, wenn sie sich für eine Cloud entschieden haben? Grohmann: Empfehlenswert ist auf jeden Fall ein Blick auf die Referenzen. Dabei sollte die Aufmerksamkeit auf die Frage gerichtet sein, ob der Provider Kunden von vergleichbarer Größe oder aus ähnlichen Branchen wie das eigene Unternehmen betreut. Schließlich muss er in der Lage sein, ihr Geschäftsmodell zu verstehen. Zudem kann es nicht schaden, die Infrastruktur eines Cloud-Anbieters erst einmal einem Test zu unterziehen.

Zur Person

...ist Mitbegründer der Initiative „Cloud Services made in Germany". Der Unternehmensberater beschäftigt sich bereits seit Ende der 90er Jahre mit dem Thema "Alternative Formen der Software-Nutzung". Auf Grundlage umfassender Marktanalysen berät er Software-Anbieter bei der Entwicklung und Markteinführung eigener SaaS-Angebote sowie Anwenderunternehmen bei der Auswahl und Implementierung von SaaS-Lösungen. Im Jahr 2007 erschien sein Fachbuch "Von der Software zum Service", das mittlerweile in der vierten Auflage als eBook erhältlich ist. Darüber hinaus ist Werner Grohmann Herausgeber des SaaS-Forums (www.saasforum.net).

„Vertrauen in die Cloud zurückgewinnen“

Ein Interview mit dem IT-Security-Spezialisten Benedikt Heintel von Altran.

Herr Heintel, der Markt für Cloud-Dienstleistungen wächst zweistellig. Die Berichterstattung über PRISM und Tempora erzeugte allerdings den Eindruck, dass es um die Sicherheit in der Cloud nicht gut bestellt ist. Wie ist Ihre Einschätzung?

HeintelIn der Tat hat der Skandal um die Spähprogramme die Akzeptanz der ausgelagerten Datenverarbeitung insbesondere in den USA, aber auch in Deutschland gebremst und für mehr Skepsis gesorgt. Bislang gibt es noch keinen Hinweis darauf, dass bundesdeutsche Geheimdienste deutsche IT-Dienstleister ausspähen. Jedoch kann ich nicht ausschließen, dass ausländische Geheimdienste deutsche Firmen anzapfen. In Deutschland hat der Datenschutz aufgrund unserer Historie größere Bedeutung als im angelsächsischen Raum. Durch die Enthüllungen von Edward Snowden wissen wir, dass beim amerikanischen Überwachungsprogramm PRISM fast alles aufgezeichnet und ausgewertet wird. Allein dies wäre in Deutschland illegal, denn eine konkrete Überwachung bedarf hier einer richterlichen Verfügung oder der Sachlage einer „Gefahr im Verzug“.

Die Zahl der Nutzer, die über mobile Endgeräte auf Cloud-Dienste zugreifen, wächst. Vergrößert dieser Trend potenzielle Angriffspunkte?

HeintelDie mobilen Endgeräte selbst sind gar nicht so kritisch – auch die Betriebssysteme sind relativ sicher, nicht zuletzt wegen ihrer geschlossenen Systeme. Ein wesentlich größeres Problem ist die teilweise mangelnde Qualität der Software: Mitarbeiter, die sich auf ihre Geschäfts-Smartphones schnell oder schlecht programmierte Apps privat herunterladen, bedrohen die IT-Sicherheit und die Integrität ihrer Unternehmen. Vielfach haben sich die Entwickler nicht die Mühe gemacht, Sicherheit in ihre Programme zu integrieren, so dass Smartphones dann über solche Apps leicht angreifbar werden.

Tatsächlich ist der Mensch mittlerweile der wichtigste Angriffspunkt für Hacker, denn er ist wesentlich leichter zu täuschen als Maschinen.
Benedikt Heintel

Könnten die seltenen Updates der Betriebssysteme der Smartphones ein Problem sein?

HeintelIn der Tat bringen die Hersteller ihre Smartphones häufig mit großartigen Versprechungen auf den Markt, stellen dann aber bereits nach wenigen Monaten die Versorgung mit Updates für das Betriebssystem ein. Apple bildet hier eine rühmliche Ausnahme, da hier Betriebssystem und Hardware aus einer Hand kommen. Alle anderen Anbieter haben natürlich kein großes Interesse daran, Softwareupdates an die spezifische Hardware anzupassen – da sich damit kein Geld verdienen lässt. Im Endeffekt heißt dies, dass vielfach nur Experten ihre Betriebssysteme mit Hilfe eines Root-Zugriffs selbstständig auf dem aktuellen Stand halten können – allerdings macht dieser den Angriff auf die Smartphones einfacher.

…womit wir beim Faktor Mensch in der IT-Sicherheit wären.

HeintelTatsächlich ist der Mensch mittlerweile der wichtigste Angriffspunkt für Hacker, denn er ist wesentlich leichter zu täuschen als Maschinen. Beim sogenannten Social Engineering versuchen Hacker zwischenmenschliche Beziehungen zu manipulieren und darüber an vertrauliche Informationen zu kommen – entweder im realen Leben oder über Chats und soziale Netzwerke. Damit haben Angreifer bereits tausendfach Erfolge erzielt: E-Mails mit Gewinnversprechen, Zahlungsaufforderung oder Androhung strafrechtlicher Verfolgung erzeugen Gefühle wie Freude oder Angst. Sind sie gepaart mit der Aufforderung, schnell zu handeln, geben viele Menschen dann schnell nach.

Was empfehlen Sie Unternehmen?

HeintelUnternehmen benötigen Strategien dafür, Informationssicherheit im Unternehmen zu verankern. Dazu gehört zum einen ein Informationsmanagementsystem (ISMS), zum anderen die Schulung der Mitarbeiter. Im Unternehmen sollte bei den Mitarbeitern ein kritisches Bewusstsein für die Gefahren der Technologie entwickelt und für einen misstrauischen Umgang mit neuer und unbekannter IT geworben werden – insbesondere, wenn diese nicht vom Unternehmen empfohlen wurde.

Nach PRISM und Tempora glauben signifikant weniger Deutsche an den vertrauenswürdigen Umgang mit den Daten in der Cloud. Wie können Unternehmen dieses Vertrauen zurückgewinnen?

HeintelEine Reihe von Cloud-Betreibern hat die Initiative „Cloud Services Made in Germany“ gegründet. Allerdings hat diese Initiative für mich nur geringe Bedeutung, da die Unternehmen sich zwar einerseits verpflichten, ihren Hauptsitz in Deutschland zu haben und ausschließlich nach deutschem Recht zu agieren, andererseits aber nicht klar ist, welche Sicherheitsstandards sie garantiert einhalten. Wichtiger wäre, dass sich die Anbieter auditieren lassen und Standards wie beispielsweise die internationale IT-Sicherheitsnorm ISO 27001 erfüllen. Außerdem wären vertrauensbildende Maßnahmen denkbar, etwa indem man mögliche Cloud-Kunden einlädt und aufzeigt, wie Sicherheit bei dem Anbieter gelebt wird.

Sind die Unternehmen in Deutschland für die Nutzung von Cloud-Diensten vorbereitet?

HeintelGroßkonzerne sind in vielen Fällen schon gut gerüstet. Vor allem bei den Mittelständlern besteht hier jedoch enormer Nachholbedarf. Es müssten dringend Maßnahmen ergriffen werden, wenn das intellektuelle Kapital vieler „Hidden Champions“ auch in Zukunft vor organisierter internationaler Cyber-Kriminalität sicher sein soll. Neben den Schulungen gilt es auch dringend, ein IT-Sicherheitsmanagement einzuführen – insbesondere dann, wenn die Organisation mit mobilen oder Heimarbeitsplätzen arbeitet. Aufgrund der dramatischen Unterschätzung der IT-Kriminalität sehe ich hier sogar Teile des wichtigen deutschen Mittelstandes in Gefahr.

Wie könnte es im nächsten Schritt weitergehen, um die Sicherheit in der IT zu erhöhen?

HeintelMan könnte bei den kleinen und alltäglichen Dingen ansetzen: Gerade die Sicherheit im E-Mail-Verkehr betrifft fast jeden. Derzeit ähnelt eine verschickte E-Mail einer Postkarte. Die enthaltenen Informationen können mit ein wenig technischem Verständnis ohne Weiteres mitgelesen werden. Abhilfe schafft hier der digitale Brief, also die verschlüsselte E-Mail. Im Zweifel sollte die Bundesregierung tätig werden und jedem Deutschen ein digitales Zertifikat ausstellen. Unternehmen können das selbstverständlich auch selbst in die Hand nehmen. Prinzipiell ist es nämlich sehr einfach, eine E-Mail zu verschlüsseln. Dafür müsste allerdings jeder Mitarbeiter ein Zertifikat besitzen. Hierbei handelt es sich um eine digitale Bestätigung der Identität. Hier anzusetzen wäre definitiv ein erster Schritt zu umfassender IT-Sicherheit. Die digitale Identität kann darüber hinaus auch für die Authentifizierung gegenüber Cloud-Diensten eingesetzt werden.

Zur Person

...arbeitet als Lead Consultant in der Rolle als Projektmanager beim globalen Technologieberatungsunternehmen Altran. Sein Schwerpunkt liegt im Bereich Informationssicherheit sowie Datenschutz und Compliance. Er hilft Unternehmen dabei, eine sichere Infrastruktur aufzubauen.

Weiterführende Links