Die Cloud ist im Kommen: Laut „Cloud Monitor 2018“ sind bereits 66 Prozent der Unternehmen in Deutschland Cloud-Anwender. Weitere wollen nachziehen. Als Hürde auf dem Weg in die Cloud nehmen Unternehmer vor allem die Sicherheit wahr. Was ist dran an den Bedenken?
Unter Cloud Computing versteht man allgemein, dass Unternehmen IT-Leistungen bedarfsgerecht nutzen. Zu den Leistungen gehören Software, Speicherplatz, Rechenleistung, Infrastruktur, Plattformen etc. Die meisten Unternehmen betreiben laut Cloud Monitor 2018 das Cloud Computing intern als Private Cloud (51 Prozent) und 31 Prozent der Unternehmen setzen auch das Potenzial der öffentlichen Cloud ein, der Public-Cloud. Der Anteil an der Public Cloud wächst mit dem steigenden Vertrauen.
Datenschutz und Datensicherheit in der Cloud
Oftmals werden die Begriffe Datenschutz und Datensicherheit verwechselt oder synonym gebraucht. Dabei versteht die Bundesbeauftragte für den Datenschutz und die Informationssicherheit (BfDI) unter Datenschutz, dass „jedem Bürger Schutz vor missbräuchlicher Datenverarbeitung, das Recht auf informationelle Selbstbestimmung und den Schutz der Privatsphäre“ zugesichert wird. Die Datensicherheit geht über die personenbezogenen Daten hinaus: So müssen beispielsweise auch Finanz- und Produktionsdaten, interne Statistiken und Strategiepapiere sowie Konstruktionspläne vor Missbrauch und Spionage geschützt werden. In ihnen liegen nicht unerhebliche Werte eines Unternehmens. Datenschutz und Datensicherheit haben jeweils zwei Ebenen: eine technische und eine organisatorische. Beide müssen unbedingt beachtet werden.
Bei Cloud Computing ist das bereits der Fall: Laut Cloud Monitor 2018 berichtet die Hälfte der Unternehmen von verbesserter Sicherheit durch die Public Cloud. „Unternehmen sehen die Sicherheit als entscheidenden Faktor bei der Wahl für einen Anbieter von Cloud Computing“, berichtet Marcus Zahirovic, Enterprise Architect bei SAP Deutschland. Dabei spielen die Sorge um Datendiebstahl, Datenverlust und eine unklare Rechtslage in der Cloud eine Rolle bei den Ängsten der Unternehmer.
Sicherheitskonzeption bei Cloud-Ausfällen
Neben den häufig genannten Gefahren kommt bei der Cloud-Nutzung eine weitere hinzu: Unternehmen können auf Daten nicht zugreifen. Die Ursache kann beim Internet-Provider, bei der internen IT, aber auch beim Cloud-Anbieter liegen. Wenn Unternehmen den Cloud-Anbieter gut ausgewählt haben, sollten auch sie sich intern detailliert auf den Einsatz der Cloud vorbereiten. Man sollte genau wissen:
- Welche Art von Daten sollen in der Cloud verarbeitet werden und dürfen diese laut Compliance in eine Cloud? Letzteres ist beispielsweise bei steuerlich relevanten Daten mit dem Finanzamt zu klären.
- Wird der Cloud-Einsatz durch rechtliche Rahmenbedingungen oder interne Richtlinien eingeschränkt?
- Ist die eigene IT in der Lage, Cloud-Dienste einzuführen und zu nutzen?
- Ist die Infrastruktur in und außerhalb des Unternehmens für die angestrebte Cloud-Nutzung ausgelegt? Hier sind Bandbreite und Zuverlässigkeit des Internets wichtig.
- Sind Daten risikoklassifiziert? Welcher Schaden würde bei Verlust, Veränderung oder Nicht-Verfügbarkeit entstehen? Unternehmen erfahren durch eine Risiko-Analyse, an welchen Stellen besondere Sicherheitsmaßnahmen notwendig sind.
Unternehmen sollten mit den Antworten einen aller Wahrscheinlichkeit nach bereits existierenden Sicherheits- und Risikoplan anpassen und beteiligte Personengruppen, Kommunikationsverbindungen sowie die IT-Systeme intern und extern beim Cloud-Anbieter erfassen. Dazu ist wichtig genau zu prüfen: An welchen Stellen und auf welchen Wegen könnten Cyberangriffe stattfinden? Dabei sind auch mögliche Passwort-Diebstähle an einzelnen Arbeitsplatzrechnern zu berücksichtigen, Verbindungsprotokolle und Verschlüsselungen sowie regelmäßige Sicherheits-Patches für Hard- und Software. Aus der Analyse lassen sich klare Anforderungen an das Cloud Computing ableiten.
Im Konzept werden auch Sicherheits-Maßnahmen beschrieben wie beispielsweise mit sicherheitsrelevanten Vorfällen umzugehen ist, welche Monitorings zu etablieren sind, wie Backup-Regelungen und Wiederherstellung von Daten beim Cloud-Anbieter aussehen, aber auch beim einzelnen Nutzer. Mit regelmäßigen Audits können Unternehmen überprüfen, ob alle beteiligten Seiten das Sicherheitskonzept einhalten.
Mehr Informationen zur Datensicherheit erhalten Unternehmen aller Branchen im Webinar „Sicherheit, Datenschutz und Compliance in der Cloud – wie werden Ihre Daten geschützt?“. Marcus Zahirovic, Enterprise Architect bei SAP Deutschland, erläutert das Sicherheitskonzept der SAP und die Leistungen des SAP Cloud Trust Centers.