Das Unternehmermagazin aus der Handelsblatt Media Group

Creditreform

Trotz Abhörskandal und Spionageaktivitäten setzen deutsche Mittelständler weiterhin auf Cloud-Services. Denn wer IT in externe Rechenzentren auslagert, macht sein Unternehmen flexibel, spart Zeit und Kosten. Doch wie lassen sich die Risiken der Datenwolke umgehen? Peter Rost, Leiter Produktmanagement beim Sicherheitsexperten Rohde & Schwarz SIT, gibt „Creditreform“-Lesern hierzu Tipps.

Ob beim Filesharing via Drop-Box, ob mit SaaS-Systemen für das Customer-Relationship-Management oder bei der ausschließlichen Nutzung externer IT: Online-Dienste legen vertrauliche Unternehmensdaten im World Wide Web ab. Und so können diese auch schnell in die falschen Hände geraten.

„Unternehmen sollten sich bei jeder Online-Anwendung systematisch gegen Datendiebstahl absichern“, erläutert IT-Experte Peter Rost. „Ausgangspunkt ist dabei eine genaue Analyse der Geschäftsprozesse im Hinblick auf die Tragweite des Missbrauchs der Daten.“ Es müsse klar werden, an welchen Stellen Cloud-Dienste genutzt werden dürfen und welche Daten generell zu sensibel für die Speicherung in der Cloud sind.

Die notwendige Technologie dazu steht längst zur Verfügung – und zwar „Made in Germany“, also nach höchsten Datenschutzstandards entwickelt. Lesen Sie passend dazu, warum das der deutsche IT-Wirtschaft große Chancen bietet.

Hier einige Ratschläge für Sie:

Aktuelle Sicherheitstechnik

Die meisten Unternehmen wissen längst: Hochsensible Daten, etwa aus den erreichen Forschung und strategische Planung, gehören nicht in die Cloud. Und bei personenbezogenen Daten schränkt bereits der Datenschutz die Nutzung von Cloud-Diensten ein. Viele Unternehmen verzichten aus einem gesunden Sicherheitsgedanken heraus allerdings auf Vorteile, die ihnen die Online-Dienste bieten. „Der Webzugriff auf Vertriebs- und Produktdaten ist beispielsweise ein wichtiger Wettbewerbsfaktor für Unternehmen“, so Rost. „Mit den richtigen Sicherheitsvorkehrungen ist die Nutzung der Cloud für solche Daten ohne Risiko möglich.“

Behörden und sicherheitsbetreute Unternehmen setzen seit Jahren auf Hochsicherheitslösungen zum Schutz von Daten, die als „Verschlusssache“ gekennzeichnet sind, und verhindern so den unbefugten Zugriff auf vertrauliche Informationen. „Was Behörden zur Verfügung steht, können auch Unternehmen zum Schutz ihrer Daten in der Cloud nutzen“, so Rost. „Mit weniger Aufwand als viele denken, kann auch ein Hidden Champion dieses Sicherheitsniveau erreichen – und damit seinen globalen Wettbewerbsvorsprung absichern.“

Public vs. Private Cloud

Cloud ist nicht gleich Cloud. Grundsätzlich ist zu unterscheiden zwischen zwei Varianten: einer „Public Cloud“ und einer „Private Cloud“.

• Eine „Public Cloud“ ist eine öffentlich zugängliche Infrastruktur. „Sie eignet sich besonders für junge, stark wachsende Unternehmen“, erklärt Rost. Denn die Public-Cloud-Dienste sind hochgradig skalierbar und können kurzfristig an den aktuellen Nutzerbedarf angepasst werden. Gemietet und gezahlt wird einzig die gerade benötigte Leistung. Der Nachteil: Die Unternehmensdaten sind gemeinsam mit denen anderer Cloud-Nutzer auf den Provider-Systemen gespeichert. Die Qualität der Mandantentrennung ist deshalb ein wichtiger Faktor für die Sicherheit der Daten. „Ist die Trennung nicht hundertprozentig gewährleistet, können selbst kleine Software-Fehler sensible Daten für andere Nutzer sichtbar machen“, so Rost. „Vermeiden lässt sich das, indem man auf eine entsprechende Zertifizierung beim Anbieter achtet.“

• In einer „Private Cloud“ wird die IT exklusiv für nur eine Institution betrieben. So wird ein deutlich höheres Sicherheitsniveau erreicht. Sie kann von dieser selbst oder einem externen Anbieter organisiert und geführt werden. Rost empfiehlt: „Ein Private Cloud-Dienst bietet sich besonders für Großunternehmen mit mehreren Standorten an, die dadurch globale Synergien nutzen können.“

Verschlüsselte Übertragung

Egal ob „private“ oder „public“: Auf dem Transport der Daten hin zur Cloud sind die Daten besonders gefährdet. Um diese vor einem unberechtigten Zugriff zu schützen, sollte unbedingt eine vom Bundesamt für Sicherheit in der Informationstechnik (BSI) zertifizierte oder zugelassene Verschlüsselung eingesetzt werden. „Die Verschlüsselung sollte in einem separaten Gerät erfolgen. Denn nur dann bleibt sie im Falle eines Angriffs auf die Netzwerktechnik unangetastet“, so Rost.

Regelwerk und Firewall

Für die sichere Nutzung von öffentlichen Online-Diensten ist zusätzlich die Festlegung einer Sicherheits-Policy entscheidend. Es muss klar sein, wer welche Dienste nutzen darf und welche Dateien in die Cloud geladen werden dürfen. Es empfiehlt sich, Nutzergruppen einzurichten. Rost: „Um unbeabsichtigten Datenverlust auszuschließen, könnte beispielweise dem Vertrieb der Gebrauch eines Filesharing-Dienstes für die Kundenkommunikation gestattet sein, der Entwicklungs-Abteilung aus Sicherheitsgründen hingegen nicht.“ Die automatisierte Umsetzung solcher Regelwerke ist mit moderner Firewall-Technik bereits möglich. „Unsere Next Generation Firewall erkennt nicht nur wer am Rechner sitzt und welche Internetseite er aufrufen will, sondern auch, was er dort vor hat.“ Das Lesen von Facebook-Seiten kann zum Beispiel durch die Firewall zugelassen werden – das Einstellen von Nachrichten aber nicht.

Zusätzliche Sicherheitsinstanz

Dabei richten sich aktuelle Cyberangriffe nicht primär von außen gegen die Unternehmensfirewall. „Schafft es ein Virus einmal an der Firewall vorbei in das Firmennetzwerk, etwa auf einem infizierten Notebook, können in Sekundenschnelle alle verbundenen Rechner infiziert und aus dem Internet ferngesteuert werden“, betont Rost. „Eine normale Firewall reicht hier nicht aus, da sie weder die genutzten Cloud-Anwendungen verlässlich erkennen noch erlaubte von verbotenen Diensten unterscheiden kann.“ Daher sollte eine zusätzliche Sicherheitsinstanz implementiert werden. Hier hilft eine Firewall mit permanent laufendem Protokolldekoder. Die Technologie prüft den kompletten Datenfluss von und zum Internet. Sie bündelt alle Sicherheitschecks an einer zentralen Stelle und umfasst neben Malware-Schutz und Webfilter auch die Applikations-Erkennung und die Prüfung nutzerspezifischer Zutritts- und Zugriffsrechte. Selbst differenzierte Sicherheitsrichtlinien können so automatisiert eingehalten und jederzeit flexibel aktualisiert werden.

Seriöse Anbieter

Neben einer geeigneten Sicherheitstechnologie müssen aber auch bei der Auswahl des Cloud-Anbieters einige Kriterien berücksichtigt werden. Entscheidend ist die Transparenz. „Ganz wichtig ist es, von Anfang an vollständige Auskunft zu Datenschutz, System-Architektur und Notfallmanagement vom Cloud-Anbieter zu erhalten“, so Rost. Erlauben die Datenschutzrichtlinien des Anbieters beispielsweise die Weitergabe von Instanzen und Daten an einen Subunternehmer, unterliegt dieser möglicherweise anderen Gesetzen als der eigentliche Vertragspartner. Wird ein Cloud-Anbieter mit Sitz in Deutschland beauftragt, unterliegt dieser einem äußerst strengen Datenschutz. Und auch EU-Anbieter weisen ein höheres Schutzniveau auf, als es in vielen anderen Teilen der Welt gefordert wird. Damit dieses Niveau nicht unterlaufen wird, müssen Unternehmen vertraglich sicherstellen, dass sich auch die Cloud-Subunternehmer daran halten.

Weitere Fragen

Auch wenn Cloud-Anbieter in der Regel über eine hochprofessionelle Ausfallsicherheit und ein ausgefeiltes Notfallmanagement verfügen: Einige Fragen muss sich der Cloud-Nutzer dennoch stellen:

• Welche Maßnahmen sorgen bei einem Stromausfall oder anderen lokalen Infrastruktur-Störungen für ein schnelles Recovery?

• Und was geschieht mit den Cloud-Dateien, wenn der Anbieter nicht länger geschäftsfähig ist?