Cloud-Computing-Services sicher nutzen

• Home
• Magazin
• Know How
• IT-Security Themen & Trends

Rüdiger Kolp ist Experte für On-Demand-Konzepte und Mitbegründer sowie Geschäftsführer des System- und Beratungshauses circular Informationssysteme GmbH.

Wir sprachen mit Rüdiger Kolp über die Chancen und Risiken des Cloud Computing und darüber, wie sich Sicherheitslücken schließen lassen.

1. Herr Kolp, als Experte für On-Demand-Konzepte beobachten Sie den Markt sehr genau. Welche Trends zeichnen sich derzeit im Bereich Cloud Computing ab?

Momentan sehen wir mehrere Trends. So zeigt sich schon heute, dass die Anzahl der Anbieter von Cloud-Computing-Lösungen in den nächsten Jahren zunächst stark wachsen wird und dann eine Konsolidierungsphase beginnt. Zunehmend bauen die großen Unternehmen ihre eigene Cloud auf. Ein weiterer Trend ist, zukünftig vermehrt eigenentwickelte, komplexe Applikationen per Cloud Computing zur Verfügung zu stellen. Darüber hinaus wird sich das Nutzerverhalten wandeln – vom Desktop zum Browser als zentralem Arbeitsmittel.

Ungeachtet dieser Trends bleiben die Gründe, warum sich Unternehmen für Cloud Computing und damit für die Auslagerung von Anwendungen entscheiden, die gleichen: Kosten reduzieren, Verfügbarkeiten erhöhen und sich mehr auf das Kerngeschäft konzentrieren.

2. Unternehmen sind branchenübergreifend skeptisch gerade in Bezug auf die Sicherheit der webbasierten Anwendungen. Wo sehen Sie noch Schwachstellen?

Sicherheitsbedenken und eine mögliche Verletzung gesetzlicher Richtlinien sind tatsächlich die Hauptgründe, warum Cloud Computing noch keine Verbreitung gefunden hat. Denn für viele Unternehmen ist nicht eindeutig nachvollziehbar, wo ihre Daten gespeichert werden und wer eventuell darauf zugreifen kann. Hier sind die Beauftragten für IT-Governance gefordert, Unklarheiten und mögliche Risiken zu erkennen und auszuschalten sowie die Einhaltung der Compliance-Richtlinien sicherzustellen.

3. Wie lassen sich die Risiken eindämmen?

Grundsätzlich gilt: Sicherheitslösungen, die auf die individuellen Anforderungen zugeschnitten sind, bieten einen hohen Schutz vor Risiken. Gut beraten ist daher, wer neben der finanziellen und rechtlichen gerade auch die technische Seite bei der Umsetzung eines Cloud-Computing-Konzepts berücksichtigt. So sollten beispielsweise Lösungen wie Netzwerkanalysesysteme eingesetzt werden, die die Gefahren schnell erkennen und ausschalten. Darüber hinaus lassen sich einzelne Bedrohungen in Szenarien simulieren und wirkungsvolle Gegenmaßnahmen entwickeln.

4. Angenommen, ein Unternehmen plant, ein Cloud-Computing-Konzept umzusetzen. Was steht vor Projektbeginn ganz oben auf der To-do-Liste?

Zu den wichtigsten Aufgaben vor Projektstart gehört es, die geschäftskritischen Anwendungen zu definieren. Denn sie bilden das Herzstück eines Unternehmens und sollten aus Sicherheitsgründen auch im Haus bleiben.

5. Worauf sollten Unternehmen bei einem Vertragsabschluss achten?

Kauft ein Unternehmen seine Leistungen nach Bedarf ein, ist darauf zu achten, dass die Technik der verschiedenen Vertragspartner miteinander harmoniert. Nur so lassen sich die definierten Sicherheitsstandards herstellerübergreifend einhalten. Gibt es von vornherein nur einen Vertragspartner, der wiederum mit Subunternehmern zusammenarbeitet, muss feststehen, wer letztlich die Daten speichert.

6. Welche Praxistipps geben Sie Unternehmen mit, wenn sie ein Cloud-Computing-Konzept erarbeiten?

Jede Lösung sollte in das bestehende Sicherheitskonzept integriert und entsprechend konfiguriert werden. Dadurch lassen sich Wechselwirkungen zwischen Sicherheitstechnologien vermeiden. Zudem müssen technische Lösungen in der Lage sein, nicht nur den Angriff von Außen auf das Unternehmensnetzwerk zu erkennen und abzuwehren, sondern auch unberechtigte Aktionen innerhalb des Netzwerks selbst zu identifizieren und zu unterbinden. So lässt sich beispielsweise verhindern, dass Hacker auf sensible Geschäftsdaten zugreifen oder Mitarbeiter unbefugt Dokumente öffnen und bearbeiten. In einem umfassenden Cloud-Computing-Konzept spielt auch der Serverstandort eine wichtige Rolle. Im Ausland gelten oft andere Datenschutzregeln. Deutsche Unternehmen sollten daher zunächst klären, in welchem Land die Server stehen, auf denen ihre Daten gespeichert werden.

7. Wie sichern sich Unternehmen bei einem IT-Notfall ab?

Unternehmen sollten vertraglich genau fixieren, was passiert, wenn nicht genügend Speicherkapazität zur Verfügung gestellt wird oder ein IT-Notfall eintritt. Installiert ein Unternehmen eine Lösung ohne die geeignete, auf die Kundenanforderungen abgestimmte Konfiguration, schafft das nur eine Scheinsicherheit, die erst im Schadensfall sichtbar wird. Auch ist nicht immer gewährleistet, dass in Cloud-Umgebungen ausgelagerte Programme die für Verschlüsselung und Authentifizierung benötigten Zufallszahlen generieren können. Das sollte unbedingt im Vorfeld geklärt werden.