BIT Magazin für effiziente Geschäftsprozesse

Cloud-Computing-Services
Sicherheit ist Thema Nr. 1

Wie steht es um die Chancen und Risiken bei CloudComputing? Wie lassen sich Sicherheitslücken schließen? Fragen an Rüdiger Kolp, Experte für On-Demand-Konzepte und Mitbegründer sowie Geschäftsführer des Systemund Beratungshauses Circular Informationssysteme GmbH.

Rüdiger Kolp, Geschäftsfüher, Circular Informationssysteme GmbH: „Sicherheitslösungen, die auf die individuellen Anforderungen zugeschnitten sind, bieten einen hohen Schutz vor Risiken.“

Herr Kolp, als Experte für On-Demand-Konzepte beobachten Sie den Markt sehr genau. Welche Trends zeichnen sich derzeit im Bereich Cloud-Computing ab?

Rüdiger Kolp: Momentan sehen wir mehrere Trends. So zeigt sich schon heute, dass die Anzahl der Anbieter von Cloud-Computing-Lösungen in den nächsten Jahren zunächst stark wachsen wird und dann eine Konsolidierungsphase beginnt. Zunehmend bauen die großen Unternehmen ihre eigene Cloud auf.

Ein weiterer Trend ist, zukünftig vermehrt eigenentwickelte, komplexe Applikationen per CloudComputing zur Verfügung zu stellen. Darüber hinaus wird sich das Nutzerverhalten wandeln – vom Desktop zum Browser als zentralem Arbeitsmittel. Ungeachtet dieser Trends bleiben die Gründe, warum sich Unternehmen für Cloud Computing und damit für die Auslagerung von Anwendungen entscheiden, die gleichen: Kosten reduzieren, Verfügbarkeiten erhöhen und sich mehr auf das Kerngeschäft konzentrieren.

Unternehmen sind branchenübergreifend skeptisch gerade in Bezug auf die Sicherheit der webbasierten Anwendungen. Wo sehen Sie noch Schwachstellen?

Kolp: Sicherheitsbedenken und eine mögliche Verletzung gesetzlicher Richtlinien sind tatsächlich die Hauptgründe, warum Cloud-Computing noch keine Verbreitung gefunden hat. Denn für viele Unternehmen ist nicht eindeutig nachvollziehbar, wo ihre Daten gespeichert werden und wer eventuell darauf zugreifen kann. Hier sind die Beauftragten für IT-Governance gefordert, Unklarheiten und mögliche Risiken zu erkennen und auszuschalten sowie die Einhaltung der Compliance-Richtlinien sicherzustellen.

Kolp: Grundsätzlich gilt: Sicherheitslösungen, die auf die individuellen Anforderungen zugeschnitten sind, bieten einen hohen Schutz vor Risiken. Gut beraten ist daher, wer neben der finanziellen und rechtlichen gerade auch die technische Seite bei der Umsetzung eines Cloud-Computing-Konzepts berücksichtigt. So sollten beispielsweise Lösungen wie Netzwerkanalysesysteme eingesetzt werden, die die Gefahren schnell erkennen und ausschalten. Darüber hinaus lassen sich einzelne Bedrohungen in Szenarien simulieren und wirkungsvolle Gegenmaßnahmen entwickeln.

Angenommen, ein Unternehmen plant, ein Cloud-Computing-Konzept umzusetzen. Was steht vor Projektbeginn ganz oben auf der Todo-Liste?

Kolp: Zu den wichtigsten Aufgaben vor Projektstart gehört es, die geschäftskritischen Anwendungen zu definieren. Denn sie bilden das Herzstück eines Unternehmens und sollten aus Sicherheitsgründen auch im Haus bleiben.

Worauf sollten Unternehmen bei einem Vertragsabschluss achten?

Kolp: Kauft ein Unternehmen seine Leistungen nach Bedarf ein, ist darauf zu achten, dass die Technik der verschiedenen Vertragspartner miteinander harmoniert. Nur so lassen sich die definierten Sicherheitsstandards herstellerübergreifend einhalten. Gibt es von vornherein nur einen Vertragspartner, der wiederum mit Subunternehmern zusammenarbeitet, muss feststehen, wer letztlich die Daten speichert.

Welche Praxistipps geben Sie Unternehmen mit, wenn sie ein CloudComputing-Konzept erarbeiten?

Kolp: Jede Lösung sollte in das bestehende Sicherheitskonzept integriert und entsprechend konfiguriert werden. Dadurch lassen sich Wechselwirkungen zwischen Sicherheitstechnologien vermeiden. Zudem müssen technische Lösungen in der Lage sein, nicht nur den Angriff von außen auf das Unternehmensnetzwerk zu erkennen und abzuwehren, sondern auch unberechtigte Aktionen innerhalb des Netzwerks selbst zu identifizieren und zu unterbinden. So lässt sich beispielsweise verhindern, dass Hacker auf sensible Geschäftsdaten zugreifen oder Mitarbeiter unbefugt Dokumente öffnen und bearbeiten. In einem umfassenden Cloud-Computing-Konzept spielt auch der Server-Standort eine wichtige Rolle. Im Ausland gelten oft andere Datenschutzregeln. Deutsche Unternehmen sollten daher zunächst klären, in welchem Land die Server stehen, auf denen ihre Daten gespeichert werden.

Wie sichern sich Unternehmen bei einem IT-Notfall ab?

Kolp: Unternehmen sollten vertraglich genau fixieren, was passiert, wenn nicht genügend Speicherkapazität zur Verfügung gestellt wird oder ein IT-Notfall eintritt.

Installiert ein Unternehmen eine Lösung ohne die geeignete, auf die Kundenanforderungen abgestimmte Konfiguration, schafft das nur eine Scheinsicherheit, die erst im Schadensfall sichtbar wird.

Auch ist nicht immer gewährleistet, dass in Cloud-Umgebungen ausgelagerte Programme die für Verschlüsselung und Authentifizierung benötigten Zufallszahlen generieren können. Das sollte unbedingt im Vorfeld geklärt werden.

Vielen Dank für dieses Gespräch, Herr Kolp.

(www.circular.de)

Kooperations Partner