Cloud? Mit Sicherheit!

Die digitale Transformation ist ohne Cloud-IT als Fundament nicht zu realisieren

 

Dennoch zögern einige Unternehmen immer noch mit dem Umstieg, da sie die Sicherheit von sensiblen Unternehmens-, Kunden-, Entwicklungs- und Produktdaten gefährdet sehen. Zu Unrecht, denn maximale Sicherheit in der Cloud ist längst machbar.

Fakt ist: In Deutschland setzen bereits knapp 50 Prozent aller Unternehmen Cloud Computing ein. Und nur für etwa ein Drittel ist die Nutzung der Technologie derzeit kein Thema. Das ist das Ergebnis einer repräsentativen Umfrage von KPMG und Digitalverband Bitkom unter deutschen Unternehmen. So dass sich die Schlussfolgerung des BITKOM „Cloud Computing wird Basistechnologie in vielen Unternehmen“ durchaus als plausibel bezeichnen lässt. Nur auf den ersten Blick einleuchtend ist hingegen die – man muss es beinahe so nennen – weiterhin trotzige Haltung des sich der Cloud verweigernden Drittels: Denn nach den Umfrage-Ergebnissen bremsen Sicherheitsbedenken eine intensivere Nutzung von Cloud Computing in der deutschen Wirtschaft aus.

Die Unternehmen befürchten einen unberechtigten Zugriff auf sensible Daten, Datenverlust und rechtliche Unsicherheiten – was jedoch mehr mit Vorurteilen denn mit belastbaren Argumenten zu tun hat. So genießt – ganz grundsätzlich gesprochen – das Thema Sicherheit bei den allermeisten Cloud-Anbietern schon aus Eigeninteresse einen hohen Stellenwert. Und Hand aufs Herz: welches Unternehmen hat denn, außer Konzernen, tatsächlich Ressourcen in der IT-Abteilung, die sich ausschließlich um Sicherheitsmechanismen kümmern?

Es scheint vielmehr so, dass die Firmenchefs eine typische und durchaus verständliche „Verlustangst“ haben. Weil in der Cloud ist es nun einmal so, dass die Daten den hiesigen Firmenserver verlassen. Aus Wertschöpfungsketten werden Wertschöpfungsnetze – und Netze sind breiter gespannt.

Damit aber diese Netze dennoch maximal sicher sind, müssen Unternehmen einige Voraussetzungen erfüllen, wie etwa eine wirksame Pseudonymisierung  der Daten. Denn es ist im Zeitalter der Digitalisierung mit dem allumfassenden, offenen Datenverkehr nahezu absurd von Unternehmen zu verlangen, dass sie ihr geistiges Eigentum, ihre immateriellen Güter ständig sicher wie in Abrahams Schoß wähnen können. Aber: Schlägt ein Datendieb zu, dann muss sein digitales Beutegut für ihn wertlos sein – etwas, das durch wirksame Verschlüsselung oder Tokenisierung relativ einfach zu gewährleisten ist. Der Grund: hat ein Unternehmen entsprechende Technologien implementiert, sind die Daten aus heutiger Sicht ohne den passenden digitalen Schlüssel zu besitzen nahezu unknackbar. Die statistische Möglichkeit, den richtigen Code einzugeben, liegt bei eins zu mehreren Trillionen. Die Tokentechnologie ist hierbei am Sichersten, da der zu schützende Datensatz durch einen zufälligen Token ausgetauscht und in der Cloud abgelegt wird. Der zufällig generierte Token lässt dabei keinen Rückschluss auf den zu schützenden Datensatz zu.

Indes: Verschlüsselung bzw. Tokenisierung wird zwar immer bedeutender – ist aber nur die halbe Miete. Denn Technologie-Einsatz im Unternehmen allein wird den Sicherheitsanforderungen nicht gerecht. Die Mitarbeiter müssen für den Einsatz von neuen Sicherheitsmaßnahmen „abgeholt“ sprich: geschult werden. Es ist in der IT exakt so wie bei einer Villa: Die besten Schlösser nützen nichts, wenn der Besitzer mit den dazugehörigen Schlüsseln fahrlässig umgeht. Darüber hinaus müssen Unternehmen darauf achten, dass die Maßnahmen, wie es in der IT-Fachsprache heißt, Ende-zu-Ende greift. Das bedeutet, dass im gesamten Lebenszyklus einer schützenswerten Datei keine technischen Risiken auftreten dürfen. Das funktioniert derart, dass sich eine Datei, nachdem sie ein Mitarbeiter zum Bearbeiten entschlüsselt hat, beim Schließen wieder automatisch verschlüsselt. Oder, dass sie zu Lieferanten und Partnern beispielsweise nur verschlüsselt versendet werden darf.

Selbstredend muss natürlich auch gewährleistet sein, dass die von Unternehmen genutzte Cloud nicht nur internen Sicherheitsansprüchen genügt, sondern auch externen, allen voran den gesetzlichen. Heißt Cloud-Sicherheit bedeutet immer Datensicherheit und Datenschutz gleichermaßen. Verlassen die Daten den heimischen Server müssen sich Organisationen demnach nicht allein darum kümmern, dass weder Hacker noch Wirtschaftsspione darauf Zugriff haben, sondern dass sie mit ihrer Cloud-IT außerdem die strengen gesetzlichen Anforderungen an Compliance- und Datenschutzrichtlinien erfüllen. Sichere, verschlüsselte Speicherung von sensiblen und personen-bezogenen Daten in der Cloud und Compliance zu deutschem und europäischem Recht ist demzufolge eine Pflichtübung.

Zu guter Letzt bedeutet Sicherheit im Cloud-Kontext ebenfalls technische Betriebssicherheit. Dazu gehören kein Performanceverlust durch Ver- und Entschlüsselung sowie keine zu hohe Latenz durch die Cloud und ein reibungsloses Zusammenspiel aller in der Cloud angesiedelten Softwarelösungen.
Sind alle diese Voraussetzungen jedoch gegeben, können sich Unternehmen zurücklehnen und ebenfalls argumentieren: „Cloud? Mit Sicherheit!“