Datenschutz beim Cloud-Computing: Alles auf Wolke sicher?

17. November 2015

4 Min. Lesezeit

Cloud-Computing gilt als eine der Schlüsseltechnologien für die nächste Stufe der industriellen Evolution. Unternehmer sollten bei diesem Thema keine Berührungsängste haben, aber eine gesunde Skepsis mitbringen.

Datenschutz beim Cloud-Computing: Alles auf Wolke sicher? (Desktop)

Cloud-Computing gilt als eine der Schlüsseltechnologien für die nächste Stufe der industriellen Evolution. Unternehmer sollten bei diesem Thema keine Berührungsängste haben, aber eine gesunde Skepsis mitbringen.

In den IT- und Führungsetagen deutscher Unternehmen zeichnet sich eine Zeitenwende ab: Die Zauberworte „Industrie 4.0“ und „Big Data“ befeuerten zuletzt bei der Cebit die Prognosen von Politik- und Wirtschaftsvertretern, bei der weltweit größten Industrieschau klingen sie nächste Woche wieder durch die Messehallen in Hannover.

Nie zuvor wurden zum Thema Cloud-Computing mehr Studien veröffentlicht. Und erstmals gibt es in deutschen Führungsetagen mehr Befürworter von Cloud-Lösungen als Skeptiker. Das ermittelte der Branchenverband Bitkom in einer repräsentativen Umfrage. Jeder zweite Mittelständler gehört demnach zum Lager der Befürworter und setzt bereits auf Services aus der Datenwolke. Doch selbst sie fürchten um die Sicherheit ihrer Daten, und insgesamt zweifeln sechs von zehn deutschen Unternehmern an der Ausgefeiltheit der Schutzmaßnahmen.

Wer Cloud-Betreibern traut, kann innerhalb von wenigen Arbeitstagen, teilweise sogar Stunden, die Vorteile der Datenwolke genießen. „Für Start-ups ist Cloud-Computing eine super Chance. Alle nötigen Lösungen, zum Beispiel für Online-Shops werden dafür heute bereits als Platform as a Service angeboten“, sagt Mario Hoffmann vom Fraunhofer Institut für Angewandte und Integrierte Sicherheit (AISEC) in München. „Und das auf einem Sicherheitslevel, das eine kleine Firma nur mit mehreren IT-Profis an Bord erreichen kann.“ Auf diese Weise bleibe mehr Zeit und Energie für das eigentliche Geschäft übrig.

„Bevor sich Unternehmer Gedanken um die Lösung machen, sollten sie ihre Probleme kennen“, sagt Mario Hoffmann vom Fraunhofer Institut für Angewandte und Integrierte Sicherheit (AISEC) in München. Wie wertvoll sind die Daten, die sie in die Cloud auslagern wollen? Für ein bloßes Backup in der Cloud bietet der Markt genügend Verschlüsselungslösungen, die Sicherheitsbedenken zerstreuen beruhigen/beschwichtigen/zerstreuen. Eine gewisse Skepsis sei dennoch nicht verkehrt, sagt Hoffmann, der den Forschungsbereich Service & Application Security am AISEC, das einen Stand auf der Hannover Messe haben wird, leitet. „Solange Unternehmen mit einem Plan an die Sache herangehen und wissen, was sie wollen, läuft nichts verkehrt.“

Doch wie soll ein kleines Unternehmen planvoll vorgehen, wenn es die Möglichkeiten nicht kennt? Verschiedene Zertifizierungen und erste ISO-Normen bieten Anhaltspunkte. „Am Ende sind das nur Indikatoren, nicht mehr und nicht weniger“, sagt Hoffmann. So reguliere die ISO-Norm 27001 beispielsweise nur organisatorische Abläufe und mache keine Vorgaben zum Datenschutz. Kriterienkataloge der Cloud Security Alliance, dem Bundesamt für Sicherheit in der Informationstechnik (BSI) oder das „Europrise“-Zertifikat des Datenschutzzentrums Schleswig-Holstein hätten in diesem Punkt mehr zu bieten. Problematisch ist diese Informationslücke vor allem für kleine und mittelständische Unternehmen, die es sich nicht leisten können, bestimmte Standards kritisch zu hinterfragen.

Ein aktuelles Fraunhofer-Projekt, das erst im November vorgestellt wird, soll die Einhaltung von Zertifizierungen transparenter machen. Unter dem Namen NGCERT entwickeln die Forscher eine technische Lösung, die auf Knopfdruck ermittelt, ob die Sicherheitsmaßnahmen eines Cloud-Systems den Vorgaben bestimmter Standards entsprechen.

Der Bitkom-Umfrage zufolge vertrauen viele Unternehmer, genauer: 74 Prozent, nur Cloud-Lösungen, deren Server auf dem EU-Rechtsgebiet oder in Deutschland stationiert sind – nicht zuletzt aus Datenschutzgründen. Wo der Server steht, ist laut BSI weniger wichtig, stattdessen betonte das Bundesamt gegenüber Handelsblatt Online: „Die Informationssicherheit ist grundsätzlich unabhängig vom Standort. Im Sinne der Nutzer sind Sicherheitsmaßnahmen umzusetzen, um die Vertraulichkeit, Integrität und Verfügbarkeit der Daten beziehungsweise Services zu gewährleisten.“ Selbst wenn der Zugriff auf die Cloud über ausländische Internet-Server erfolge, sei so auch bei einer ungesicherten Verbindung sichergestellt, dass Vertrauliches vertraulich bleibe, sagt BSI-Sprecher Tim Griese.

Dennoch: „Technisch gesehen ist das korrekt“, sagt Fraunhofer-Informatiker Mario Hoffmann. „Man muss sich aber im Klaren sein, dass Firmen und Privatpersonen in Deutschland einen besseren Datenschutz genießen als anderswo. Wenn Unternehmen auf einen Rechtsrahmen Wert legen, der das Vorgehen gegen Verstöße erlaubt, kann die Wahl nur auf Deutschland als Standort fallen.“

Gefährdungspotenzial für Firmendaten gibt es dort schließlich genug. Einfallstor für Schadsoftware sind etwa Internetbrowser, die die Weboberflächen vieler Cloud-Anwendungen darstellen. Laut einer Analyse des Potsdamer Hasso-Plattner-Instituts stieg die Zahl der Sicherheitslücken von 2011 bis Ende 2014 um gut 2000 auf 6500 bekannte Schwachstellen an. Knapp 1870 – fast 29 Prozent – entfallen davon auf die populärsten Browser Internet Explorer von Microsoft (700), Chrome von Google (600) und Firefox von Mozilla (570). Laut HPI-Direktor Christoph Meinel sind sie die wohl am häufigsten genutzten Angriffspunkte für Hacker.

Das dänische Sicherheitsunternehmen Secunia listet jährlich das Aufkommen von Software-Schwachstellen und registriert, ähnlich wie das Hasso-Plattner-Institut, eine steigende Zahl von Vorfällen. „30 Tage nach Bekanntwerden einer Schwachstelle sind nur in 84,3 Prozent der Fälle Patches, also digitale Korrekturen, verfügbar“, sagt Kasper Lindgaard, Director of Research and Security bei Secunia. „Unternehmen benötigen in diesem Fall also einen Plan B, um die Sicherheit ihrer Systeme zu gewährleisten.“

Eine sogenannte hybride Cloud ist so eine Möglichkeit mit Plan B. Bei ihr nutzt ein Unternehmen seine eigenen und angemietete Server im Verbund. Wo welche Daten gespeichert werden, legt der Betrieb im Vorfeld fest. Produktionsrelevante Pläne und Vertragsdokumente beispielsweise verbleiben innerhalb der eigenen Unternehmenssoftware; weniger brisante Dateien und verschlüsselte Backups liegen beim Cloud-Dienstleister.

Bei aller Sorge um die Absicherung der eigenen Daten, gibt Experte Mario Hoffmann zu bedenken: „Der größte Risikofaktor sitzt immer noch vor dem Bildschirm.“