Detecon: Bei Cloud Computing auf juristische Details achten

Die Bonner Berater empfehlen den Unternehmen, die Clod Computing nutzen wollen, ihre Sicherheitsanforderungen früh und systematisch zu definieren sowie gegenüber dem jeweiligen Cloud-Anbieter vertraglich festzuschreiben. Zugleich betonen sie, dass Anwender beim Umstieg zu Cloud Computing ihre IT-Sicherheit sogar erhöhen können.

Neue Risiken ernst nehmen

„Grundsätzlich ist Cloud Computing nicht sicherer oder unsicherer als andere IT-Betriebsmodelle“, sagt Bernd Jaster, Detecon-Berater und Koautor einer Studie zu diesem Thema. Aber: „Die neuen und spezifischen Risiken müssen nur ausreichend adressiert und ernst genommen werden“, so der Experte.

Viele Gefährdungen ließen sich schon durch präzise Vertragsklauseln vermeiden: „Falls etwa die Daten wegen gesetzlicher Vorschriften in einem bestimmten Land zu halten sind, muss ich mir einen Dienstleister wählen, der das vertraglich zusichern kann.“

Zugleich biete Cloud Computing Chancen für eine höhere IT-Sicherheit als bisher. Zum Beispiel führe die mit der Wolke verbundene Zentralisierung der IT-Services immer auch zu einer höheren Standardisierung von IT-Prozessen und zu spezialisierterem Fachwissen, was die Umsetzung von Schutzmaßnahmen erleichtere. „Vor allem bei kleinen und mittleren Betrieben ist mit einem eher höheren Sicherheitsniveau zu rechnen, da die IT-Aufgaben dann in den Händen größerer und erfahrener IT-Dienstleister liegen“, ergänzt Jaster.

Wichtiges Hilfsmittel

Detecon weist darauf hin, dass Unternehmen, die den Einstieg in Cloud Computing planen, einen Kriterienkatalog benötigen, der unter Berücksichtigung von Sicherheitsanforderungen und Schutzzielen erstellt wird. Solch ein Katalog sei ein wichtiges Hilfsmittel bei der Anbieterauswahl und den anschließenden Vertragsverhandlungen. Nur so könne ein tragfähiges Sicherheitskonzept für die Migration und den Betrieb der IT-Dienste in der Cloud gewährleistet werden.

In einem Arbeitspapier zum Thema („Opinion Paper") bewertet Detecon die Risiken nach möglicher Schadenshöhe und Eintrittswahrscheinlichkeit. So befinden sich zum Beispiel IT-Dienste und -Anwendungen aus Sicherheitsgründen traditionell in unterschiedlich geschützten Zonen innerhalb eines Netzwerks. Beim Cloud Computing lässt sich diese Segmentierung bei Software-Schwachstellen oder Fehlkonfigurationen vergleichsweise leicht umgehen.

Ein weiterer wichtiger Aspekt ist der geografische Ort der Daten. Vorgaben seitens des Geschäfts und zum Teil auch der Gesetzgeber verlangen für manche IT-Dienste, dass deren Daten in bestimmten Ländern oder Regionen gehalten werden. Doch nicht alle Cloud-Computing-Anbieter wollen oder können dies garantieren.

Keine Prüfung, keine Schulung

Solche Sicherheitslücken behindern derzeit ein noch schnelleres Wachstum des Cloud Computings. Dies belegt eine im Detecon-Papier zitierte CIO-Research-Studie, nach der 45 Prozent der befragten Chief Information Officers (CIOs) Sicherheit mit Abstand am häufigsten als kritischen Erfolgsfaktor für Cloud Computing nennen. Zugleich unterzieht nicht einmal jedes zehnte die Cloud nutzende Unternehmen den gebuchten Service einer ernsthaften Sicherheitsprüfung oder schult Mitarbeiter auf Gefährdungen. Dies ist das Ergebnis einer aktuellen Untersuchung des Ponemon Institute.

„Die Sicherheitsrisiken von Cloud Computing lassen sich oft mit einfachen Mitteln in den Griff bekommen“, sagt Jaster. „Sie müssen nur identifiziert und offen adressiert werden.“ Cloud Computing sei keine neue Technologie, sondern ein Geschäftsmodell zur bedarfsgerechten und flexiblen Erbringung von IT-Diensten, deren tatsächliche Nutzung abgerechnet wird. „Die heutigen Anbietermärkte für Cloud Computing sind geprägt von Standardisierung, Automation und Modularisierung. All diese Trends erhöhen die Sicherheit mehr, als dass sie sie untergraben“, so Jaster.

con/pan