Muss man Angst vor der großen bösen Cloud haben?

Im großen Wald des Internets hatten die Rotkäppchen genügend Zeit, um die markierten Wege auswendig zu lernen: heutzutage sind Online-Spaziergänge und Transaktionen problemlos möglich. Vor rund zehn Jahren trat jedoch eine neue Figur im Wirkungsbereich der liebevollen Großmutter auf: die Cloud, die sich als Online-Speicherplatz für unsere Daten anbietet und den Einsatz von Software oder Speicherplätzen vereinfachen möchte. Allerdings nicht, ohne Misstrauen zu erregen... Warum macht die große böse Cloud also solche Angst?

Die Angst vor der Cloud geht zurück auf ein menschliches Urgefühl, und zwar auf die Angst vor Kontrollverlust, hier in Zusammenhang mit der Auslagerung und der Gefahr von Hackerangriffen: um von überall jederzeit und von jedem Gerät aus auf seine Informationen und Anwendungen zugreifen zu können, muss man tatsächlich damit einverstanden sein, seine Dateien auf dem Server eines anderen und irgendwo in der Welt zu speichern, oftmals weiß man nicht wo bzw. bei wem. Nach dem Computing Cloud Report 2018 haben fast 90 % der befragten Personen tatsächlich Angst vor Sicherheitslücken und Datenverlusten in den Cloud-Umgebungen. Hinter diesen Ängsten steht eine Realität: eine Sicherheitslücke allein reicht aus, um den Diebstahl und die unerlaubte Weitergabe bzw. Veröffentlichung von Millionen Informationen zu ermöglichen, wie es die berüchtigten Fälle von Yahoo und Twitter (um nur diese zu nennen) bewiesen haben. Somit bestätigt sich, dass Vertrauen der ausschlaggebende Faktor ist. Vier Jahre nach dem Fall der gestohlenen Fotos von Prominenten und fünf Jahre nach den Enthüllungen von Edward Snowden, welche das Ansehen der Cloud nachdrücklich beschädigt haben, ist das Vertrauen in die Cloud wieder gewachsen. Die Bedrohungen sind trotzdem nicht verschwunden, aber der Gedanke, dass die mit der Cloud verbundenen Risiken eingedämmt werden können, findet seinen Weg in die Köpfe der Menschen.

Cloud Act vs. DSGVO

Der von Donald Trump Ende März unterzeichnete Cloud Act hat jedoch den bösen Geist wieder aus der Flasche gelassen, und zwar im Sinne des Auslesens von Daten auf transatlantischen Online-Plattformen, eine Praktik, die seinerzeit Edward Snowden öffentlich gemacht hatte. Dieser Cloud Act bietet tatsächlich den Institutionen die rechtliche Grundlage, persönliche Daten auf amerikanischen Servern auszulesen, auch dann, wenn diese in europäischen Rechenzentren stehen. In Anbetracht der Tatsache, dass die wichtigsten Cloud und SaaS-Anbieter (Microsoft Azure, Amazon Web Services oder Salesforce) aus den USA kommen, ist es legitim, gewisse Bedenken in Bezug auf die Vertraulichkeit dieser wertvollen Daten zu haben.

Aber muss man sich wirklich Sorgen machen? Der Cloud Act scheint eine Reihe von Maßnahmen vorzusehen, um sicherzustellen, dass der Zugriff auf die Daten nicht unkontrolliert erfolgen kann. Insbesondere ist vorgesehen, dass mit den betroffenen Ländern vorab entsprechende Vereinbarungen zu treffen sind. Es ist noch viel zu früh, um zu wissen, wie diese Vereinbarungen aussehen bzw. umgesetzt werden, wie die Freiheit des Einzelnen garantiert werden kann und wie die Bestimmungen der Datenschutz-Grundverordnung (DSGVO) im Rahmen des Cloud Act weiterhin gelten können. Hoffen wir, dass die europäischen Positionen respektiert werden und dass unsere Daten nicht beliebig und ungestraft den großen transatlantischen Lauschern auf dem Tablett serviert werden.

Neue gesetzliche Regelungen, neue Vorteile

Seit Januar 2006 definierte in Frankreich ein Dekret über das Hosting personenbezogener Gesundheitsdaten die ersten Anforderungen an Dienstleister, die medizinische Daten speichern. Es schrieb insbesondere vor, dass für das Hosting dieser Daten eine Zulassung erforderlich ist und eingeholt werden muss. Mit den Anforderungskatalogen „Secure Cloud“ gefolgt von „SecNumCloud“ hatte die ANSSI (französische Behörde für Sicherheit in der Informationstechnik) sich dieses Themas in Frankreich angenommen, ehe Ende 2016 eine neues deutsch-französisches Label für die Sicherheit von Cloud-Diensten eingeführt wurde: das „European Secure Cloud-Label“. Wird die große böse Cloud mit diesen Regelungen und nunmehr der DSGVO an die Leine gelegt? Auf den Kongressen zur Cyber-Sicherheit in Übersee ist das entscheidende Thema derzeit, sich mit den Mitteln für eine Anpassung an die europäische Gesetzgebung auszustatten, um ihre Anforderungen einzuhalten und Kunden nicht zu verlieren. Die Vorteile der Cloud, die es durchaus tatsächlich gibt, hätten somit eine Chance, die Nachteile aufzuwiegen.

Und es gibt viele Vorteile! Angefangen mit dem finanziellen Gewinn bzw. der Kostenersparnis durch die Möglichkeit, Server oder Software außerhalb der Geschäftsräume der Unternehmen anzumieten anstatt zu erwerben; oder der Vorteil in Form der Tatsache, dass die Updates der Informatiksysteme nicht mehr in die Verantwortung des Unternehmens fallen, sondern in die der entsprechenden Serverbetreiber. Es besteht keine Notwendigkeit mehr, den eigenen Standort in den „Wartungsmodus“ zu versetzen, um diese Updates durchzuführen, oder sich auf kostspielige Redundanzverfahren zu verlassen. Es besteht auch keine Notwendigkeit mehr, von Unternehmensseite aus selbst die Durchführung der Wartung zu organisieren und auf Sicherheitsschwachstellen zu achten: in der Mehrheit der Fälle obliegen diese Aufgaben dem Lieferanten, während der Standort rund um die Uhr geschäfts- und funktionsfähig bleibt.

Immense Vorteile bietet auch die Skalierbarkeit: genauso einfach, wie ein Netflix-Nutzer sich entscheiden kann, sein Abonnement von einem Monat auf den anderen upzugraden oder downzugraden, ist es möglich, die Leistung eines Systems zu erhöhen, ohne sich die schwierigen Fragen zur Migration stellen zu müssen, welche die Installation von neuen Servern erforderlich machen würden. Die Skalierbarkeit wird zunehmend verfeinert: Cloud-Modelle können nach Bedarf an die geänderten Anforderungen bzw. veränderte Nutzung angepasst werden. Umgekehrt verhindert man auf diese Weise unnötige Kosten für nicht benötigte Ressourcen, falls der Umfang der geforderten Dienstleistungen sich verringert: ein Klick und die benötigte Leistung oder Nutzung ist geändert. Mit seinem Serviceangebot „Pay As You Go“ bietet Stormshield beispielsweise die Möglichkeit, die Nutzung der Sicherheitsleistungen an die zu schützenden aktiven Infrastrukturen oder an die Verarbeitungsleistung der virtuellen Firewall-Appliances anzupassen.

Ein wertvolles Instrument zur Zusammenarbeit

Aber es ist insbesondere sein Potenzial als Instrument zur Zusammenarbeit, dass Cloud-Computing zu einem Vorteil macht, auf den Unternehmen nicht verzichten können. Bei einer Cloud, die als Standortlösung oder mobile Lösung genutzt werden kann, die in das Ökosystem der Unternehmen integriert werden kann und die Zugangsmöglichkeit von allen Endgeräten aus anbietet, sind die in der Cloud gehosteten Daten und Anwendungen Teil des Austauschs, der Flexibilität und der Leistung der Organisationen, die sie nutzen.

Um ihre Anwendungen und Informationen, die auf diese Weise von überall in der Welt verfügbar sind, zu schützen, richten die Sicherheitsverantwortlichen Sicherheitsniveaus ein, die ihrem traditionellen Sicherheitsperimeter entsprechen, insbesondere mittels virtueller Firewalls innerhalb der Cloud-Infrastruktur. Die Verschlüsselung der in der Cloud gespeicherten Daten ermöglicht ebenfalls einen guten Schutz dieser Infrastrukturen. Sicherlich kann sie bestimmte Funktionen, die für eine Zusammenarbeit nötig sind, einschränken, aber sie verhindert jeden unrechtmäßigen Datenzugriff, falls der Cloud Provider gehackt wird. Und sie löst das mögliche Problem eines unerwünschten Auslesens von Daten durch Cloud Provider (insbesondere im Rahmen des Cloud Act). Bestimmte Situationen erfordern solche Vorsichtsmaßnahmen - denken wir zum Beispiel an Daten zu einer Fusion zweiter Unternehmen oder Daten in Zusammenhang mit dem Aufkauf eines Unternehmens. Würden solche Daten versehentlich veröffentlicht, könnte dies einen Insiderhandel ermöglichen und zu einer Strafverfolgung führen: wenn es immer notwendig ist, von überall auf Informationen zugreifen zu können, dann ist es umso wichtiger, die Informationen in der Cloud zu verschlüsseln. Auch hierzu bieten wir Lösungen an, wie z. B. Stormshield Data Security for Cloud and Mobility: die Benutzer können die gespeicherten Daten in den ausgelagerten Anwendungen verschlüsseln und behalten ihre eigenen Entschlüsselungsschlüssel, sodass sie keine Schlüssel des Cloud Providers benutzen müssen. Die NSA könnte ja mal vorbeischauen...

Unabhängig von den verwendeten Geräten, Systemen und Technologien bleibt die Gefahr von Manipulationen und Hackerangriffen bestehen. Es wäre aber absurd, die Cloud um jeden Preis vermeiden zu wollen, weil man einer illusionären Vorstellung der Unverwundbarkeit der eigenen Systeme folgt. Ebenso würde man einen Fehler machen, wenn man denkt, dass der böse Wolf nicht existiert und dass im Wald des Internets keine Gefahren lauern. Eine Kenntnis und Analyse der Risiken in Zusammenhang mit den benutzten Systemen und Anwendungen sind in Kombination mit der Einrichtung von geeigneten Schutzmechanismen unabhängig vom Sicherheitsperimeter des Unternehmens oder in der Cloud bis heute die Voraussetzungen, die für eine gute IT-Sicherheit erfüllt sein müssen. Und die Vor- und Nachteile einer eventuellen Migration in die Cloud sind sorgfältig abzuwägen, wobei man tendenziell eher die Vorteile überwiegen lässt - indem man geeignete Sicherheitslösungen aufbietet.

 

Danke an Franck Depierre, Offer Manager Cloud, Jocelyn Krystlik, Data Security Product Marketing Manager und Stéphane Prevost, Product Marketing Manager bei Stormshield für ihre wertvolle Unterstützung bei der Verfassung dieses Artikels in Zusammenarbeit mit Usbek & Rica.

Teilen auf

Fühlen Sie sich jetzt beim Thema Cloud sicherer? Und beabsichtigen Sie Ihre IT-Dienstleistungen in eine solche Plattform zu migrieren? Lesen Sie unser Whitepaper „Sensible Daten bei der Migration in die Cloud schützen“ und erfahren Sie, welchen Herausforderungen sich Unternehmen bei der Migration ihrer Infrastrukturen und Anwendungen in die Cloud stellen müssen.

Über den Autor

mm
Victor Poitevin
Digital Manager, Stormshield

Victor Poitevin ist Digital Manager bei Stormshield. Er gehört zur Marketingdirektion und hat die Aufgabe, die Sichtbarkeit der Gruppe im Web zu verbessern. Websites, soziale Netzwerke, Blogs – das gesamte Ökosystem von Stormshield wird dafür herangezogen. Um die anderen digitalen Ambitionen der Gruppe umzusetzen, stützt er sich auf verschiedene Erfahrungen in einigen großen französischen und internationalen Konzernen sowie bei einer Publikationsagentur.