Gefahren durch die Cloud – und wie man sie vermeidet

Cloud-Services – das ist immer noch das Topthema Nummer eins. Laut einer aktuellen Studie wollen 62 Prozent der deutschen Mittelständler trotz Abhörskandal und Spionageaktivitäten in den kommenden 12 Monaten die Vorzüge der Cloud nutzen. Aus gutem Grund: Die Auslagerung der IT in externe Rechenzentren macht Unternehmen extrem flexibel, spart Kosten und Zeit. Immer mehr Unternehmen erkennen aber auch die Risiken der Datenwolke und wollen ihre Daten entsprechend schützen. Gut zu wissen, dass eine sichere Nutzung der Cloud längst möglich ist …

Ob beim Filesharing via DropBox, ob mit SaaS-Systemen für das Customer Relationship Management oder bei der ausschließlichen Nutzung externer IT: Online-Dienste legen vertrauliche Unternehmensdaten im World Wide Web ab. Und so können diese auch schnell in die falschen Hände geraten.

„Unternehmen sollten sich bei jeder Online-Anwendung systematisch gegen Datendiebstahl absichern“, erläutert Peter Rost, Leiter Produktmanagement beim führenden Sicherheitsexperten Rohde & Schwarz SIT. „Ausgangspunkt ist dabei eine genaue Analyse der Geschäftsprozesse im Hinblick auf die Tragweite des Missbrauchs der Daten.“ So muss klar werden, an welchen Stellen Cloud-Dienste genutzt werden dürfen und welche Daten generell zu sensibel für die Speicherung in der Cloud sind.

Sicherheitstechnologien bereits vorhanden

Die meisten Unternehmen wissen längst: Hochsensible Daten, wie etwa Forschungs- und strategische Planungsdaten gehören nicht in die Cloud. Und bei personenbezogenen Daten schränkt bereits der Datenschutz die Nutzung von Clouddiensten ein. Viele Unternehmen verzichten aus einem gesunden Sicherheitsgedanken heraus allerdings auf Vorteile, die ihnen die Online-Dienste bieten. „Der Webzugriff auf Vertriebs- und Produktdaten ist beispielsweise ein wichtiger Wettbewerbsfaktor für Unternehmen“, so Rost. „Mit den richtigen Sicherheitsvorkehrungen ist die Nutzung der Cloud für solche Daten ohne Risiko möglich.“

Behörden und sicherheitsbetreute Unternehmen setzen seit Jahren auf Hochsicherheitslösungen zum Schutz von Daten, die als „Verschlusssache“ gekennzeichnet sind und verhindern so den unbefugten Zugriff auf vertrauliche Informationen. „Was Behörden zur Verfügung steht, können auch Unternehmen zum Schutz ihrer Daten in der Cloud nutzen“, so Rost. „Mit weniger Aufwand als viele denken, kann auch ein Hidden Champion dieses Sicherheitsniveau erreichen – und damit seinen globalen Wettbewerbsvorsprung absichern.“

Sicherheit in der Public und der Private Cloud

Cloud ist dabei allerdings nicht gleich Cloud. Grundsätzlich ist zu unterscheiden zwischen zwei Varianten: einer „Public Cloud“ und einer „Private Cloud“. Eine „Public Cloud“ ist eine öffentlich zugängliche Infrastruktur. „Sie eignet sich besonders für junge, stark wachsende Unternehmen“, erklärt Rost. Denn die Public-Cloud-Dienste sind hochgradig skalierbar und können kurzfristig an den aktuellen Nutzerbedarf angepasst werden. Gemietet – und gezahlt – wird einzig die gerade benötigte Leistung.

Der Nachteil: Die Unternehmensdaten sind gemeinsam mit denen anderer Cloud-Nutzer auf den Provider-Systemen gespeichert. Die Qualität der Mandantentrennung ist deshalb ein wichtiger Faktor für die Sicherheit der Daten. „Ist die Trennung nicht hundertprozentig gewährleistet, können selbst kleine Software-Fehler sensible Daten für andere Nutzer sichtbar machen“, so Rost weiter. „Vermeiden lässt sich das, indem man auf eine entsprechende Zertifizierung beim Anbieter achtet.“

In einer „Private Cloud“ wird die IT exklusiv für nur eine Institution betrieben. So wird ein deutlich höheres Sicherheitsniveau erreicht. Sie kann von dieser selbst oder einem externen Anbieter organisiert und geführt werden. „Ein Private Cloud-Dienst bietet sich besonders für Großunternehmen mit mehreren Standorten an, die dadurch globale Synergien nutzen können“, so Rost.

Egal ob „private“ oder „public“: Auf dem Transport der Daten hin zur Cloud sind die Daten besonders gefährdet. Um diese vor einem unberechtigten Zugriff zu schützen, sollte unbedingt eine vom Bundesamt für Sicherheit in der Informationstechnik (BSI) zertifizierte oder zugelassene Verschlüsselung eingesetzt werden. Rost erklärt: „Die Verschlüsselung sollte in einem separaten Gerät erfolgen. Denn nur dann bleibt sie im Falle eines Angriffs auf die Netzwerktechnik unangetastet.“ Eine derart gesicherte Datenkommunikation ermöglicht etwa der Netzwerk-Verschlüsseler R&S SITLine ETH.

Regelwerk und Kontrolle per Firewall

Für die sichere Nutzung von öffentlichen Online-Diensten ist zusätzlich die Festlegung einer Sicherheits-Policy entscheidend. Es muss klar sein, wer welche Dienste nutzen darf und welche Dateien in die Cloud geladen werden dürfen. Es empfiehlt sich, Nutzergruppen einzurichten. Rost dazu: „Um unbeabsichtigten Datenverlust auszuschließen, könnte beispielweise dem Vertrieb der Gebrauch eines Filesharing-Dienstes für die Kundenkommunikation gestattet sein, der Entwicklungs-Abteilung aus Sicherheitsgründen hingegen nicht.“

Die automatisierte Umsetzung solcher Regelwerke ist mit moderner Firewall-Technik bereits möglich. „Unsere Next Generation Firewall erkennt nicht nur wer am Rechner sitzt und welche Internetseite er aufrufen will, sondern auch, was er dort vor hat.“ Das Lesen von Facebook-Seiten kann beispielsweise durch die Firewall zugelassen werden – das Einstellen von Nachrichten aber nicht.

Dabei richten sich aktuelle Cyberangriffe nicht primär von außen gegen die Unternehmensfirewall. „Schafft es ein Virus einmal an der Firewall vorbei in das Firmennetzwerk – z. B. auf einem infizierten Notebook – können in Sekundenschnelle alle verbundenen Rechner infiziert und aus dem Internet ferngesteuert werden“, betont Rost. „Eine normale Firewall reicht hier nicht aus, da sie weder die genutzten Cloud-Anwendungen verlässlich erkennen noch erlaubte von verbotenen Diensten unterscheiden kann.“ Daher sollte eine zusätzliche Sicherheitsinstanz implementiert werden.

Hier hilft eine Firewall mit permanent laufendem Protokolldekoder. Die Technologie prüft den kompletten Datenfluss von und zum Internet. Sie bündelt alle Sicherheitschecks an einer zentralen Stelle und umfasst neben Malware-Schutz und Webfilter auch die Applikations-Erkennung und die Prüfung nutzerspezifischer Zutritts- und Zugriffsrechte. Selbst differenzierte Sicherheitsrichtlinien können so automatisiert eingehalten und jederzeit flexibel aktualisiert werden.

Seriöse Anbieter wählen

Neben einer geeigneten Sicherheitstechnologie müssen aber auch bei der Auswahl des Cloud-Anbieters einige Kriterien berücksichtigt werden. Entscheidend ist die Transparenz. „Ganz wichtig ist es, von Anfang an vollständige Auskunft zu Datenschutz, System-Architektur und Notfallmanagement vom Cloud-Anbieter zu erhalten“, so Rost. Erlauben die Datenschutzrichtlinien des Anbieters beispielsweise die Weitergabe von Instanzen und Daten an einen Subunternehmer, unterliegt dieser möglicherweise anderen Gesetzen als der eigentliche Vertragspartner. Wird ein Cloud-Anbieter mit Sitz in Deutschland beauftragt, unterliegt dieser einem äußerst strengen Datenschutz. Und auch EU-Anbieter weisen ein höheres Schutzniveau auf, als es in vielen anderen Teilen der Welt gefordert wird. Damit dieses Niveau nicht unterlaufen wird, müssen Unternehmen vertraglich sicher stellen, das sich auch die Cloud-Subunternehmer daran halten.

Auch wenn Cloud-Anbieter in der Regel über eine hochprofessionelle Ausfallsicherheit und ein ausgefeiltes Notfallmanagement verfügen: einige Fragen muss sich der Cloud-Nutzer dennoch stellen. Welche Maßnahmen sorgen bei einem Stromausfall oder anderen lokalen Infrastruktur-Störungen für ein schnelles Recovery? Und was geschieht mit den Cloud-Dateien, wenn der Anbieter nicht länger geschäftsfähig ist?

Fazit

Wer die Cloud nicht nur privat zum Hochladen von Weihnachtskarten oder Geburtstagsgrüßen nutzen will, sollte einige Regeln beachten und seine Daten entsprechend schützen. Die notwendige Technologie dazu steht längst zur Verfügung – und zwar Made in Germany, d.h. nach höchsten Datenschutzstandards entwickelt. (8.100 Zeichen)

Autor

Ansprechpartner für Pressevertreter:
Christian Reschke, Tel.: (030) 65884 232, Fax: (030) 65884 184, E-Mail: christian.reschke@rohde-schwarz.com

Kontakt für Leser:
Tel.: (089) 4129-12345, E-Mail: customersupport@rohde-schwarz.com

Rohde & Schwarz
Der Elektronikkonzern Rohde & Schwarz ist ein führender Lösungsanbieter in den Arbeitsgebieten Messtechnik, Rundfunk, Funküberwachungs- und -ortungstechnik sowie sichere Kommunikation. Vor fast 80 Jahren gegründet ist das selbstständige Unternehmen mit seinen Dienstleistungen und einem engmaschigen Servicenetz in über 70 Ländern der Welt präsent. Rund 8.700 Mitarbeiter erwirtschafteten im Geschäftsjahr 11/12 (Juli bis Juni) einen Umsatz von 1,8 Milliarden Euro. Der Firmensitz ist in Deutschland (München).

Rohde & Schwarz SIT GmbH
Die Rohde & Schwarz SIT GmbH ist ein Tochterunternehmen von Rohde & Schwarz und steht seit über 20 Jahren für Verschlüsselung und IT-Sicherheit. Das Unternehmen ist seit 2004 Sicherheitspartner der Bundesrepublik Deutschland und Partner der Allianz für Cybersicherheit. Es bietet seinen Kunden weltweit höchste Vertraulichkeit in der Kommunikation via Festnetz, Funk, Satellit oder Ethernet. Modernste Lösungen zur Absicherung von Netzwerken gehören ebenfalls zum Portfolio. Heute zählt Rohde & Schwarz SIT 150 Mitarbeiterinnen und Mitarbeiter an den Standorten Berlin, Stuttgart und München. www.sit.rohde-schwarz.com

Tagcloud

Kundenzufriedenheit Organisationsentwicklung Wettbewerb Mitarbeitergespräch Kultur Marke Ideen Produkt Mensch Social Media Service Kundenbindung Zielvereinbarung Innovation Mitarbeiter Kundenloyalität Navigation Marketing Kompetenz Motivation Risiko Konkurrenz Projekt Organisation Unternehmen social network Unternehmenskommunikation Kunden Mitarbeitermotivation IT Führung Zukunft Verkäufer Akzeptanz Markt Instrument Finanzierung Kommunikation Psychologie Veränderungsprozess Veränderung Vertrieb E- Personal Information Medien Intuition Management Internet Karriere Führungsstil Verhalten Manager Methode Markterfolg Change-Management Potenzialentwicklung Weiterbildung Orientierung Strategie Planung Lernen Erfahrungswissen Grundsätze Messung E-Mail Ablauf Kundenrückgewinnung Mentoring Assessment Beratung Datenschutz Emotion Entscheidung Führungstipps Ethik ILTIS Potenzial IT-Trend Erfolg Prozess Management by Image Intelligenz Commitment Konflikt Vision Präsentation Corporate Bewerberauswahl Diversity Börse HRM Wachstum Macht Authentizität Qualitätsmanagement Team Kennzahlen Verhandlung Zielgruppe Trend Mitarbeiterbindung Charisma Research Produktion Modell CSR CRM Profit Telefonie Netzwerk Recruiting Kreativität Verwaltung Anforderungsprofil Community Strategieverwirklichung Loyalitätsmarketing Netzwerksicherheit Nachhaltigkeit Ziele Empfehlungsmarketing Coaching Touchpoint Regeln System Leadership Wissensmanagement Anwenderbetreuung Knigge Krise Wandel Value Demographie Unternehmenskultur Controlling Führungskraft Verwaltung Kommunalberatung Science of Happiness at Work Umwelt Outsourcing Qualität Bürgermeister Werte Verbraucher Kommunikationsmodell Dynamic Experience Burn-Out Projektmanagement Checkliste Mitarbeiterzufriedenheit Mediation intrnational Kulturkompetenz Business-Ettikette Gehirntraining Moderation Kommune Mitarbeiterbefragung Literatur Change Management High Potentials Navigationsinstrument Visualisieren Leistung Altersstruktur Prioritäten Mobile Marketing Hörbuch Projekt Office Event Mobile Erreichbarkeit Resilienz Literatur Vertrieb Kündigung Souveränität Widerstand CMS Energie IT-Infrastruktur Akquise Training

Neues bei ILTIS

Citizen Journey

Wie Bürger durch die digitale Verwaltung reisen - Warum gleicht die Wanderbewegung von der analogen in die digitale Welt eher einem gemütlichen Spaziergang

Das erfahren Sie bei uns