Datensicherheit in der Cloud: „Mittelständische Firmen haben Nachholbedarf“

Herr Dreher, an welchen Zertifikaten können Unternehmen sehen, dass Cloud Computing wirklich sicher ist?

Bernd Dreher: Einerseits gibt es das Bundesamt für Sicherheit in der Informationstechnik (BSI), das bestimmte Anwendungen prüft. Sowohl technische Richtlinien als auch die Sicherheitsfunktionen von IT-Produkten werden hier mit unterschiedlichen Zertifikaten ausgezeichnet. Allerdings ist dieser Prozess meist langwierig und entsprechend teuer. Dann gibt es natürlich anerkannte Institutionen wie den TÜV Nord und den TÜV Süd, die bestimmte Sicherheitszertifikate für zum Beispiel Software as a Service (SaaS) beziehungsweise Cloud-Lösungen anbieten. Außerdem gibt es noch eingetragene Vereine wie etwa den Cloud-EcoSystem e.V. Das ist ein Netzwerk, das für Unternehmen Anwendungen auf Basis des BSI testet und zum Beispiel drei Sicherheitszertifikate wie „Trust in Cloud“ ausstellt.

Abgesehen von diesen Möglichkeiten gibt es privatwirtschaftliche Lösungen. Wir von Covata arbeiten zum Beispiel mit T-Systems zusammen. Alleine für diese Kooperation sind wir in Sachen Cloud-Sicherheit auf Herz und Nieren geprüft worden. T-Systems erfüllt alle nur erdenklichen Sicherheitsvorkehrungen nach deutschen Datenschutz-Rechtsnormen und setzt das natürlich auch bei ihren Partnern voraus. 

Welche Lösungen gibt es für Unternehmen, die trotzdem nicht mit allen Daten in die Cloud möchten?

Für diese Fälle gibt es selbstverständlich Hybridmodelle. Dabei wird eine On-Premise-Lösung, also ein hausinterner Server, mit einer Cloud-Lösung gekoppelt. Daten der Sicherheitsstufe 2, also weniger sensible Daten oder Dokumente, können in der Cloud gespeichert werden. Sensible Daten, wie zum Beispiel Kundendaten oder Konstruktionspläne, bleiben hingegen auf dem hauseigenen Server. Allerdings gibt es auch die sogenannte dedizierte Lösung. Dabei mietet sich ein Unternehmen exklusiv einen eigenen Storage bei einem Cloud-Anbieter und teilt sich den Server nicht noch mit anderen Unternehmen. Wer in Sachen Datensicherheit noch eins oben draufsetzen möchte, achtet vor allem nach der „Safe Harbor“-Entscheidung des Europäischen Gerichtshofs darauf, dass die Server in Deutschland oder der Schweiz stehen. 

Welche Branchen sind Ihrer Erfahrung nach besonders von Cyber-Kriminalität bedroht?

Laut Angaben der IBM-Sicherheitsstudie von 2015 wird jährlich ein Schaden von 3,79 Millionen US-Dollar durch Datenpannen von Hackern und kriminellen Insidern verursacht. Das heißt, die Industrie-Spionage ist nach wie vor eine der größten Gefahren für Unternehmen. Das betrifft jeden, der auch nur ansatzweise mit sensiblen Daten zu tun hat, wie etwa Rechtsanwälte, Banken, Steuerberater, die Gesundheitsbranche sowie zum Beispiel die Flugindustrie. 

Wie sicher sind deutsche Unternehmen aktuell? Wo sehen Sie die größten IT-Sicherheitsmängel?

Insbesondere bei kleinen und mittelständischen Unternehmen, die kein großes IT-Budget haben, gibt es Nachholbedarf, was das Thema Datensicherheit anbelangt. Und gerade die zuvor erwähnte IBM-Studie zeigt, dass die Probleme fast immer in der Firma entstehen, durch ungeschulte Mitarbeiter. Mit der „bring your own device“-Kultur, bei der Mitarbeiter mit ihren eigenen Handys oder Tablets arbeiten, sparen sich Unternehmen zwar zunächst die Anschaffungskosten, gehen aber auch gleichzeitig große Sicherheitsrisiken ein. Gerade mit Tools wie zum Beispiel nicht genehmigten Apps oder kostenlosen File-Sharing-Angeboten wie etwa Dropbox oder Drive können Lücken entstehen – und damit arbeiten immerhin 66 Prozent der Mitarbeiter laut der IBM-Studie. Das nennt man Schatten-IT. Kundendaten werden dann irgendwo abgelegt und gehen verloren. Von solchen Freeware-Lösungen würde ich also tendenziell immer abraten. 

Der Mensch ist also das größte Problem? Wie können Unternehmen darauf am besten reagieren?

Sinnvoll wäre zunächst, in jedem Unternehmen – ganz gleich, wie groß es ist -, jährliche Sicherheits-Audits durchzuführen. Außerdem glauben noch viele Firmen an die Macht der Firewalls und denken, dass sie in Sachen Datensicherheit nicht mehr brauchen. Fakt ist aber, dass eine Firewall heute nicht mehr ausreicht, weil Probleme oft andere Ursprünge haben. Deshalb müssen Mitarbeiter extra für dieses Thema sensibilisiert und geschult werden. Für IT-Verantwortliche gibt es zum Beispiel die international anerkannte Fortbildung „ITIL Foundation v3“-Zertifizierung. Und für den Rest der Belegschaft reicht es anfangs oft schon, sie darauf hinzuweisen, dass private USB-Sticks oder CD-ROMs nicht in Firmenrechner gehören. Hilfreich ist es außerdem, einen Daten-Report anzufertigen, wann wer mit welchen Daten gearbeitet hat. Diese Option bietet Covata beispielsweise im Feature „safe share“ an. 

Es wird ja immer wieder gesagt, dass man die Datenlöschung in der Cloud nicht garantieren kann, weil die Daten nicht eindeutig lokalisiert werden können. Was können Unternehmen hier tun?

Da bei Covata zum Beispiel jede Datei individuell verschlüsselt wird, können wir auch ganz genau nachverfolgen, wo die Datei gerade liegt und wer sie benutzt hat. Verloren gegangene Daten gibt es also bei uns nicht. Und wie gesagt: Daten, die der User sowieso nicht rausgeben möchte, können auf dem firmeneigenen Server weiterhin gehostet werden. 

Sind verschlüsselte Daten auch in Fällen von Insolvenz des Providers oder von Subunternehmern des Providers oder bei Beschlagnahmung von Hardware sicher?

In Fällen von Insolvenz muss der Provider in der Regel sicherstellen, dass die Daten der Unternehmen zuvor gespiegelt werden. Wer selbst dafür Sorge tragen möchte, kann das vertraglich mit dem Provider festlegen. Allerdings gibt es in der Regel immer Sicherheitspläne, sodass auch im Cloud Computing nichts passieren kann – egal, ob der Mensch oder andere Faktoren das Problem sind. 

Herr Dreher, vielen Dank für ihre Zeit und das spannende Interview.