Mit Public Cloud-Diensten produktiver arbeiten und Ressourcen sparen. Ein Versprechen, das sich nur einlösen lässt, wenn die eigenen Daten in der Rechnerwolke sicher vor Diebstahl sind. Experten können die Daten-Sicherheit von Cloud-Anbietern einschätzen.
Fast die Hälfte der deutschen Unternehmen nutzen Online-Rechenzentren, so der Cloudmonitor 2015 des Digitalverbandes bitkom. Aber: Ein Großteil davon setzt nur auf die Private Cloud, das heißt, sie betreiben ihre eigenen Server. Nur 14 Prozent sind offen für die Public Cloud, nutzen Angebote von Amazon, Google, Microsoft oder den vielen regionalen Dienstleistern. Gerade diese Form der Cloudnutzung verspricht besonders hohe Effizienzgewinne. Denn mit ihr kann beinahe die gesamte, eigene IT-Infrastruktur ausgelagert werden. Gleichzeitig steigt die Flexibilität, Investitionskosten in Hardware fallen weg.
Warum zögert der deutsche Mittelstand? Zwei Drittel der Nicht-Anwender haben Sicherheitsbedenken, sagt eine Studie der Hochschule für Wirtschaft und Recht Berlin und des Softwarehauses forcont. Und: Nichts ist Unternehmen bei der Cloud wichtiger als die Gewährleistung der Datensicherheit und des -schutzes. Wie sicher Cloud-Lösungen wirklich sind, weiß Haye Hösel. Der zertifizierte Datenschutzbeauftragte hat mit „HUBIT“ seit 2008 eine eigene IT-Sicherheitsfirma in Bremen und ist Vorstandsmitglied im Freien Institut für IT-Sicherheit e.V. (IFIT).
Haye Hösel: Datenschutz ist eine rechtliche Pflicht und zielt auf personenbezogene Daten. Das sind Mitgliedschaften, Versicherungsnummern, Gehaltsabrechnungen, E-Mailadressen, KFZ-Kennzeichen, Fotos mit Gesicht und so weiter. Die Informationssicherheit ist viel weitreichender, dabei geht es zusätzlich um die Sicherung aller Informationen im Unternehmen, also Patente, Rezepturen, Erfindungen, Produktionsabläufe, Arbeitsprozesse – alles was für ein Unternehmen wichtig ist. Beide haben das Ziel, die Risiken, die auf diese Informationen wirken, zu minimieren und zu eliminieren. Informationssicherheit ist keine Pflicht, sondern individuelle Aufgabe eines Unternehmens, um für den Fortbestand unter anderem bei Cyberangriffen zu sorgen.
Zuallererst ist da die europäische Datenschutzrichtlinie: Personenbezogene Daten dürfen nur in der EU verarbeitet werden oder in Ländern mit einem ähnlichen Schutzniveau oder es gibt gesonderte Vereinbarungen zwischen der EU und dem Drittland. Wenn ich einen Cloudanbieter nutzen möchte, dann sollte der aus der EU kommen. Am Einfachsten ist natürlich ein Anbieter aus Deutschland. Die sind bei dem Thema oft weiter als ausländische, sie kennen die Rechtsverordnungen und sind auf die Anfragen und Verträge, die abgeschlossen werden müssen, vorbereitet.
Das ist eine komplexe Frage. Als Daumenwert gilt: Wenn das Rechenzentrum in der EU liegt, ist das schon sehr gut. Aber dann muss auch sichergestellt sein, dass diese Daten nicht aus der EU rausgehen, dass zum Beispiel Daten nicht zwischendurch in Amerika geparkt werden.
Nein, natürlich nicht – deshalb muss der Datenverkehr schriftlich festgehalten werden. Zu diesem Zweck wird zwischen Cloudanbieter und Unternehmen ein Vertrag zur Auftragsdatenverarbeitung geschlossen. Der legt genau fest, welche Pflichten ein Cloudbetreiber hat.
Wenn eine Public Cloud richtig aufgebaut ist, ist sie häufig sicherer als Daten im eigenen Unternehmen. Dies gilt insbesondere, wenn der sichere Betrieb über ein IT-Sicherheitszertifikat nachgewiesen wurde. Denn der Cloudanbieter hat naturgemäß die besseren Schutzmaßnahmen, weil das sein Kerngeschäft ist – so etwa eine Firewall, die gerne auch mal fünfstellig kosten darf. Das können sich viele Unternehmen gar nicht leisten. Die Firewall wird von Spezialisten gewartet und ist immer up-to-date. Das schaffen IT-Administratoren in den meisten mittelständischen Unternehmen nicht, weil sie noch ganz andere Aufgaben haben und Schutz vor Cyberangriffen nicht immer oberste Priorität hat.
Wenn eine Public Cloud richtig aufgebaut ist, ist sie häufig sicherer als Daten im eigenen Unternehmen.
Theoretisch ist das möglich: Als Administrator einer Cloud kann ich auf alle Daten zugreifen. Deswegen muss es technische und organisatorische Regelungen beim Cloudanbieter geben, die das verhindern. Rechtlich wird dies durch Vertrag zur Auftragsdatenverarbeitung sichergestellt. Natürlich kann sich jemand nicht daran halten – aber das wäre dann Vertragsbruch und Aufgabe des Rechtssystems. Grundsätzlich geht man von der Vertragstreue aus.
Es gibt auch Cloudanbieter, bei denen der einzelne Administrator nicht so einfach auf Daten zugreifen kann, wo eine Verschlüsselung das verhindert. Da muss dieser dann erst das ok aus einer anderen Abteilung oder vom Kunden haben.
Als erstes schaue ich: In welchem Land operiert der Anbieter? Danach kontrolle ich die technischen und organisatorischen Maßnahmen und Zertifikate. Gegebenenfalls führe ich eine Vor-Ort-Kontrolle durch: Ich fahre zum Anbieter und schaue, ob er die Sicherheitsmaßnahmen einhält. Also Zutrittskontrollen, Besucherausweise, ständige Beaufsichtigung. Um die technischen Schutzvorkehrungen zu überprüfen werden dann Penetrationstests durchgeführt. Hierbei versuchen IT-Spezialisten – ähnlich einem Hackerangriff – von außen in das System einzudringen.
Ja, für einen Laien ist das schwer bis unmöglich, weil sehr viele Aspekte vom Technischen über das Organisatorische bis zum Rechtlichen zusammen kommen. Das wissen Unternehmer einfach nicht. Es ist daher Aufgabe des Datenschutzbeauftragten, den jedes Unternehmen ab zehn Mitarbeitern haben muss – und an den sich Unternehmer in so einem Fall wenden sollten.
Ja, etwa die Sicherheitsnorm ISO 27001. Dahinter verbirgt sich ein Informationssicherheits-Managementsystem (Mehr dazu im Artikel "12 Tipps für Cybersecurity"). Das garantiert kontinuierlich die Daten-Sicherheit im Unternehmen. Wenn ich das bei einem Anbieter sehe, kann ich grob davon ausgehen, dass er sicher mit meinen Daten umgeht. Aber lassen Sie sich nicht von einem ISO-Zertifikat blenden. Es besteht durchaus die Möglichkeit, dass das Zertifikat nur für einen einzelnen Unternehmensbereich des Cloudanbieters gilt.
Vor vielen Jahren wurde die ganze Cloud-Thematik noch verteufelt, heute kann man sich dem nicht mehr verschließen.
Vor vielen Jahren wurde die ganze Cloud-Thematik noch verteufelt, heute kann man sich dem nicht mehr verschließen. Wenn man sich dem Thema öffnet, dann mit Verstand und der nötigen Zeit. Nicht das ganze übers Knie brechen, sondern schauen: Was will ich erreichen? Wie ist das Preisgefüge? Welcher Anbieter passt zu mir? Wie kann ich später einen Anbieterwechsel vollziehen (Exit-Strategie)? Ich will mit der Cloud arbeiten, also muss ich einen Dienst finden, der meine Produktivität steigert und für mein Unternehmen und meine Produktionsabläufe sinnvoll ist. Unabhängig von Sicherheitsfragen. Viele Anbieter bieten Testumgebungen, die guten Einblick in die Fähigkeiten eines Systems bieten.
Wenn sich dann eine Idee, einige Favoriten herauskristallisieren, dann sollten Unternehmen sich einen Fachmann hinzuholen, der die Feinheiten bewertet. Es ist für die meisten Unternehmen schwierig einzuschätzen, worauf man achten muss und was die Risiken sind.
Letztlich gilt: Nicht nur der Preis zählt, auch die Sicherheit.
Das sind hauptsächlich amerikanische Anbieter – wieder stellt sich also die Frage der Verortung. Diese muss vertraglich geregelt werden – der Anbieter muss zusichern, dass Daten nicht unter den Patriot Act fallen. Durch den Patriot Act können US-Bundesbehörden jederzeit auf personenbezogenen Daten zugreifen. Das widerspricht geltendem EU-Recht und muss daher ausgeschlossen werden. Cloudbetreiber können das technisch verhindern, in dem sie Ableger in europäischen Ländern wie Irland, den Niederlanden oder Luxemburg gründen. Die Daten liegen dann hier und verlassen Europa nie.
Wie sich Organisation und Abläufe in einem Unternehmen durch Cloud-Dienste verschlanken, das zeigt der Bremer Unternehmenschef Gerhard Müller im Artikel "Mit der Cloud gehören E-Mails zur Vergangenheit".
Welche Services die WFB Wirtschaftsförderung Bremen GmbH bei der Digitalisierung ihrers Unternehmens bietet, finden Sie auf der Übersichtsseite Digitalisierung.
Inis Ehrlich
Die Senatorin für Wirtschaft, Arbeit und Europa
Referentin für Digitalisierung und KI
Zweite Schlachtpforte 3
28195 Bremen
T +49 (0)421 361 41 85
Damit eines Tages Schiffe selbstständig kreuzen können, bedarf es jeder Menge Hirnschmalz. Bremer Mathematikerinnen und Mathematiker forschen fleißig daran – und holen sich manchmal nasse Füße
Mit KI in die HäfenProfessorin Dr. Tanja Schultz leitet das Cognitive Systems Lab an der Uni Bremen. Ihr besonderes Interesse gilt der Spracherkennung: Eine seit mehr als 20 Jahren von ihr entwickelte multilinguale Datenbasis wird auch heute noch weltweit zur Entwicklung künstlicher Intelligenz verwendet.
Mehr erfahrenWarum kompliziert, wenn es auch einfach geht? Mit IDA Bot haben Nina und Dirk Wenig eine Technologie entwickelt, mit der jeder einen eigenen Chatbot erstellen kann.
zu bremen-innovativ
