Mit Cloud-Computing lässt sich nicht nur Geld sparen, sondern auch die IT-Sicherheit erhöhen: Gerade kleine und mittlere Unternehmen etwa können von speziellen Cloud-Sicherheitslösungen und dem Wissensvorsprung erfahrener Anbieter profitieren. Große Unternehmen hingegen sollten gut prüfen, ob die Vertragsbedingungen ausreichende Sicherheitsgarantien für den jeweiligen Anwendungsfall bieten, denn Ausfälle und andere Störungen sind im Cloud-Computing keine Seltenheit.

Zu diesem Ergebnis kommt eine Studie des Fraunhofer-Instituts für Sichere Informationstechnologie, die Sicherheitsrisiken beim Cloud-Computing untersucht hat. Immer mehr Unternehmen, auch Kliniken, nutzen Cloud-Computing und verlagern ihre Daten, Anwendungen und Netze auf Server-Farmen von Anbietern wie Amazon, Google, IBM oder Microsoft. Vorteil: Server und Softwarelösungen müssen nicht selbst angeschafft werden, sondern die nötigen Kapazitäten für Daten, Rechenleistung und Anwendungen werden bei professionellen Anbietern gemietet. Das spart Geld und Aufwand und sorgt außerdem für hohe Flexibilität. Denn die Leistung des gemieteten Dienstes lässt sich je nach Bedarf variieren.

Wer garantiert für sicheres Datenmanagement?

Aber was passiert, wenn das Angebot ausfällt? Wer garantiert, dass die Firmengeheimnisse oder sensible Dokumente auf den externen Servern auch sicher sind? Welche Sicherheitsrisiken entstehen, wenn ein Subunternehmer des Cloud-Service Zugriff auf diese Rechner hat und werden die Daten auf Kommando auch wirklich gelöscht? Solche und ähnliche Fragestellungen sollte man klären, bevor man sich für ein Cloud-Angebot entscheidet. Auf der einen Seite ermöglicht die Strategie des Auslagerns in die Wolke den Unternehmen, sich auf ihre Kernkompetenzen zu konzentrieren. Auf der anderen Seite wächst jedoch die Abhängigkeit von externen IT-Systemen, deren Ausfall durch technische Störungen, Malware oder Hackerangriffe nicht nur die Kommunikation, sondern auch ganze Geschäftsprozesse lahmlegen kann.

Archivierung und Verfügbarkeit

„Fast jeder große Anbieter von Cloud-Services hatte in der Vergangenheit einen größeren Vorfall im Bereich Verfügbarkeit oder Sicherheit", berichtet Dr. Werner Streitberger, einer der Autoren der Studie. „Die aktuellen Cloud-Serviceangebote zeigen, dass vor allem im Bereich der Infrastruktur eine Reihe von Sicherheitstechnologien bereits zum Einsatz kommen. In den Bereichen Architektur, Verwaltung und Compliance ist die Unterstützung von Sicherheitstechnologien seitens der Cloud-Anbieter jedoch noch nicht so weit fortgeschritten." Bei der Untersuchung des SIT zeigte sich, dass trotz Risiken kleine und mittlere Unternehmen ihre Sicherheit durch den Einsatz von Cloud-Services erhöhen würden. „Sie können Sicherheitslösungen als Service von spezialisierten Anbietern beziehen und so von deren Erfahrung beim Implementieren und Betreiben von sicheren Services profitieren", erläutert Streitberger.

Sicherheitsfunktionen individuell prüfen

Große Unternehmen dagegen sollten die Sicherheitsfunktionen eines Cloud-Anbieters individuell prüfen und im Einzelfall entscheiden, ob die angebotenen Sicherheitsmechanismen für den konkreten Bedarf des Unternehmens ausreichend sind. „Die aktuellen Cloud-Serviceangebote zeigen, dass bei Infrastrukturservices eine Reihe von Sicherheitstechnologien zwar bereits zum Einsatz kommen, in den Bereichen Anwendung und Plattform, Management und Compliance erreichen die Cloud-Anbieter die geforderten Schutzziele jedoch teilweise noch nicht", kritisiert Streitberger. Aus Sicht der Compliance können Cloud-Services zwar eingesetzt werden. Jedoch bleibt die Verantwortung der Daten meist beim Cloud-Benutzer, sodass dieser genaue Richtlinien definieren sollte, welche Daten wie in einem Cloud-Service abgespeichert und verarbeitet werden dürfen und welche Sicherheitsfunktionen vorhanden sein müssen.

Garantien für Rechte und Pflichten exakt prüfen

Eine weitere Schwachstelle sind die Service-Level-Agreements (SLAs), also die Vereinbarungen über die Rechte und Pflichten zwischen den Cloud-Benutzern und Cloud-Anbietern: Die bisher üblichen Vereinbarungen geben nur minimale Garantien der Dienstgüte des Cloud Service. Vor allem Sicherheitsgarantien sind nur rudimentär vorhanden und die dafür nötigen Funktionen durch den Cloud-Anbieter nur unzureichend dokumentiert. „Häufig nimmt die Sicherheit im Angebot nur eine untergeordnete Rolle ein, sodass wir empfehlen, für einen Cloud-Service detaillierte Informationen vom Anbieter anzufordern. Eventuell sollte auch ein Proof-of-Concept, eine Machbarkeitsstudie, vor dem eigentlichen Einsatz realisiert werden", sagt Streitberger.