Sieben von zehn Bundesbürgern stehen der Datensicherheit beim Cloud Computing reserviert gegenüber. Kunden fürchten vor allem, die Kontrolle über persönliche Informationen zu verlieren, wenn die Daten an einen Cloud-Dienstleister transferiert werden. Das ist das Ergebnis einer bevölkerungsrepräsentativen Erhebung von CSC. 1.000 Bundesbürger wurden nach ihrer Meinung zur Datensicherheit beim Cloud Computing befragt.
Bis zum Jahr 2016 wird sich der Umsatz mit Cloud-Diensten in Deutschland auf rund 17 Milliarden Euro mehr als verdreifachen – so eine aktuelle Bitkom-Prognose. Nach einer Untersuchung von Bitkom nutzen gut ein Viertel (28 Prozent) aller Unternehmen in Deutschland Cloud Computing. Die weit überwiegende Zahl der Cloud-Nutzer setzt derzeit auf so genannte Private Clouds. 27 Prozent der Unternehmen nutzen diese Form des Cloud Computings, weitere 21 Prozent haben in diesem Bereich konkrete Investitionspläne für die kommenden 2 Jahre. Private Clouds sind quasi unternehmenseigen und können vom Unternehmen selbst oder von einem externen Dienstleister betrieben werden. Nur 6 Prozent der Unternehmen nutzen schon eine Public Cloud. Hier werden ITK-Leistungen von einem externen Dienstleister über das öffentliche Internet bezogen.
Im Zuge des Booms sorgen sich jedoch 70 Prozent der Befragten, dass persönliche Daten, die vom Cloud-Dienstleister verarbeitet werden, nicht in Deutschland verbleiben. Sie befürchten gleichzeitig, dass gesetzlich vorgeschriebene Löschaufträge vom Cloud-Dienstleister nicht zuverlässig ausgeführt werden.
Auch die große Mehrheit der befragten Bundesbürger (86 Prozent) sehen Cloud-Dienstleister am Zuge, die Einhaltung von Datenschutz und technischer Sicherheit nachzuweisen. 82 Prozent wünschen sich sogar vom Gesetzgeber eine Zertifizierung vorzuschreiben, mit der IT-Dienstleister die Einhaltung von Sicherheitsstandards im Cloud Computing nachweisen.
Was sind aus der Perspektive des Risikomanagements beim Thema Cloud Computing zu beachten? Die RiskNET-Redaktion will ein wenig Licht in den Nebel der Wolke bringen und hat Siki Giunta zur Risiko- und Chancenlandkarte beim "Rechnen in der Wolke" befragt. Sie ist bei bei der Computer Sciences Corporation (CSC) für die globale Umsetzung der Cloud-Computing-Strategie verantwortlich.
>> Aus Sicht des Risikomanagements sind die Themen Betriebssicherheit (Safety), Angriffssicherheit (Security) und Rechtssicherheit (Compliance) im Kontext Cloud Computing relevante Themen. Beginnen wir mit der Betriebssicherheit: Wenn die Daten in der Cloud liegen, gehören sie nicht mehr dem Kunden selbst. D. h. er hat keinen unmittelbaren, direkten Zugriff mehr auf seine Daten. Ist das ein relevantes Thema in der Praxis der Unternehmen. Was empfehlen Sie ihren Kunden?
Siki Giunta: Die Qualität von Cloud-Computing hängt stark von der Arbeitslast und den technischen Applikationen ab, auf denen die Dienste aufgesetzt sind. Aus diesem Grund empfehle ich unseren Kunden immer, den Fokus auf das Risikoprofil der Applikationen zu setzen, bevor sie eine Cloud-Entscheidung treffen. Wenn das Risikoprofil der Applikationen beispielsweise für eine öffentliche Cloud passend ist, es also auf Transparenz, Datenschutzfragen oder wo die Applikation läuft nicht ankommt, steht einer solchen Lösung nichts im Wege. Wenn das Risikoprofil der Applikationen jedoch hohe Anforderungen stellt – es also einen Bedarf für Data Governance, Schutz der Privatsphäre, Compliance, regelmäßige Back-ups oder verpflichtende Business-Continuity-Auflagen gibt – dann sind Gold- oder Platin-Service-Levels die bessere Wahl.
>> Wie geht man mit dem Thema Ausfallsicherheit um? Ein Blick in die Vergangenheit zeigt, dass auch größere Clouds bereits ausgefallen sind, teilweise mit Datenverlust. So sorgte im vergangenen Jahr ein falsch ausgeführtes Netzwerk-Upgrade in einem Rechenzentrum in Northern Virginia für einen Störfall. Die Folge war, dass sich Datensätze von Amazons Elastic Block Store (EBS) verselbstständigten und nach einem Backup-Platz für sich selbst suchten. Nach Informationen der Computerwoche nahm die Reparatur vier Tage in Anspruch, an denen der Service für einen Großteil der Kunden nicht erreichbar war. Zudem konnte ein Teil der gespeicherten Daten nicht mehr wiederhergestellt werden. Ähnliche Nachrichten gibt es auch von Google Mail, Windows Live und Paypal. Wie bewerten Sie das Thema Ausfallsicherheit. Welche Maßnahmen empfehlen Sie aus der Sicht eines Risikomanagers?
Siki Giunta: Eine Applikation in der Cloud folgt denselben Regeln wie alle anderen Projekte. Als erstes ist eine gute Vorbereitung des Projektmanagements mit Evaluierung, Lifecycle und Interaktionen immer notwendig – das ist genauso wie bei der Implementierung in jeder anderen Umgebung. Leute die glauben, für die Implementierung in der Cloud könne man bei der operationellen Effizienz Abstriche machen, folgen einem Rezept für Misserfolge. Alle Planung und Umsetzung im Risikomanagement, die mit der Einführung von Applikationen zu tun hat folgt denselben Regeln – also auch die Implementierung der Cloud.
>> Wir kommen zum Thema Angriffssicherheit (Security). Für den Kunden ist nicht erkennbar, wer alles Zugriff auf die Cloud-Daten hat. Gerade wenn Serverkapazitäten noch zwischen Cloud-Anbietern untereinander weitervermietet werden, kann es viele mögliche Angriffspunkte geben. Wie ist dieses Thema im Kontext Wirtschaftsspionage zu bewerten?
Siki Giunta: Mit Blick auf Industriespionage und IP-Kontrolle gilt zunächst einmal die Faustregel, dass unternehmenssensible Daten in einer Public-Shared-Domain generell nicht gut aufgehoben sind. Wenn Mitarbeiter beispielsweise Entwurfszeichnungen für ein neues Automodell in eine öffentliche Cloud posten, ist das Kind in den Brunnen gefallen. Wie aber lassen sich solche Fehler vermeiden?
In einem ersten Schritt sollte für die Entwickler eine sichere Umgebung bereitgestellt werden, in der Informationen ausgetauscht und Produkte kreiert werden können. Die Forschungs- und Entwicklungsabteilungen sollten also im Rechenzentrum des Unternehmens unter der höchsten Sicherheitsstufe geführt werden. In einem zweiten Schritt sollte ein Schwachstellen-Assessment sowie eine Cyber-Evaluierung der Prozesse durchgeführt werden. Ziel ist dabei, eine wirkliche Schutzkultur für die IP-Sicherheit voranzutreiben und zu etablieren. Die Lösung ist nicht nur eine technische Lösung sondern eine Prozess-Lösung, die auf einer Sicherheitskultur basiert.
CSC verfügt beispielsweise über ein sehr wirkungsvolles Cyber-Assessment. Dabei wird akribisch untersucht, wie sich die Teilnehmer in einer Forschungsumgebung verhalten und was die Mitarbeiter für ihre Tätigkeit und Verantwortung wissen sollten, um die eigene Firma vor den Gefahren von Industriespionage zu schützen.
>> Aus der Sicht der Rechtssicherheit (Compliance) beschäftigen sich die Rechtsabteilungen heute damit, dass die Rechenzentren der Cloud-Anbieter häufig im Ausland stehen (siehe Google, Microsoft, Amazon). Dies ist mit deutschen Datenschutzgesetzen in der Praxis nur schwer vereinbar: Nach Urteil des Europäischen Gerichtshofs dürfen nur eingeschränkt Daten in die USA gelangen, wo sich aber über 90 Prozent der Infrastruktur vom Cloud-Computing befindet. Wenn etwa personenbezogene Daten Dritter in die Cloud gegeben werden, müssen sich beispielsweise deutsche Auftraggeber vorab und anschließend regelmäßig nachvollziehbar vor Ort in der Cloud davon überzeugen, dass die Vorgaben des Bundesdatenschutzgesetzes eingehalten werden. Das ist in der Praxis nicht möglich. Und auf der anderen Seite haben Cloud-Betreiber mit Sitz in den USA (beispielsweise Amazon, Microsoft und Google) bestätigt, dass sie nach dem US-Patriot-Act verpflichtet sind, Daten an amerikanische Behörden auszuliefern. Wie passt das zusammen?
Siki Giunta: Im Gespräch mit meinen Kunden stelle ich immer klar, dass die Compliance mit staatlichen Regeln oberste Priorität hat. Wenn staatliche Gesetze Verpflichtungen hinsichtlich Risikoprofil und Sicherheit privater Daten auferlegen, müssen die Unternehmen einen Cloud-Provider auswählen, der durch Transparenz und Präsenz vor Ort garantiert, das Datenmanagement nach den Regeln des Landes sicherzustellen. Es ist von größter Bedeutung, alle Vorschriften der Länder, in denen ein Unternehmen tätig ist, einzuhalten. Unsere Aufgabe als Serviceprovider CSC ist es entsprechend, unseren Kunden eine größtmöglich transparente, effiziente und mit allen Regeln konforme Plattform zur Verfügung zu stellen, damit Unternehmen ihre Geschäfte sicher führen können.
>> Wo sehen Sie die 10 größten Security-Risiken in der Cloud? Wie sollte man als Chief Risk Officer oder Chief Compliance Officer damit umgehen?
Siki Giunta: Cloud-Computing verfügt über zahlreiche Entwicklungsmechanismen. Die öffentliche Cloud ist die offenste Variante und damit der Ort mit den größten Risiken sowie dem größten Datenaustausch. Ausgehend von meinem Grundprinzip empfehle ich immer, prüfen sie das Risikoprofil der Applikationen: Im Falle einer Applikation mit hohem Risikoprofil, sollte die Nutzung einer öffentlichen Cloud entsprechend vermieden werden.
Für diese Fälle bietet sich eine Cloud an, die so abgeschirmt und sicher wie möglich ist. Die am besten abgegrenzte Cloud ist die private Cloud im eigenen Rechenzentrum. In der Praxis stellen sich die folgenden zwei wichtigsten sicherheitskritischen Fragen: Wie wird der Zugang über das Internet gesichert und überwacht? Welche Firewall und welche Log-In-Mechanismen kommen zum Einsatz? Dieselben Fragen stellen sich für den Datentransfer. So ist es von größter Bedeutung, die Daten bei Übertragung an Cloud-Provider wirksam zu verschlüsseln und dabei auch die eigenen Verschlüsselungscodes zu sichern. Der beste Ort für die Durchführung liegt dabei im Rechenzentrum des Kunden.
[Die Fragen stellte Frank Romeike, Chefredakteur RiskNET sowie verantwortlicher Chefredakteur der Fachzeitschrift RISIKO MANAGER sowie Benjamin Meier, Redakteur RiskNET]
Das Interview im Video:
Siki Giunta, Global Vice President, Cloud Business Unit, CSC
Siki Giunta ist Global Vice President, Cloud Business Unit mit globaler Verantwortung für die Umsetzung der Cloud-Computing-Strategie von CSC und für den weiteren Ausbau der führenden Position des Unternehmens im Cloud-Service-Markt.
Sie leitet die neu gegründete CSC Trusted Cloud & Hosting Business Group und entwickelt die Positionierung des Unternehmens in den Bereichen Beratung, Systemintegration sowie Cybersecurity in der Cloud weiter, während sie gleichzeitig die SaaS-Fähigkeit der Branchenlösungen von CSC vorantreibt.
Bevor sie zu CSC kam, war Siki Giunta Vorstandsvorsitzende und CEO von Fortisphere sowie Vorstandsvorsitzende und CEO von Managed Objects, wo sie die Business Service Management Software-Marktkategorie maßgeblich mitgestaltet hat. Sie war Vice President für das strategische Geschäft von Novell und Senior Vice President bei Computer Associates. Siki Giunta hat mehr als 20 Jahre Erfahrung in den Bereichen International Operations, Marketing und Vertrieb.
Siki Giunta hat Literatur- und Kunstgeschichte am De Vedruna College in Rom sowie französische Sprach- und Kulturwissenschaft an der La Sorbonne in Paris studiert.
[Bildquelle oben: © Guido Vrola - Fotolia.com / Bildquelle Siki Giunta. CSC]