Sicherheit in der Cloud

Cloud-Risiken erkennen und eingrenzen

Sicherheit und Verantwortlichkeit

Selbst wenn Firmen alle notwendigen technischen Sicherheitsvorkehrungen getroffen haben, bewegen sie sich beim Cloud Computing in einen zweiten Themenkomplex hinein: den der geteilten Verantwortung. Während Unternehmen mit einem eigenen Rechenzentrum die Aktualität der Sicherheitsvorkehrungen und deren Funktionieren messbar überprüfen können, muss man in der Cloud darauf vertrauen, dass der Cloud Provider seinen Verpflichtungen auf die Einhaltungen von Best Practices nachkommt. Eine tatsächliche Überprüfung oder ein Monitoring ist an dieser Stelle selten möglich.

Es herrscht also der Grundsatz des Vertrauens in den Cloud Provider beziehungsweise in dessen vertragliche Zusicherung. Tritt der Fall eines Datenmissbrauchs zutage, steht zuallererst der Nachweis an, wie die Daten kompromittiert wurden und ob dies ein Versäumnis des Cloud Providers möglich gemacht hatte. Oftmals kommt dann heraus, dass entweder interne Mitarbeiter ihren Zugang zu den Daten missbraucht haben, oder dass sich Fremdpersonen durch Spearphishing - also durch das gezielte Ausspähen von Personen mit Zugangsberechtigungen - Zugangsdaten verschafft haben und diese missbrauchten, ohne dass der Betroffene es sofort realisieren konnte.

Fälle der letzten Jahre wie Edward Snowden und die NSA-Affäre oder die bekannten Steuer-CDs zeigen, dass in vielen Fällen IT-Mitarbeiter ursächlich für Datenmissbrauch verantwortlich sind - ob zum Vor- oder Nachteil, zu Recht oder Unrecht soll hier nicht weiter diskutiert werden.
Ist es aber doch mal der Cloud Provider, dessen Versäumnis für einen Datenmissbrauch oder einen Stillstand der Unternehmens-IT gesorgt hat, handelt er dies normalerweise durch die Rückerstattung von bezahlten oder zukünftigen Infrastrukturkosten an das Unternehmen ab. Ein solcher Vorfall hat jedoch Auswirkungen auf das Vertrauensverhältnis zwischen Kunde und Unternehmen und kann auch einen Verlust von Intellectual Property bedeuten. Im Zeitalter von Industrie 4.0 und dem Internet der Dinge entsteht durch einen derartigen Ausfall auch eine Unterbrechung oder Störung der Produktionsanlagen mit erheblichen Kosten.

Nicht zuletzt verursacht Datenmissbrauch auch rechtliche Probleme. Diese Risiken und ihre Folgen trägt das Unternehmen allein. Die Kosten dafür übersteigen die angebotenen Kompensationen normalerweise um ein Vielfaches - sie sind oftmals gar nicht bezifferbar. "SharedResponsibility" enthält also zusätzliche Risiken.