Gut die Hälfte aller Unternehmen in Deutschland wurde laut "Cloud-Monitor 2015" des Bitkom in den vergangenen zwei Jahren digital angegriffen. Besonders oft trifft es mittelständische Unternehmen. Gleichzeitig steht der Mittelstand in Deutschland unter zunehmendem Kosten- und Innovationsdruck: Themen wie die digitale Transformation und Industrie 4.0 bergen große Herausforderungen. Hier präsentiert sich Cloud Computing als Lösung, mit der sich nicht nur Kosten senken und neue Geschäftsideen verwirklichen lassen, sondern auch die IT-Sicherheit erhöht werden kann. Dennoch stehen viele Mittelständler der Cloud gerade in Sachen IT-Sicherheit immer noch skeptisch gegenüber. Wir stellen die wichtigsten Fragen zum Thema Cloud Security und geben Antworten.
Warum ist Cloud Computing für Mittelständler überhaupt interessant?
Letztendlich funktioniert Cloud Computing nicht anders als eine virtuelle Einkaufsgemeinschaft. Dadurch, dass mehrere Unternehmen auf gemeinsame IT-Ressourcen zurückgreifen, können alle Beteiligten effizienter wirtschaften. Die abgerufenen Leistungen sind nahezu beliebig skalierbar und richten sich flexibel nach dem tatsächlichen Bedarf der Unternehmen - das Risiko von Fehlinvestitionen entfällt.
Kein Wunder, dass besonders größere Mittelständler den Schritt in die Cloud bereits vollzogen haben. Das belegen auch die Zahlen, die der Bitkom im Frühjahr veröffentlicht hat. Mehr als zwei Drittel der Unternehmen mit mehr als 2000 Mitarbeitern hatten 2014 Cloud-Lösungen im Einsatz. Für das laufende Jahr rechnet der Verband beim Cloud Computing für Geschäftskunden mit einem Marktwachstum von 39 Prozent auf rund 8,8 Milliarden Euro. Doch das prognostizierte Wachstum darf über eines nicht hinweg täuschen: Der größte Hemmschuh im Mittelstand für den Schritt in die Cloud bleibt die Frage nach der Sicherheit.
Welche Sicherheitsanforderungen gibt es beim IT-Auslagern in die Cloud?
Die meisten Sorgen machen sich deutsche Unternehmen über einen möglichen unberechtigten Zugriff auf sensible Unternehmensdaten, wie der Cloud Monitor zeigt. 60 Prozent der Unternehmen sehen darin eine Hürde, wenn sie über die Auslagerung von Daten und Anwendungen in die Cloud diskutieren. Sicherheit vor Datendiebstahl ist zweifellos eine zentrale Anforderung an die Unternehmens-IT. Sie ist jedoch nur eines von mehreren relevanten Sicherheitszielen im Kontext von Cloud Computing. Weitere kommen hinzu: Zum einen müssen gesetzliche Bestimmungen - etwa in Fragen des Datenschutzes oder der Compliance - beachtet werden. Zum anderen müssen die Integrität sowie die Verfügbarkeit von Informationen und IT-Systemen garantiert sein.
Warum kann die Cloud die IT-Sicherheit verbessern?
Nur weil die Server im eigenen Firmenkeller stehen, sind sie noch lange nicht sicher - weder vor Hardware-Defekten noch vor allzu neugierigen Blicken und unbefugtem Zugriff oder ganz profan: vor einem Brand. Echten Rundum-Schutz bietet nur ein professioneller IT-Betrieb, der dafür Sorge trägt, dass Daten und Anwendungen sicher und zuverlässig in der Cloud zur Verfügung stehen. In den Bereichen Technik und Betrieb kann die Verantwortung für IT-Sicherheit vollständig auf IT-Dienstleister übertragen werden.
Das ist für viele Unternehmen sogar ratsam. Denn um bei der immensen Dynamik stets neuer Bedrohungsszenarien immer auf der Höhe der Zeit zu bleiben, haben Dienstleister oftmals mehr Experten, Spezialwissen und Erfahrung. Außerdem können sie die Kosten der aufwändigen Sicherheitssysteme eines Rechenzentrums - redundante Anbindung, Löschanlage, Notstromversorgung, Zugangskontrolle, um nur einige zu nennen - auf viele Kunden umlegen. Mit IT-Services aus der Cloud können Unternehmen ihre IT sicherer, zuverlässiger und effizienter machen - wenn sie ihren Dienstleister mit Bedacht wählen.
Welche Sicherheitsrisiken bestehen abseits der Technik?
Bei der Sicherheitsdiskussion um Cloud Computing geht es häufig um die technische Abwehr eines unerlaubten Zugriffs von außen. Dabei darf nicht vergessen werden, dass das größte Sicherheitsrisiko in einem Unternehmen der Mensch selber ist. Der wissentliche und vorsätzliche Raub von Daten ist gesamt betrachtet dabei eher die Ausnahme. Falsche Bedienung, die private Nutzung von firmeneigener Hard- und/oder Software sowie der fahrlässige Umgang mit vertraulichen Informationen sind mindestens ebenso große Gefahren für die IT-Sicherheit wie Bedrohungen von außen. Da hilft dann auch der beste Cloud-Anbieter nichts.
Deshalb brauchen Unternehmen IT-Sicherheitsstrukturen, die in der Organisation wirken. Die Sensibilisierung für Risiken und das Durchsetzen von Sicherheitsrichtlinien und -strukturen unter den Mitarbeitern sind unerlässliche interne Management-Aufgaben.
Wie können Unternehmen ihre IT-Security selbst optimieren?
IT-Sicherheit muss fest in der Organisationsstruktur des Unternehmens verankert sein. Es bedarf einer Sicherheitsorganisation mit klaren Verantwortlichkeiten und Eskalationswegen. Die Mitarbeiter brauchen Kontaktpersonen vor Ort, an die sie sich bei Fragen und Unsicherheiten direkt wenden können und die bei der Sensibilisierung und Schulung der Mitarbeiter aktiv mitwirken. Der Betriebsrat spielt hierbei ebenfalls eine wichtige Rolle als Multiplikator. Zum anderen braucht es klare Handlungsrichtlinien, etwa für den Umgang mit vertraulichen Daten, die Passwort-Politik oder die private Nutzung der Firmen-IT, auf die sich die Mitarbeiter verpflichten müssen. Das schafft einen verlässlichen Rahmen und gibt den Mitarbeitern Sicherheit in der Frage, was erlaubt ist und was nicht. Die Richtlinien sollten zunächst eher restriktiv gehalten werden. Es ist in der Praxis einfacher, bei Bedarf Ausnahmen zuzulassen, als ursprünglich laxe Regeln nachträglich zu verschärfen.
Was leisten Prozess-Standards im Bereich Cloud-Sicherheit?
IT-Dienstleister, die nach der internationalen Norm ISO 20000 zertifiziert sind, erbringen IT-Services wie etwa Cloud Computing standardisiert nach industriellen Maßstäben. Das gewährleistet eine gleichbleibend hohe Qualität der Services und bedeutet für den Kunden ein hohes Maß an Verlässlichkeit und Planbarkeit. Die weitere Standardisierung von IT-Services ist deshalb eine der zentralen Herausforderungen für den Mittelstand, wie eine Studie des Marktforschungsunternehmens Lünendonk unter Sourcing-Beratern zeigt. Insbesondere für die IT-Sicherheit sind standardisierte Prozesse unabdingbar. Sie bringen Verlässlichkeit und Produktionsqualität.
Die Abweichung von Standards bedeutet hingegen Sicherheitsrisiken und kann zu Schäden oder Sanktionen führen. Das gilt zum einen für physikalische Sicherheitsstandards wie zum Beispiel die Löschanlage im Rechenzentrum. Das gilt aber natürlich auch für organisatorische und prozessuale Sicherheitsstandards wie etwa Berechtigungskonzepte oder die Zugangskontrolle. Neben der ISO 20000 bietet vor allem die ISO 27001 als anerkannter Sicherheitsstandard für Rechenzentren einen guten Orientierungsrahmen für die Sicherheit von Cloud-Dienstleistungen.
Woran erkennt ein Mittelständler einen geeigneten Cloud-Dienstleister?
Die vier zentralen Ziele der IT-Sicherheit (Vertraulichkeit, Integrität und Verfügbarkeit der Informationen und Systeme sowie Einhaltung gesetzlicher Bestimmungen) weisen hier den Weg. Laut dem diesjährigen Bitkom Cloud Monitor erwarten 83 Prozent der Kunden von ihrem Cloud-Anbieter, dass er seine Rechenzentren ausschließlich in Deutschland betreibt. Denn dadurch ist gewährleistet, dass der Dienstleister den strengen deutschen Datenschutzrichtlinien unterliegt.
Der Provider sollte zudem über eine etablierte Sicherheitsorganisation mit klaren Rollen, Verantwortlichkeiten und Eskalationswegen verfügen. So weiß der Kunde, dass der Anbieter das Sicherheitsthema ernst nimmt, proaktiv bearbeitet und im Krisenfall schnell und konsequent handeln kann. Die Qualität der Cloud-Dienstleistungen - und damit auch ihre Verfügbarkeit und Leistungsfähigkeit - hängt darüber hinaus vom Grad der Standardisierung von Prozessen und Leistungen ab. Diese wird durch die Zertifizierung nach ISO 20000 dokumentiert. (sh)