Sicherheit für Unternehmensdaten in der Cloud
Mobilität versus Sicherheit: Sicheres Cloud Computing für KMU
Mobiler Datenverkehr und Datenspeicherung in der Cloud müssen abgesichert sein
Von Karl Mayrhofer
(03.06.14) - Besonders kleine und mittlere Unternehmen profitieren von der Nutzung der Cloud, denn der Geschäftsalltag wird immer schnelllebiger und mobiler. Auch Home-Office gehört zum Alltag, wie die aktuelle Studie von IDC zum Thema "Mobile Content Management in Deutschland 2014" zeigt. Mitarbeiter steigern ihre Effizienz, wenn sie auf Unternehmensdaten und Dokumenten auch von unterwegs zugreifen können. Bei der Auswahl des richtigen Cloud-Angebotes sollten Themen wie Daten-, Zugriffs- und Rechtssicherheit sowie die Service-Qualität besonders kritisch betrachtet werden.
KMU stehen aufgrund von Marktveränderungen unter zunehmendem Wettbewerbsdruck. Zeit ist ein kostbares Gut – dieses bestmöglich zu nutzen Pflicht. Um auf lange Sicht wirtschaftlich erfolgreich zu bleiben, müssen sie sich kontinuierlich an die neuen Anforderungen ihres Geschäftsumfelds anpassen. So ist es auch im Interesse des Arbeitgebers, wenn Mitarbeiter von unterwegs auf geschäftsrelevante Inhalte zugreifen können: Arbeitsprozesse werden auf diese Art dynamischer, flexibler und effektiver. So einfach es klingt, die Umsetzung in der Praxis ist nicht trivial. Mobiler Datenverkehr und Datenspeicherung in der Cloud müssen abgesichert sein. Daher sollte es im Interesse des Unternehmens liegen, die entsprechenden Rahmenbedingungen für den sicheren Austausch von geschäftsrelevanten Daten zu schaffen, bevor Mitarbeiter Selbstinitiative ergreifen und unsichere Plattformen zum Austausch von Informationen nutzen.
Sicherheit für Unternehmensdaten
Dies fängt bei der wesentlichen Fragestellung im Bereich der Datensicherheit an: Wo speichert der Anbieter meine Daten? Bei der Auswahl eines Anbieters ist jedenfalls wichtig, dass dieser die Daten in Europa belässt, idealer Weise in Deutschland speichert. Natürlich sollte der Anbieter umfassende Verschlüsselungsverfahren (z.B. Schutz durch SSL-Verschlüsselung nach dem RSA-Verfahren, HTTPS Standard) einsetzen, sowohl für den Datentransfer zwischen den (mobilen) Endgeräten und den Rechenzentren, als auch für das Speichern in den Rechenzentren. Darüber hinaus macht es Sinn, sich die Professionalität des Rechenzentrumsbetriebs objektiv nachweisen zu lassen, beispielsweise durch Zertifizierungen wie ISO 27001, ISO 20000 oder eine TÜV-Zertifizierung.
Auch die IDC Studie (Download IDC Studie "Mobile Content Management in Deutschland 2014") bestätigt, dass in Bezug auf Sicherheitsmaßnahmen von File-Sharing- und Synchronisationslösungsanbietern die deutschen Unternehmen auf zertifizierte Sicherheitsstandards vertrauen. Hierbei sind der TÜV (68 Prozent) und die ISO-Zertifizierungen (50 Prozent für ISO 2000 und 46 Prozent für ISO 27001) am bekanntesten.
Generell sind einheitliche Regelungen für Zertifizierungen von der EU für Unternehmen von Vorteil und wünschenswert. In der Europäischen Union wird derzeit an den Rahmenbedingungen für den Aufbau von unabhängigen Cloud Services getüftelt. Die Arbeitsgruppen "Cloud Select Industry Group" (Cloud Select Industry Group on Code of Conduct, Cloud Select Industry Group on Certification Schemes und Cloud Select Industry Group on Service Level Agreements)der Europäischen Kommission haben das selbst erklärte Ziel, rechtliche Rahmenbedingungen für sicheres Cloud Computing zu schaffen. und so den Grundstein für eine europaweite Standardisierung von Cloud Computing zu legen.
Zugriff nur für authentisierte Personen
Bei der Zugriffssicherheit unterschätzen viele Kunden die Bedeutung des Cloud-Logins für die Sicherheit in der Cloud. E-Mail-Adresse und Passwort bieten nur geringen Schutz vor dem Missbrauch eines Cloud-Zugangs. Besser sind Login-Methoden, die neben dem Wissen über Login-Name und Passwort einen zweiten Faktor voraussetzen (Zwei-Faktor-Authentifizierung). In diesem Fall wird zum Beispiel bei einem Anmeldevorgang eine "E-Mail PIN" versandt, oder eine "MobilePIN" an ein vorher registriertes Mobiltelefon gesandt, die zusätzlich zu E-Mail-Adresse und Passwort anzugeben ist. Eine Vorgehensweise, die sich im Businessumfeld immer mehr als Standard etabliert. Noch sicherer sind Login-Verfahren wie "Single-Sign-On" mit einem digitalen Zertifikat, die Nutzung des Firmen-Accounts für den Cloud-Login oder die Anmeldung mit einer digitalen Identität, wie dem deutschen Personalausweis.
Für die mobile Nutzung von Cloud-Services empfiehlt es sich Anbieter zu wählen, die dafür passende Apps anbieten. Auch sie sollten die Möglichkeit zur Authentisierung mit "E-Mail PIN", "MobilePIN" oder Zertifikat bieten und die Daten lokal am Endgerät verschlüsseln.
Datenspeicherung unter europäischem Recht
Rechtssicherheit bedeutet für den Kunden, dass er einen konkreten Vertragspartner in Europa bzw. in Deutschland hat, mit standardisierten Cloud-Verträgen nach europäischem bzw. deutschem Recht. Cloud Computing-Verträge müssen Klarheit und Transparenz schaffen und regeln im Idealfall auch Service-Levels, beispielsweise eine vertraglich zugesicherte Verfügbarkeit des Cloud Computing-Dienstes. Professionelle Firmen veröffentlichen die tatsächlich gemessenen Service Levels ihres Cloud-Dienstes. Viele Cloud Computing-Anbieter setzen heute auf Infrastruktur-Dienste anderer Hersteller auf (z.B. auf Amazon oder Microsoft Windows Azure). Hier ist zu beachten, dass damit der Cloud Computing-Services von den rechtlichen Vorgaben und den Service-Levels dieser Drittanbieter abhängig ist. Die bessere Wahl sind Anbieter, die im Besitz des Source Codes sind und die Cloud-Dienste selbst betreiben.
Gütesiegel für Qualitätssicherheit
Die richtige Wahl des Cloud Computing-Anbieters trägt wesentlich zum Erfolg eines Unternehmens bei. Eine gute Business-Cloud für den Mittelstand bietet nicht nur die technische Sicherheit des Speicherplatzes. Sie lässt sich auch ohne großen Aufwand in bestehende IT-Umgebungen und Sicherheitssysteme integrieren, garantiert eine Datenspeicherung in Deutschland oder Europa und bietet höchste Sicherheitslevels bei der Authentifizierung. Besonders in Zeiten von NSA und PRISM sollte der Fokus auf Cloud-Services "Made in Europe" liegen.
Autor des Fachartikels ist Karl Mayrhofer, Geschäftsführer Fabasoft Cloud GmbH
(Fabasoft: ra)
Fabasoft: Kontakt und Steckbrief
Der Informationsanbieter hat seinen Kontakt leider noch nicht freigeschaltet.