Wenn es um Cloud-Computing geht, sind Unternehmen und öffentliche Auftraggeber in Deutschland vorsichtig. Zu diesem Ergebnis kommen so gut wie alle Studien, die sich mit der Nutzung von Cloud-Diensten beschäftigen. Der Cloud Monitor 2017 des Beratungshauses KPMG und des Digitalverbands Bitkom ergab beispielsweise, dass an die 60 Prozent der Unternehmen, die noch keine Public-Cloud-Dienste nutzen, im Zugriff Unbefugter auf Daten in der Cloud ein Hemmnis sehen. Rund 52 Prozent der Befragten gaben an, dass juristische Vorgaben gegen den Einsatz von Cloud-Diensten sprechen.

Skepsis bezüglich Cloud-Sicherheit

Ein ähnliches Resultat zeigte sich bei einer Untersuchung des eco Verbandes der Internetwirtschaft von 2017. Befragt wurden in diesem Fall IT-Sicherheitsfachleute von Unternehmen. An die 57 Prozent gaben an, dass die Nutzung von Cloud-Diensten das Sicherheitsniveau reduziert. Jeweils etwas mehr als 20 Prozent sehen keine Verschlechterung oder gar eine Verbesserung der Sicherheit von Daten und Applikationen durch die Cloud.

Allerdings scheinen sich Manager und IT-Fachleute deutscher Unternehmen und von öffentlichen Einrichtungen nicht ganz schlüssig zu sein, wie sie die Sicherheit von Cloud-Services bewerten sollen. Denn ein weiteres Resultat der Analyse von KMPG ist wiederum, dass die Mehrheit der deutschen Unternehmen ein hohes Vertrauen in die Sicherheit von Daten hat, die in Public-Cloud-Rechenzentren verarbeitet werden. Insgesamt 57 Prozent der Befragten vertrauen der Datensicherheit in der Cloud. Das gilt sowohl für kleine als auch große Unternehmen und Organisationen.

Cloud schützt vor WannaCry und Petya

Dass die Einschätzung bezüglich des hohen Sicherheitsstandards von Cloud-Rechenzentren und entsprechenden Services durchaus berechtigt ist, zeigt sich an den aktuellen Beispielen der "Erpresser-Trojaner". Nach Angaben des amerikanischen Beratungsunternehmens Cloud Technology Partners wurde kein einziger wichtiger Cloud-Service-Provider Opfer von Angriffen mit Ransomware wie WannaCry und Petya. Den Fachleuten in den Cloud-Rechenzentren gelang es, ihre Infrastruktur und damit die Daten und Applikationen ihrer Kunden "sauber zu halten".

Anders dagegen bei Unternehmen und deren Rechenzentren: Laut der Studie von eco verzeichnete fast ein Drittel der deutschen Firmen und öffentlichen Einrichtungen "Vorfälle" im Zusammenhang mit Erpressersoftware. Ein Teil von ihnen zahlte den Hackern sogar ein Lösegeld, um wieder an verschlüsselte Daten auf Servern und Endgeräten zu gelangen.

Eine Ransomware-Attacke führte 2016 in einem Krankenhaus in Neuss dazu, dass Pflegepersonal und Ärzte tagelang auf Papier und Bleistift statt PC, Tablet und elektronische Kommunikationsmittel zurückgreifen mussten. Die Ransomware-Welle im Frühsommer 2017 wiederum legte Dutzende von Kliniken in Großbritannien lahm.

Den passenden Provider finden

Das heißt, Cloud-Dienste sind sehr wohl sicher und können auch Attacken widerstehen, bei denen so manches Unternehmensrechenzentrum Probleme bekommen würde. Allerdings sollten Interessenten bei der Auswahl eines Anbieters von Cloud-Diensten darauf achten, dass dieser umfassende Sicherheitsvorgaben einhält. Dabei spielen unter anderem folgende Punkte eine Rolle:

1. Handelt es sich um einen Provider mit Hauptsitz in Deutschland?
   Nur dann ist er Anbieter an die Datenschutzvorgaben und entsprechenden Gesetze gebunden, die in der Bundesrepublik und der Europäischen Union gelten. Das sind insbesondere das Bundesdatenschutzgesetz und die EU-Datenschutzgrundverordnung.

2. Sind auch die Cloud-Rechenzentren in Deutschland angesiedelt und verfügen diese über alle relevanten Sicherheitszertifikate?
   Eine Zertifizierung ist der Beleg dafür, dass der Cloud-Service-Provider Security-Standards implementiert hat und diese regelmäßig im Rahmen von Audits überprüfen lässt. Wichtige Zertifizierungen sind die ISO 27001 und ISO 27018, SOC 1 und 2 sowie der BSI-Grundschutz. Hinzu kommen Cloud-Zertifikate von Organisationen wie der EuroCloud-Vereinigung ("EuroCloud Star Audit") und des Cloud EcoSystem ("Trust in Cloud"). Auch der TÜV Rheinland hat mit "Certified Cloud Service" ein Prüfsiegel für Cloud-Dienste entwickelt.

3. Bietet der Provider seinen Kunden unterschiedliche Sicherheitsstufen an?
   Dadurch kann der Nutzer wählen, auf welche Weise die Absicherung bestimmter Daten und Anwendungen erfolgen soll. Geschäftskritische und personenbezogene Informationen müssen beispielsweise besonders gut geschützt werden.

4. Handelt es sich bei den Rechenzentren um Tier3+-Datacenter?
   Sie bieten die höchste Sicherheitseinstufung im kommerziellen Bereich.

5. Stehen ergänzende Security-Services bereit, etwa für den Schutz von Private Clouds, Hybrid-Cloud-Umgebungen und Public-Cloud-Services?
   Bechtle stellt beispielsweis solche Dienste im Rahmen von Managed Services bereit. Nutzer können in diesem Fall das Thema Cloud Security Fachleuten übertragen, die über Praxiserfahrungen mit dem Schutz von IT-Infrastrukturen und Cloud-Umgebungen verfügen.

6. Ist eine Ende-zu-Ende-Verschlüsselung des Datenverkehrs in und von der Cloud verfügbar?
   Dies ist unverzichtbar, um den Zugriff von Unbefugten auf Daten während des Transports auszuschließen.

7. Bietet der Provider auch gehostete Cloud-Services an?
   In diesem Fall kann ein Unternehmen beispielweise eigene Server im Rechenzentrum des Providers einrichten und nutzen. Er profitiert in diesem Fall von den umfassenden Sicherheitsmaßnahmen des Cloud-Rechenzentrums.

8. Stehen Experten zur Verfügung, die Hilfestellung beim Aufbau einer sicheren Cloud-Umgebung geben?
   Entsprechende Experten stellen Systemhäuser wie Bechtle bereit. Der Vorteil ist, dass Nutzer mit Unterstützung der Fachleute von Bechtle auch komplexe Cloud-Infrastrukturen einrichten können, ohne dass dabei Datenschutz- und Compliance-Risiken entstehen. Hilfreich ist, wenn externe Fachleute möglichst alle Aspekte von Cloud-Security abdecken. Anbieter wie Bechtle verfügen beispielsweise auch über Datenschutzbeauftragte. Sie helfen einem Unternehmen dabei, Cloud-Dienste und Datenschutzgesetze miteinander in Einklang zu bringen.

Fazit: Der Cloud-Service-Provider muss Sicherheit "leben"

Kurzum: Bange machen gilt nicht! Cloud-Umgebungen stellen kein erhöhtes Risiko für Geschäftsdaten dar. Zumindest dann nicht, wenn ein Unternehmen mit einem Cloud-Service-Provider zusammenarbeitet, der das Thema Sicherheit ernst nimmt und Cloud-Security "vorlebt".

Im Gegenteil: Wer aufgrund von Sicherheitsbedenken Cloud-Services außen vorlässt, verzichtet auf eine Technologie, die eine Schlüsselrolle bei der Digitalisierung von Geschäftsprozessen und Angeboten spielt. Besser ist es, bei der Wahl des Cloud-Service-Providers Aspekte wie Datenschutz und Sicherheit zu berücksichtigen. Dann bringen Cloud-Diensten den erhofften Nutzen - ohne Risiken und unerwünschte Nebenwirkungen.