Studie von PwC

Wie IT-Provider auf Sicherheitsängste reagieren

30. November 2010
Holger Eriksdotter ist freier Journalist in Hamburg.
Der Wirtschaftsprüfer PwC hat in einer Studie IT-Anbieter befragt, wie sich Sicherheitsrisiken in Cloud-Strukturen verändern und die Cloud-Provider sie managen.
"Die grundsätzlichen Anforderungen an Compliance, Informationssicherheit und Datenschutz haben sich durch Cloud Computing ja nicht verändert, müssen aber in Cloud-Infrastrukturen anders gemanagt werden", sagt Markus Vehlow von PwC.
"Die grundsätzlichen Anforderungen an Compliance, Informationssicherheit und Datenschutz haben sich durch Cloud Computing ja nicht verändert, müssen aber in Cloud-Infrastrukturen anders gemanagt werden", sagt Markus Vehlow von PwC.
Foto: PwC

Sicherheit ist eine zentrale Aufgabe für Cloud-Anbieter. 96 Prozent sehen darin einen wesentlichen Erfolgsfaktor für die Zufriedenheit ihrer Kunden, fast zwei Drittel bezeichnen das Erfüllen von Datenschutz- und Compliance-Anforderungen als „große Herausforderung“.

Zu diesem Ergebnis kommt eine Umfrage unter 51 Cloud-Providern, die in Deutschland Services aus der Wolke anbieten. Nach Angaben der Wirtschaftsprüfungs- und Beratungsgesellschaft PwC, die die Studie durchgeführt hat, deckt die Umfrage 71 Prozent des deutschen Cloud-Marktes ab.

Die aktuelle Studie „Cloud ComputingCloud Computing - Navigation in der Wolke“, die das C.M.R. Institut für Communication & Marketing-Research im Auftrag von PwC durchgeführt hat – gleichsam aus Sicht des Wirtschaftsprüfers - die Sicherheitsanforderungen an Provider in den Vordergrund und beleuchtet deren StrategienStrategien. Auf Basis der Befragung von Cloud-Anbietern geht die Studie vor allem der Frage nach, in welcher Weise sich Sicherheitsrisiken in Cloud-Infrastrukturen verlagern und wie Cloud-Provider sie managen. Alles zu Cloud Computing auf CIO.de Alles zu Strategien auf CIO.de

"Es gehört natürlich auch zu den Aufgaben eines Wirtschaftsprüfers, ein Urteil über die Risiken innerhalb der Informationsverarbeitung abzugeben", sagt Markus Vehlow, Experte für Cloud Computing bei PwC und Leiter der Studie. Es sind vor allem die drei Themenbereiche DatenschutzDatenschutz, Informationssicherheit und ComplianceCompliance, die aus dem Blickwinkel eines Wirtschaftsprüfers relevant sind. Auch den Anbietern ist die Bedeutsamkeit des Themas bewusst: „Zufriedenstellende Lösungen in diesem Bereich bezeichnen die Provider sowohl als wichtigen Faktor für die Kundenzufriedenheit, als auch als große Herausforderung“, sagt Vehlow. Alles zu Compliance auf CIO.de Alles zu Datenschutz auf CIO.de

Nach den Ergebnissen der Studie setzten Cloud-Anbieter unterschiedliche Instrumente ein, um die Sicherheit der Daten und Anwendungen ihrer Kunden zu gewährleisten: In punkto Informationssicherheit setzen 67 Prozent der Anbieter auf detaillierte Risikoanalysen, 65 Prozent lassen sich die eigene Informationssicherheit zertifizieren. 57 Prozent führen regelmäßig sogenannte Security-Penetration-Tests (simulierte Hackerangriffe) durch, um Schwachpunkte in ihrer Sicherheitsarchitektur aufzudecken.

Beim Thema Datenschutz spielt der Standort, an dem die Kundendaten gespeichert und verarbeitet werden, eine zentrale Rolle. Nur jedes zweite RechenzentrumRechenzentrum der Cloud-Provider, in dem die Daten deutscher Kunden verarbeitet werden, befindet sich auch in Deutschland. Insgesamt speichert nur ein Drittel der Anbieter die Daten ausschließlich in Deutschland. Große Anbieter machen ihren Kunden häufiger das Angebot, selbst über den Speicherort ihrer Daten zu entscheiden. Dabei ist der Ort der Datenspeicherung juristisch von erheblicher Bedeutung. Alles zu Rechenzentrum auf CIO.de

„Nach EU-Recht dürfen Daten nur dann aus dem europäischen Wirtschaftsraums verlagert werden, wenn die Rechenzentren außerhalb der EU ein entsprechendes Datenschutzniveau nachweisen können”, erklärt Vehlow. In den USA etwa sei dies nur dann der Fall, wenn sich der Betreiber dem sogenannten “Safe-Harbor-Act”-Regelwerk des US-Handelsministeriums unterwirft. Knapp 40 Prozent der in Deutschland tätigen Cloud-Anbieter lagern die Daten auf Servern in den USA, 24 Prozent in anderen Ländern außerhalb der EU.

Umfassende Cloud-Strategien sind noch die Ausnahme

Etwas mehr als die Hälfte der Provider sind bisher von ihren Kunden gefragt worden, welche technischen und organisatorischen Maßnahmen zum Datenschutz sie getroffen haben (Anfrage nach §11 des Bundesdatenschutzgesetzes). Ebenso viele Provider haben nach eigenen Angaben ein formalisiertes Standardverfahren etabliert, um auf solche Anfragen zu reagieren.

Vier von fünf Anbietern haben ein Compliance-Managementsystem installiert. Das größte Problem im Zusammenhang mit Compliance ist für die Provider, zu identifizieren, welche Compliance-Anforderung beim Kunden überhaupt vorliegen. Als weitere Herausforderungen nennen die Anbieter die Schwierigkeit, branchenspezifische Anforderungen zu erfüllen, Compliance-Nachweise zu erbringen und ein internes Kontrollsystem zu etablieren.

Dabei liegen mögliche Probleme keinesfalls allein auf Seiten der Anbieter. Auch bei ihren Kunden sehen die Provider noch deutliche Defizite: „Nach Einschätzung der befragten Provider sind umfassende Cloud-Strategien trotz hohem Interesse bei den Nutzer noch nicht sehr ausgereift“, sagt Studienleiter Vehlow. Vielmehr würde nach Lösungen für einzelne, konkrete Probleme gesucht und damit Pilotanwendungen und Referenzen geschaffen. Eine gründlich ausgearbeitete, auf die IT-Strategie abgestimmte Cloud-Strategie sei bisher noch die seltene Ausnahme.

Alle Befragte glaubten indes, dass Cloud Computing auch zukünftig in Deutschland erfolgreich sein wird. Fast drei Viertel der Anbieter gehen davon aus, dass ihr Geschäft mit Cloud-Services in Zukunft zulegen wird. Kein einziger war der Meinung, dass der Anteil in Zukunft sinkt. An der Studie hatten sowohl kleine und mittlere als auch große Anbieter teilgenommen.

Dabei unterschied sich das Verhältnis von Cloud-Services zum Gesamtangebot erheblich von Anbieter zu Anbieter. Während einige, überwiegend junge Unternehmen, ausschließlich auf Cloud-Services spezialisiert sind, machten bei einigen großen Unternehmen Cloud-Services nur einen geringen Anteil des Lösungsportfolios aus.

Ob inhouse oder Cloud - die Sicherheitsanforderungen sind gleich

Durchschnittlich bot jeder der befragten Anbieter drei verschiedene Cloud-Services im deutschen Markt an. Mehr als drei Viertel der Befragten bieten Software as a Service (SaaSSaaS) an, jedes zweite Unternehmen war im Infrastructure as a Service (IaaS)-Umfeld tätig; rund 40 Prozent bedienten das Platform as a Service (PaaS)-Segment. „Auffällig dabei ist, dass vor allem die klassischen Unterstützungsprozesse wie Einkauf, Verkauf, Personal oder Rechnungswesen durch SaaS-Lösungen bereits gut abgebildet werden“, konstatiert PwC-Experte Vehlow. Business Process as a Service (BPaaS) hingegen spielte für die Anbieter aktuell die kleinste Rolle; nur ein Viertel der Befragten hatten diese im Angebot. Alles zu SaaS auf CIO.de

"Die grundsätzlichen Anforderungen an Compliance, Informationssicherheit und Datenschutz haben sich durch Cloud Computing ja nicht verändert, müssen aber in Cloud-Infrastrukturen anders gemanagt werden“, erklärt Vehlow. „Es ging uns darum, die Unterschiede zur Inhouse-IT und die neuen Risiken im Cloud-Umfeld zu identifizieren.“ Denn das sei eine unabdingbare Voraussetzung, um als Wirtschaftsprüfer adäquate Prüfrichtlinien zu entwickeln.

"Zwar ist ein geschlossenes, abgeschottetes Firmen-Netzwerk in punkto Sicherheit kaum zu übertreffen“ sagt der Wirtschaftsprüfer, „wer aber Schutzmaßnahmen ergreift, die auf die speziellen Risiken in Cloud-Umgebungen zugeschnitten sind und sich auch vergewissert, dass auf Seiten des Anbieters ein adäquates Sicherheitsmanagement installiert ist, kann den Einsatz von Cloud-Services durchaus in Betracht ziehen..“

Die Studie “Cloud Computing – Navigation in der Wolke” steht unter folgendem Link zum Download zur Verfügung. www.pwc.de/de/cloud-computing-studie