"Eine absolute Sicherheit gibt es leider nicht"

Vor einem Monat wurde bekannt, dass der Sicherheitstechnologieanbieter RSA mit der NSA zusammen gearbeitet hat. Konkret soll er einem seiner Produkte eine Backdoor hinzugefügt haben, damit dem Geheimdienst die Überwachung leichter fällt. Auch im Cloud-Bereich sind viele Kunden daher verunsichert. Wie kann ein Unternehmen überprüfen, dass die in der Cloud eines externen Anbieters gespeicherten Daten wirklich sicher sind?

Eine absolute Sicherheit und Vertraulichkeit gibt es leider nicht und hat es auch nie gegeben. Die Öffentlichkeit war über die Risiken von Spionage bis anhin nicht sensibilisiert. Daten sind immer einer Bedrohung ausgesetzt, egal wo sie liegen. Eine Möglichkeit für Cloud-Anbieter besteht darin, Informationen nur verschlüsselt zu speichern. Die Verschlüsselung der Daten erfolgt dabei vor der Übermittlung durch den Kunden selber. Bei unserer Firma zum Beispiel, bieten wir den Kunden diese Möglichkeit durch die Zusammenarbeit mit externen Partnern an.

Welche weiteren Risiken sehen Sie beim Rückgriff auf die Dienstleistungen eines externen Cloud-Anbieters?

Der Cloud-Anbieter sollte über die höchsten Sicherheitsstufen verfügen sowie den Verfügbarkeitsanforderungen entsprechen. Zu nennen wären hier beispielsweise die Nutzung von Tier-III-Plus-Rechenzentren sowie die Bereitstellung von Sicherheitspersonal vor Ort rund um die Uhr. Oftmals ist das Risiko eines Ausfalls höher als das Risiko der Spionage. Der Schaden ist aber mindestens genauso gross.

Gewisse Juristen empfehlen bei Cloud-Computing-Lösungen möglichst auf lokale Anbieter zu setzen, damit bei Rechtsproblemen einfacher Schritte unternommen werden können. Teilen Sie diese Einschätzung?

Gewisse Gesetzgebungen wie zum Beispiel Auflagen der Finma legen fest, welche Daten in demselben Land liegen müssen und welche nicht. Das heisst, dass ein Unternehmen mit einem Firmensitz in der Schweiz gewisse Daten auch in der Schweiz halten muss. Zudem gibt es nicht nur Bestimmungen in der Datenhaltung selbst, sondern auch über den Datenzugriff von ausserhalb des  Landes. So dürfen auf gewisse sehr sensible Daten nicht von Personen ausserhalb des Landes, in diesem Fall die Schweiz, zugegriffen werden. Gewisse Firmen, darunter auch wir, werden regelmässig auditiert, damit sie den Finma-Richtlinien entsprechen.

Aber bieten rein lokale Anbieter bei Sicherheits- und Rechtsfragen besondere Vorteile?

Wir glauben, dass rein lokale Anbieter bezüglich Sicherheit kaum zusätzlichen Schutz bieten. Investitionen in die Sicherheit und Redundanz fehlen oft und organisierte Spionage kann trotzdem nicht verhindert werden. Allenfalls wäre zu überlegen, ob man auf rein amerikanische Unternehmen verzichten sollte. Diese stehen oft unter starkem Druck der US-Regierung und verdeckte Ermittlungen, ohne Information der Kunden, sind unter dem Deckmantel der Terrorbekämpfung erlaubt. Letztlich muss ich jedoch wiederholen: Der einzige Schutz bietet die sichere Verschlüsselung durch den Kunden selbst und das bevor Daten übermittelt oder gespeichert werden.

Eine aktuelle Studie von Capgemini zum Thema Cloud Computing zeigt, dass vor allem grosse Unternehmen nach wie vor anteilsmässig sehr wenige Services aus der Cloud beziehen. Welche möglichen Gründe sehen Sie hierfür?

Viele Unternehmen haben grosse IT-Abteilungen und werden deshalb nur unter starkem Druck ihre eigene Führung in diesem Bereich abgeben. Aber die sich rasch ändernden Bedürfnisse und die sich stetig wandelnden Märkte erfordern neue Wege in der Informatik. Der Druck zu einer agileren IT-Infrastruktur wächst und nur mit Skaleneffekten sowie externen Servicemodellen können diese Anforderungen erfüllt werden. Neue Modelle, wie zum Beispiel die Hybrid-Cloud, werden hier die nötigen Schritte erleichtern. Vorbehalte gegenüber der Sicherheit in der Cloud werden mit zunehmender Verfügbarkeit von geeigneten und kostengünstigen Verschlüsselungsmechanismen sowie Anbietern sinken.

Was würden Sie einem eher kleineren Unternehmen in Bezug auf Cloud Computing Services empfehlen: Public oder Private Cloud?

Oft geht es nicht um Public oder Private Cloud, sondern um Überlegungen bezüglich Risiko-, Compliance- und Sicherheitsanforderungen. Aus Datenschutz- und Sicherheitsgründen werden für gewisse Daten häufig Private Clouds bevorzugt. Trotzdem werden wir um Public Clouds nicht herum kommen. iCloud und Google sind bereits allgegenwärtig. Für eine kleine Firma mit einem kleinen Personalstamm kann es durchaus Sinn machen, solche Dienstleistungen in Anspruch zu nehmen. Vertrauliche Daten sollten jedoch isoliert gehalten werden.

In welche Richtung wird sich der Cloud-Markt in der Schweiz in den nächsten zwei Jahren entwickeln?

Die Schweiz ist ein interessanter Standort für Rechenzentrums-Dienstleistungen. Wir gehen davon aus, dass in naher Zukunft einige Cloud-Dienstleistungen oder SaaS-Angebote gezielt aus der Schweiz angeboten werden. In diesem Bereich stellen auch wir als Firma Dienstleistungen unseren Kunden aus der Schweiz zur Verfügung. Konkret versuchen wir bei unseren Lösungen Sicherheit und Verfügbarkeit ins Zentrum zu stellen und denken, dass auch im Gesamtmarkt diese Aspekte im Vordergrund stehen werden.