Die Cloud ist der Computer von jemand anderem
Gibt man die Daten in die Cloud, gibt man sie aus der Hand. Viele Unternehmen vergessen das schnell, wenn sich die ersten positiven Effekte des Cloud Computings einstellen. Daher ist es wichtig, sich mit einigen Kernfragen über die eigenen Daten zu beschäftigen, bevor man sie jemand anderem anvertraut.
Beinahe jeden Tag kann man etwas über "Datenreichtum" lesen. Das ist ein Jargonbegriff dafür, wenn auf einmal die Daten eines Unternehmens für jeden im Internet zur Verfügung stehen – sehr oft finden sich diese Daten dann in "der Cloud". Das will ein Unternehmen auf der einen Seite natürlich absolut vermeiden, auf der anderen Seite wird von ihm gefordert, effizient und konkurrenzfähig zu bleiben. Cloud Computing in jeder Ausprägung drängt sich zur Effizienzsteigerung geradezu auf. Doch worauf muss man achten, damit man nicht auf einmal mit einem Daten-Super-GAU in der Zeitung steht? Worauf kommt es denn wirklich an? Die Antwort auf diese Frage ist wie immer nicht einfach.
Eine Verschlüsselung schützt nur bedingt
Zunächst muss einem ganz klar sein, dass man seine Daten aus der Hand gibt. Diese Tatsache darf man nie aus den Augen verlieren: eine Verschlüsselung schützt Daten, die gerade nicht benutzt werden, und sichert sie auf dem Übertragungsweg. Im Speicher zur Verarbeitung hingegen sind Daten immer unverschlüsselt. Auch die beste Verschlüsselung nützt nichts, denn wer Zugriff auf den Speicher hat, kommt auch an die Daten.
Also ist die nächste Frage: Wer hat Zugriff auf diesen Speicher? Auf jeden Fall der Cloud-Anbieter und je nach Gesetzeslage im Land des Anbieters auch die Behörden des jeweiligen Landes. Dies führt zur Vertrauensfrage: Wem vertraue ich meine Daten an? Ist die Auslagerung mit der Sorgfaltspflicht vereinbar? Besitzt der Cloud-Anbieter die notwendige Kompetenz im Security-Bereich? Sind aussagekräftige Zertifizierungen nach ISO vorhanden und werden SLAs angeboten?
Daten nach Vertraulichkeit klassifizieren
Mit diesen Fragen im Hinterkopf müssen die Daten hinsichtlich ihrer Vertraulichkeit klassifiziert werden. Dann erfolgt die Absicherung ganz klassisch nach den Prinzipien "Need to Know" und "Least Privilege", aus denen sich ergibt, welche Daten "raus" und welche nur intern verarbeitet werden dürfen. Erst vorbereitete Patentanträge gehören nicht auf ein Cloud-Laufwerk!
Nachdem klar ist, welche Daten in der Cloud sind, muss dafür gesorgt werden, dass sie nicht unbefugt manipuliert werden können beziehungsweise dass Manipulationen sofort erkannt werden. Hier gelten die gleichen Regeln wie innerhalb der eigenen Infrastruktur: die technische Umsetzung von Verschlüsselung und Integritätschecks muss neuesten und höchsten Standards genügen. Manipulierte Berechnungen eines tragenden Bauteils können den Mitbewerbern ungeahnte Vorteile am Markt verschaffen. Sicherlich ist es auch eine gute Investition, die Einhaltung dieser Regeln regelmässig und unabhängig überprüfen zu lassen.
Worauf es bei der Cloud Security wirklich ankommt
Wer dies alles richtig umgesetzt und die Datenklassifizierung bezüglich der "Cloud-Fähigkeit" in seiner Security Policy verankert hat, ist weitestgehend auf der sicheren Seite. Dass dort für Server und Speicher in der Cloud die gleichen beziehungsweise strengere Sicherheitsmassnahmen definiert sein müssen wie für interne Systeme, versteht sich von selbst. Auch hier schadet ein Audit nicht, eine unabhängige Partei ist nicht von der eigenen Betriebsblindheit betroffen.
Worauf es also wirklich ankommt, ist, sich stets darüber im Klaren zu sein, dass eine Cloud der Computer von jemand anderem ist, daraus die richtigen Schlüsse zu ziehen und eine klare Linie zu haben, was man dort tut, und was besser nicht.