Archiv der Kategorie: clouds

Compliance und der steigende Bedarf an Sicherheit

Die wachsenden Anforderungen an die Einhaltung gesetzlicher Vorschriften erschwert es Unternehmen zunehmend die erforderlichen Sicherheitsabläufe ihre täglichen Prozesse zu integrieren. Dies kann zu negativen Prüfungsergebnissen und Datenmissbrauchsfällen führen, die ihrerseits kostspielige Maßnahmen zur Schadenseindämmung bis hin zur Zahlung von Strafgeldern zur Folge haben können.

Compliance kostet

Bereits für das Jahr 2010 wurden die durchschnittlichen Unternehmenskosten für einen Datenmissbrauchsfall auf etwa 7,2 Millionen USD ermittelt.

Die gesetzlich verankerte Notwendigkeit zur Einhaltung von Compliance-Anforderungen hat zusammen mit spezifischen Strafzahlungen für die Nichteinhaltung dieser Vorschriften dazu geführt, dass ein Großteil der gesamten Sicherheitsausgaben allein für die Einhaltung der Compliances aufgewendet wird. Wobei es außer Frage steht, dass Compliance-Ausgaben der Gewährleistung des wirtschaftlichen Erfolgs eines Unternehmens und der Vermeidung möglicher Schäden am Markenimage dienen.

Wenig zielführend ist es jedoch, wenn der Fokus eines Unternehmens jedoch nicht auf die Vermeidung bzw. Reduzierung von Sicherheitsrisiken, sondern auf die Minimierung von Kostenaufwendungen gerichtet ist. Jedes Unternehmen muss sicherstellen, dass seine Sicherheitsausgaben mit einer angemessenen Risikotoleranz und den Geschäftszielen des Unternehmens gegen einander abgestimmt ist.

Das vorrangige Ziel eines Unternehmens darf es nicht sein, eine mögliche Prüfung oder Auditierung positiv hinter sich bringen zu wollen. Es wäre nicht nur ein Spiel mit dem Feuer. Selbst die Erfüllung der präskriptiven PCI-DSS-Anforderungen, stellt beispielsweise nur einen grundlegenden Sicherheitsstandard dar und sichert das Unternehmen nicht vor Datenmissbrauch. Ein weltweit agierender Identitätsdiebstahlring hatte zum Beispiel US-amerikanische Unternehmen trotz Einhaltung der PCI-Anforderungen angreifen und millionenfach Kreditkartendaten abgreifen können.

Regulierungsbehörden haben auf die steigenden Anforderungen reagiert und die Benachrichtigung über Missbrauchsfälle angeordnet und umfassende Kontrollen mit strengeren Geldstrafen für die Nichteinhaltung der Vorschriften eingeführt haben.

Die Einführung eines nachhaltigen Compliance-Programms stellt die Unternehmen jedoch vor grundsätzliche Herausforderungen. Der Spagat zwischen der Umsetzung von IT-Security-Anforderungen und Absicherung finanzrechtlicher Risiken und der Entscheidung für eine nachhaltige Absicherung durch ein Informationssicherheitsmanagementsystem (ISMS) – zum Beispiel in Anlehnung an ISO 27001 ff – fällt häufig nicht leicht.

Wandel der Sicherheitsbedrohungen

Bedrohungen gehen längst nicht mehr hauptsächlich von einzelnen Freizeit-Hackern aus. International organisierte, gewinnorientierte Profigruppen, beauftragt von internationalen Organisationen, von Gruppen aus dem Bereich des organisierten Verbrechens und sogar von Regierungen erwirtschaften Milliarden mit Identitätsdiebstahl und Datenklau. Angesichts dieser Unterstützung überrascht es wenig, dass Datenmissbrauch durch immer ausgefeiltere Technologien ermöglicht und oftmals auch durch Unternehmensangehörige unterstützt wird: Stichwort „Social Engineering“.

Dauerhafte Minimierung von Risiken

Basis eines jeden nachhaltigen Sicherheits- und Compliance-Programms ist ein, auf das Geschäftsmodell abgestimmtes Framework, mit dem alle branchenspezifischen und gesetzlichen Auflagen abgedeckt und gleichzeitig die zugrunde liegenden Sicherheitsrisiken minimiert werden können.

Die Abstimmung mit den Geschäftsprozessen ist dabei von entscheidender Bedeutung, um sicherzustellen, dass der Fokus auf unternehmensrelevante Risiken begrenzt wird.

Der Sicherheitsbeauftragte

Durch die zunehmende Beachtung der Bedeutung von IT-Sicherheit und Compliance sowie der damit einhergehenden beträchtlichen Kosten ist die Rolle des Sicherheitsbeauftragten im Wandel begriffen. CISOs (Corporate Information Security Officer) unterstehen zunehmend dem CEO oder CFO, statt innerhalb des IT-Bereichs zu operieren. Aus einem vor kurzem veröffentlichten Forrester-Bericht geht hervor, dass 54 Prozent der Unternehmen einen Chief Information Security Officer haben, der direkt einem leitenden Manager unterstellt ist und 42 Prozent einen CISO haben, der einer Person außerhalb der IT-Abteilung unterstellt ist. Der CISO wird zunehmend Zugriff und Einfluss auf die Art und Weise der geschäftlichen Entscheidungsfindung haben. In einem aktuellen CSO Online-Artikel bestätigt Eric Cowperthwaite, CSO von Providence Health & Services mit Sitz in Seattle, USA, diesen Trend:

„Der CSO/CISO ist zu einem dauerhaften Bestandteil der Gruppe von Personen geworden, die am runden Tisch sitzen und darüber entscheiden, wie das Unternehmen seinen Geschäften nachgeht. Der CSO steht an der Spitze der Sicherheit des Unternehmens. Seine Funktion wird mittlerweile als absolut notwendig erachtet und ist schon lange kein reines Lippenbekenntnis mehr, um sich Auditoren vom Hals zu halten. Meiner Ansicht nach ist dies eine bedeutende Veränderung.“

Durch eine Abstimmung mit den Geschäftsanforderungen kann der Sicherheitsfokus früher in neue Initiativen einbezogen werden. Dadurch können Sicherheitsteams die Risikominimierung früher in die Planungsphase einbringen anstatt nachträglich kostenintensive Behebungsmaßnahmen hinzuzufügen, durch die neue Geschäftsinitiativen verlangsamt oder gehemmt werden.

Ein nachhaltiges Compliance-Programm muss die Vielzahl der gesetzlichen und branchenspezifischen Bestimmungen, mit denen ein Unternehmen konfrontiert ist, effektiv bewältigen und problemlos an neue und sich wandelnde Bestimmungen anpassbar sein. Viele Unternehmen haben ihren Ansatz weiterentwickelt und verfügen nun über ein zentrales Team, um die Sicherheits- und Compliance-Kontrollen zu koordinieren.

Die Straffung der Compliance-Aktivitäten zu einem allgemeinen Framework ist kein einfaches Unterfangen. Sicherheits- und Compliance-Teams können aus mehreren Gruppen innerhalb eines Unternehmens/Konzerns bestehen, wodurch organisatorische und geografische Grenzen überschritten werden.

Ein effektiver Ansatz besteht darin, das Sicherheitsrisiko eines Unternehmens zu minimieren und Compliance sozusagen als Nebenprodukt zu ermöglichen. Bei Heartland kann man diesen Ansatz nun nachvollziehen, wie aus dem aktuellen Kommentar von Kris Herrin, CTO von Heartland hervorgeht: „Einer der wichtigsten Punkte für uns besteht darin, sicherzustellen, dass Sicherheitskontrollen nachhaltig sind und so ausgeführt werden, dass die Kontrolle für uns auch zukunftsfähig ist […]

Es geht einfach nicht, dass wir einfach in einem Quartal etwas einführen, nur weil es sinnvoll scheint, und dann ein Jahr später erkennen, dass dadurch die Risiken nicht wie gehofft minimiert werden. “

Um ihre Sicherheit sowohl kurz- als auch langfristig zu verbessern, müssen Unternehmen sicherstellen, dass die passenden Kontrollen und Tools für das jeweilige Sicherheitsrisiko definiert werden und in ein umfassendes Risikominimierungsprogramm passen, das die Implementierung, Stellenbesetzung und Sicherheitsprozessplanung festlegt und mit der Risikotoleranz und den Geschäftszielen des Unternehmens abgestimmt wird.

Dementsprechend lässt sich nachhaltige Compliance am besten dadurch erzielen, dass der Schwerpunkt auf eine Verbesserung der Gesamtsicherheitssituation des Unternehmens gelegt wird.

Permanente Änderung der Bedrohungen

Ein nachhaltiges Sicherheits- und Compliance-System muss so strukturiert sein, dass es an geänderte Geschäftsprozesse, neue Compliance-Bestimmungen, weiter entwickelte IT-Systeme und sich permanent ändernde Bedrohungen angepasst werden kann. Hierzu zählen Veränderungen bei der Art der Angriffe und neue Risiken, die mit sich ändernden Technologien und sich weiter entwickelnden Geschäftsmodellen verbunden sind.

Der Rüstungswettbewerb

Das Wesen der Angriffe hat sich im „Rüstungswettbewerb“ zwischen IT-Verantwortlichen und Hackern stetig weiter entwickelt. Die Kenntnisse der IT-Mitarbeiter haben sich in Richtung Sicherheit orientiert und der Einsatz dedizierter Sicherheitswerkzeuge nimmt zu. Aber auch Hacker arbeiten zunehmend professioneller und organisierter. Sie werben Talente an, investieren in Forschung und Entwicklung und erstellen neue, ausgereiftere Tools. 85 Prozent der Angriffe sind mittlerweile auf finanziell gut ausgestattete Organisationen, einschließlich des organisierten Verbrechens und Regierungen, zurückzuführen.

Die Betriebskosteneinsparungen durch Nutzung von Virtualisierungs- und Cloud-Services haben jedoch dazu geführt, dass in einigen Unternehmen die Einführung dieser Services das Verständnis der damit verbundenen Risiken bereits überholt hat und die Sicherheitsteams nunmehr versuchen, wieder aufzuholen.

Viele Sicherheitsverstöße werden jedoch nicht externen Angreifern verübt, sondern von finanziell oder politisch motivierten Insidern. Laut Data Breach Investigations Report 2010 wurden 27 Prozent der Sicherheitsverstöße ausschließlich durch interne Komplizen verübt.

In dynamischen Unternehmensumgebungen wächst das Risiko von Benutzeraktivitäten, die zu einem Sicherheitsverstoß beitragen. Aus demselben Verizon-Bericht geht hervor, dass 90 Prozent der internen Aktivitäten, die einem Sicherheitsverstoß zugeordnet werden konnten, durch vorsätzliches Handeln, 6 Prozent durch zweckwidriges Handeln und 4 Prozent durch unbeabsichtigtes Handeln erfolgt sind.

Ein größeres Einzelhandelsunternehmen in den USA hat vor kurzem einen Ausfall hinnehmen müssen, als ein neuer Administrator Veränderungen an den Gruppenrichtlinien für Active Directory außerhalb des Änderungskontrollprozesses vorgenommen hat. Als er bemerkte, dass er einen Ausfall verursacht hatte, versuchte der Administrator, seine Spuren zu verwischen. Seine Handlungen führten direkt dazu, dass der Produktversand mehrere Tage zum Erliegen kam, während man versuchte, den Betrieb wiederherzustellen. Diese Aktivität war zwar nicht mutwillig, aber dennoch unangemessen, und hatte beträchtliche negative Auswirkungen.

Risiken lassen sich durch relativ einfache Kontrollen erheblich mindern. Ein Beispiel für solche Kontrolle wäre eine Richtlinie, die sicherzustellt, dass die Konten von Mitarbeitern, die das Unternehmen verlassen, schnell deaktiviert werden, dass gemeinsam genutzte administrative Konten vermieden werden und dass die Aktivität privilegierter Benutzer, seien es Administratoren oder Endbenutzer, überwacht wird.

Der erste Schritt besteht darin, den erforderlichen Mindestzugriff zu gewährleisten. Der zweite Schritt besteht in Überwachung der Nutzung der Berechtigungen.

Insider und Verantwortung

Jeder, der direkt oder indirekt vertrauliche Informationen oder die Systeme und Anwendungen verwaltet, auf denen diese gehostet werden, ist zu den Insidern zu zählen. Demnach können Insider auch Mitarbeiter von Partnern und Anbietern von Managed Services, Hosting- oder Cloud-Lösungen sein.

Unternehmen müssen erkennen, dass das Outsourcen nicht auch die Verantwortlichkeit auslagert. Der Schwerpunkt von Verhandlungen wird zunehmend darauf gelegt, spezifische Kontrollen zu verhandeln und unabhängige Sicherheitsaudits zu verlangen. Dienstleister sind angehalten nachhaltige Sicherheitsprozesse und routinemäßige Audits in ihre Serviceangebote einzubauen, um wettbewerbsfähig zu bleiben.

Vor der Unterzeichnung eines Vertrags ist es von entscheidender Bedeutung, entsprechende risikobeschränkende Service-Level-Agreements, erforderliche Kontrollen und Auditberechtigungen festzulegen und diese in das Vertragsdokument aufzunehmen.

Fazit

Ein Compliance-System, das Ihre Compliance-, Sicherheits- und Geschäftsziele umfassend umsetzt, ist heute so wichtig wie nie zuvor. Die Aufgabe, sich überschneidende und ständig weiterentwickelnde gesetzliche und branchenspezifische Auflagen zu erfüllen, ist komplex.

Der Fokus muss auf der Risikoverwaltung in Abstimmung mit der Risikotoleranz und den Geschäftszielen des Unternehmens liegen.

Daneben sind IT-Abteilungen mit einer zunehmenden Vielfalt von Bedrohungen konfrontiert. Durch neue Technologien wie Outsourcing und Cloud-Computing werden die Netzwerkgrenzen immer fließender. Finanziell oder politisch motivierte Angriffe durch technisch versierte organisierte Gruppen oder böswillige Insider veranlassen Unternehmen so schnell wie möglich ein ausgereiftes Sicherheitssystem zu entwickeln. Das in der Lage ist, angemessene Sicherheitskontrollen für ihre kritischen Daten und Infrastrukturen zu entwickeln, zu implementieren und zu überwachen.

Nur ein integrierter, nachhaltiger Compliance-Ansatz basierend auf vernünftigen Sicherheitsprinzipien ist effektiv, nachhaltig und skalierbar und ermöglicht es Ihnen, Ihre Compliance-Ziele zu erreichen sowie die Gesamtsicherheit Ihres Unternehmens zu verbessern.

Advertisements

Verträge für Cloud Lösungen

Anpassung von Cloud-Lösungen an Unternehmensbedürfnisse
Zwar sieht Cloud Computing “out of the box” grundsätzlich keine Anpassung von Services an individuelle Unternehmensbedürfnisse vor, andererseits ergibt die Nutzung eines vollständig standardisierten Services in der Praxis auch keinen Sinn. Die Folge: Häufig werden Cloud-Dienstleistungen an die Anforderungen der Auftraggeber angepasst. Beispielsweise können Services mit großem Funktionsumfang durch Setzen von Parametern auf das gewünschte Maß reduziert werden oder nicht benötigte Module werden separiert. Dies zeigt sich zum Beispiel bei cloud-basierten Webservices, die es in einer kostenfreien “Light-Version” und einer kostenpflichtigen Variante mit größerem Funktionsumfang gibt. Der Umfang eine Anpassung ist in der Praxis allerdings meist nur sehr gering. Daher muss vorab geprüft werden, ob eine Anpassung im erforderlichen Maß möglich ist und welche zusätzlichen Kosten hierdurch entstehen. Denn von den eigentlichen Kostenvorteilen des Cloud-Computings profitiert nur, wer keine gravierenden Änderungen vornimmt.
Neben der Kostenregelung für die Anpassung von Services ist bei der Vertragsgestaltung vor allem auf eine sorgfältige Leistungsbeschreibung zu achten. Hier gilt wie bei allen IT-Services: Nur anhand der Leistungsbeschreibung kann festgestellt werden, ob der Vertrag erfüllt wurde beziehungsweise ob eine Nicht- oder Schlechtleistung vorliegt und welches Gewährleistungsrecht greift. Schließlich muss der Vertrag genaue Regelungen zur Beschaffenheit der Hard- und Software des Unternehmens sowie zu den Schnittstellen zwischen Cloud-Anbieter und Cloud-Nutzer und der Übergabe der Leistungen enthalten, damit sichergestellt ist, dass die Services in das System des Unternehmens integrierbar sind.

Gewährleistung der Sicherheit von Unternehmensdaten
Unternehmen, die ihre Daten “aus der Hand geben” und in der Cloud speichern, wollen “Herr ihrer Daten” bleiben und permanent auf sie zugreifen können. Um sich gegen Datenverlust effektiv vertraglich abzusichern, sollte der Cloud-Nutzer im Vertrag festlegen, welche Daten der Anbieter wie und in welchen Abständen sichern soll und ob beziehungsweise wann Sicherungen gelöscht werden können. Erfolgt die Sicherung durch Online-Backups in der Cloud, muss eine permanente Verfügbarkeit des Services “Datenspeicherung” gewährleistet sein. Nutzt ein Unternehmen mehrere Clouds, bietet sich die mehrfache Speicherung der Daten in verschiedenen Wolken an, sogenannte Multi-Cloud-Lösung. Beachtenswert dabei: Die alternativen Cloud-Dienste sollten von unterschiedlichen Anbietern zu Verfügung gestellt werden. Bei Ausfall einer Cloud muss sofort auf einen alternativen Cloud-Service zurückgegriffen werden können. Die Steuerung und Überwachung mehrerer Clouds lässt sich über sogenanntes End-to-End Monitoring oder Cloud Service Management umsetzen. Besonders sensible Daten sollten zusätzlich durch das Unternehmen selbst regelmäßig gesichert werden, ein hybrider Lösungsansatz. Durch die zusätzliche lokale Sicherung im unternehmenseigenem System, bleibt der Datenzugriff auch bei unterbrochener Internetverbindung erhalten. Ferner macht sich das Unternehmen unabhängiger vom Anbieter.
Für den Fall, dass dennoch Daten verloren gehen, muss der Vertrag ein Konzept für die Datenwiederherstellung enthalten, das regelt, wie bei Datenverlusten zu verfahren ist. Dabei sollte die Dauer des maximalen Systemausfalls, der Zeitraum vom Schadenseintritt bis zur Einspielung der Backups in ein lauffähiges System, das heißt der vollständigen Datenwiederherstellung, bestimmt werden. Zudem muss sich das Unternehmen überlegen, ob und in welchem Umfang er Datenverluste hinnehmen kann. Hierzu wird der Zeitraum zwischen den einzelnen Datensicherungen genau bestimmt. Die Daten und Transaktionen zwischen den Sicherungsintervallen stellen die maximale Datenverlustmenge dar. Schließlich sind die Kosten der Datenwiederherstellung und die Haftung für die mittelbar durch den (vorrübergehenden) Datenverlust entstandenen Schäden zu regeln. Bietet der Anbieter Services zur Datenwiederherstellung, hier spricht man von Desaster Recovery-as-a-Service, in der Cloud an, sollte das Unternehmen genau prüfen, ob der angebotene Service für sein Unternehmen den ausreichenden Schutz bietet und gegebenenfalls zusätzliche Vereinbarungen treffen.

Regelung desr Personenbezugs der Daten
In der Cloud werden häufig auch personenbezogene Daten verarbeitet und gespeichert. Dabei handelt es sich um eine sog. Auftragsdatenverarbeitung, bei der der Cloud-Anbieter die Daten des Cloud-Nutzers in dessen rechtlicher Risiko- und Verantwortungssphäre verarbeitet und speichert. Bei der Vertragsgestaltung ist auf die Einhaltung der datenschutzrechtlichen Vorgaben zu achten.
Nach dem BDSG müssen die Parteien den Vertrag über die Auftragsdatenverarbeitung in schriftlicher Form schließen. Neben Regelungen zur Berichtigung, Löschung und Sperrung von Daten sowie dem Einräumen von Kontrollrechten zugunsten des Unternehmens, muss geklärt werden, ob der Anbieter zur Erfüllung seiner vertraglichen Pflichten Dritte unterbeauftragen darf. Da das Unternehmen auch in diesem Verhältnis verantwortlich bleibt, sollte eine Unterbeauftragung vertraglich ausgeschlossen oder von der Zustimmung des Unternehmens abhängig gemacht werden. Ferner muss das Unternehmen weisungsberechtigt sein, so dass der Anbieter nur weisungsgebunden verfahren darf.

Non Disclosure Agreements
Gerade sensible Daten, die in der Cloud verarbeitet und gespeichert werden, müssen vor Kenntnisnahme durch Unbefugte geschützt werden. Geheimhaltungsabreden sind daher sinnvoll.
Bereits bei der Projektplanung im Vorfeld zum Vertragsschluss können Daten an Unbefugte gelangen. Da der gesetzliche Schutz oft unzureichend ist, sollten die Parteien bereits für diese Phase eine Geheimhaltungsvereinbarung schließen. Wird im Anschluss ein Vertrag für Cloud-Services geschlossen, sind die Abreden entsprechend anzupassen und zu erweitern. Wer sich im Vertrag auf frühere Vereinbarungen innerhalb der Projektplanungsphase bezieht, muss aufpassen, da sie sich häufig nur auf die Vertragsanbahnungsphase, nicht auf die Vertragslaufzeit beziehen. Bei Vertragsschluss muss zudem für den Fall der Beendigung der Vertragsbeziehungen festgelegt werden, dass die Absprachen über das Vertragsende hinaus gelten sollen.
Diese Absprachen noch zusätzlich mit Vertragsstrafen abzusichern, macht ebenfalls Sinn, da der Geschädigte bei Preisgabe von Informationen den verursachten Schaden kaum nachweisen kann. Bedient sich der Anbieter Dritter zur Erfüllung seiner Pflichten, ist der Anbieter zu verpflichten, auch den Subunternehmern die Geheimhaltungspflichten aufzuerlegen.

Beendigung des Vertrags
Bei Vertragsende befinden sich die Unternehmensdaten auf dem System des Anbieters. Im Exit Management ist daher festzulegen, wie mit den in der Cloud gespeicherten Daten bei Vertragsende umzugehen ist. Es muss geregelt werden, ob die Daten zurückgegeben oder gar vernichtet werden sollen, der Übermittlungsweg sowie auch das Dateiformat.
Für den Fall, dass das Unternehmen seine Daten nicht abholt, muss dem Anbieter ein einseitiges Löschungsrecht zustehen. Andernfalls ist es rechtlich nicht klar, ob der Anbieter die Daten ohne weitere Vergütung weiter sichern muss. Darüber hinaus muss er sämtliche Unternehmensdaten, die noch auf seinen Systemen sind, löschen. Das geht nicht einfach per Knopfdruck, da durch Betätigung der Löschtaste die Daten nicht endgültig entfernt werden. Gut beraten ist, wer sich im Vertrag ein qualifiziertes Löschungsverfahren mit technischer Beschreibung der Vorgehensweise zulegt. Damit wird der Anbieter verpflichtet, Unternehmensdaten zu überschreiben und mit zufällig erzeugten Daten aus seinem System endgültig zu entfernen.

CeBIT: Cloud Computing – Der Datenschutz-Supergau?

13.03.2012 | 11:19 Torsten Wohlleben in „der Freitag“ 

Der jüngst zur CeBIT verstärkt lancierte Begriff Cloud-Computing beschreibt die Möglichkeit, Rechnerkapazitäten, Speichervolumen oder auch Software mit anderen Nutzern zu teilen. Das heißt, eine Firma oder Person hält dieses Potenzial nicht mehr selbst vor, sondern mietet je nach Bedarf von einem externen Anbieter. Neben universell nutzbarer Software bieten Clouds auch zukünftig wohl in erster Linie die Auslagerung von Daten.

Für einen vorübergehend erhöhten Bedarf an Speichervolumen würde beispielsweise ein Unternehmen keine Hardware mehr anschaffen. Man mietet stattdessen externen Speicher an, vergleichbar mit der Inanspruchnahme eines Möbellagers.

Das klingt zunächst gar nicht schlecht, oder? Nicht berauschend, aber auch nicht schlecht. Mitunter könnte man dieser grellen Innovation schon heute etwas abgewinnen, wie?

Anfall von Alzheimer

Man würde sich in seiner Funktion als Unternehmenschef, Behördenleiter oder auch als trendige Privatperson einfach nicht fragen, warum man die letzten zehn Jahre damit zugebracht hat, seine Daten sicher zu machen, sie vor fremden Zugriff zu schützen. Man würde, ganz in der noch jungen Tradition eines gepflegten Anfalls von Alzheimer, einfach vergessen, welches kleine oder große Vermögen Unternehmen in die Sicherheit ihrer Festplattenbestände investiert haben, in Software, Hardware, Beratung, Beschulung und vielem mehr, um sie vor unbefugten Angriffen oder Ausspähungen zu schützen.

Anders gesagt: Man hat bisher stets versucht, das eigene Haus einbruchsicher zu halten, um sich dann mir nichts dir nichts dafür zu entscheiden, die persönlichen Unterlagen, die Familienfotos, die Sparbücher und Kontoauszüge einem Fremden zu überlassen, und ihn dafür zu bezahlen, dass er darauf aufpasst? Und das, obwohl über manch einem solchen Fremden gemunkelt wird, er könnte selbst der Dieb sein?

Klingt verrückt – Ist es auch. Denn die Sicherheitsbemühungen, die in den vergangenen Jahren ein wichtiges Geschäft der IT-Branche darstellten, sind ja durchaus begründet und wichtig. Der ausgerufene Trend „Cloud-Computing“ übergeht diesen Widerspruch.

Der Autor dieses Geschmieres – gestatten – geht dennoch außerordentlich fest davon aus, dass sich trotz dieser offensichtlichen Absurdität Verantwortliche finden werden, die sich von der Clouding-Branche entsprechende Dienste aufschwatzen lassen, mitunter gestandene Unternehmer, die glauben, sie könnten ihrem eigenen Verstand nicht mehr trauen und bräuchten Experten, sobald es um das Internet geht.

Hier liegt der Kern des Problems in der Natur des Angebotes

Dieser Fall ist selbstredend Teil einer ganzen Reihe nutzloser Innovationen einer wunderlichen Branche. Ein Fall, der abermals die Frage aufwirft, warum bezüglich des Internet regelmäßig rechtliche, moralische und sogar – wie in diesem Fall – logische Überlegungen zu Randerscheinungen werden. Warum, sobald es um das Internet geht, zunächst flächendeckend vermeintliche Innovationen umgesetzt werden, und erst viel später die Probleme hinterfragt werden, nämlich dann, wenn die überflüssigen und schädlichen Neuerungen längst zum Alltag der offensichtlich allesfressenden Nutzer gehören.

Selbstverständlich wird bezüglich Clouds über Sicherheitsbedenken diskutiert. Die Anbieter verkünden vorauseilend, dass Sicherheit Priorität habe. Aber hier liegt der Kern des Problems in der Natur des Angebotes. Vernetzungen von Daten können schlicht und einfach niemals so sicher sein wie ein geschlossenes Unternehmensnetz mit Datenspeichern im eigenen Keller. Selbst wenn ein Cloudanbieter absolute Sicherheit garantieren kann, muss der Kunde sich allein auf die Versprechungen des Dienstleisters verlassen, ihm also blind vertrauen. Zudem sind an solchen Datentransfers immer mehrere Akteure beteiligt, generell der Provider.

Ja, das ist möglich. Es wird so kommen.

Man nehme nur einmal das seit Zeiten bestehende Problem der Wirtschaftsspionage. Ist es wirklich möglich, dass Unternehmen ihre Daten zukünftig freiwillig einem Dienstleister überlassen, der in der globalisierten Wirtschaft durchaus einmal einem Konzern zugehörig sein könnte, der wiederum die Konkurrenz des Cloud-Kunden zu seinen Tochterunternehmen zählt? Ja, das ist möglich. Es wird so kommen. Exakt so einfältig werden ansonsten vernünftig und rational denkende Menschen, wenn es um den neusten netzweltlichen Trend geht. Dabei sein ist alles. Wer sich aufgrund überaus berechtigter Bedenken verweigert, gilt als hinterwäldlerisch. Das will keiner.

Neulich saßen zwei Freunde zusammen und der Ältere fragte den Jüngeren, ob es nicht eigentlich unglaublich sei, dass es keine Notebooks mehr ohne W-Lan gäbe. Da sagte der Jüngere, Notebooks ohne W-Lan, das sei doch wohl witzlos.

So selbstverständlich ist Vernetzung geworden. Der Markt bietet schon heute keine Geräte mehr ohne die entsprechende intergrierte Hardware an. Die Qual der Wahl beschränkt sich auf Marke, Design, Akkulaufzeit. Vernetzung ist selbstverständlicher als eine Tastatur. Vernetzung birgt aber immer ein Risiko, und das kann – besonders für Unternehmen – nur sicher beseitigt werden, indem die Drähte gekappt werden, bzw. gar nicht erst der Generalanschluss gesucht wird. Das mag seltsam klingen, gerade für diejenigen, die in dieser Netzwelt aufgewachsen sind. Aber wenn Datensicherheit tatsächlich noch Priorität hat, ist der beste gegenwärtig erhältliche Schutz, also ein praktisch unbezahlbares Sicherheitssystem, die NICHTinanspruchnahme des Cloud-Computing.

Ein unbezahlbares Sicherheitssystem

Es ist höchst unwahrscheinlich, dass diese Einsicht Verbreitung findet. Die Branche lebt von Neuheiten, die oftmals von wahrem Nutzen entkoppelt sind. Diese gelten in der Wirtschaft häufig als schick. Da wird nicht gefragt „Was bringt das?“, sondern „Haben wir das schon?“.

Ziemlich schnell – auch diese Prognose lässt sich ohne Weiteres stellen – wird ein amerikanischer Großkonzern Marktführer im Bereich Cloud-Computing sein. Nur wenig später werden sich die Nutzer schließlich daran gewöhnt haben, dass alle in Clouds ausgelagerten Daten aus Gründen der Terrorismusbekämpfung gesichtet werden müssen. Dabei sein ist alles.

cloud computing apple anbieter telekom kritik cebit datenschutz datensicherheit daten