Zehn Fragen an Dr. Carlo Velten, Chef-Analyst bei Crisp Research

Unternehmen werfen nach NSA-Skandal ihre Cloud-Konzepte um

| Autor: Elke Witmer-Goßner

Cyberkriminalität nimmt zu und wird immer vielfältiger. Dagegen kann künftig nur ein integrierter Mix aus digitaler und physischer Sicherheit helfen.
Cyberkriminalität nimmt zu und wird immer vielfältiger. Dagegen kann künftig nur ein integrierter Mix aus digitaler und physischer Sicherheit helfen. (Bild: Yabresse, Fotolia)

In der Reihe „Zehn Fragen an…“ interviewte Götz Piwinger, Geschäftsführer der Initiative German Cloud, Dr. Carlo Velten, Managing Director der Crisp Research, zu den Themen Datensicherheit und Datenschutz.

Götz Piwinger: Mittelständische Unternehmen gehen vorsichtig dazu über, Firmendaten in der Cloud zu verarbeiten. Haben Sie den Eindruck, dass diese Unternehmen wissen, wonach sie fragen müssen, wenn es um den Schutz und die Sicherheit ihrer Daten geht?

Dr. Carlo Velten: In der Tat ist es für viele Anwender in kleinen wie auch in großen Unternehmen nicht leicht ersichtlich, wie gut ihre Daten bei bestimmten Cloud-Providern aufgehoben sind. Dies liegt einerseits an der mangelnden Transparenz vieler Anbieter, die vielfach nicht offenlegen, wer im Rahmen der Leistungserbringung von der Infrastruktur- und Managementseite her eingebunden ist. Cloud Dienste sind in diesem Sinne vergleichbar mit einem Bauprojekt, das von einem Generalunternehmer gesteuert wird. Man hat in diesem Fall keinen Überblick und Zugriff auf die handelnden Sub-Unternehmer, sondern muss sich auf die Aussagen des Generalunternehmers verlassen. Andererseits muss ehrlicherweise gesagt werden, dass in vielen Unternehmen nur wenige Mitarbeiter über das notwendige technische Know-how und vor allem die Zeit verfügen, sich vertieft mit der Materie zu beschäftigen. Daher bleiben viele Diskussionen oft an der Oberfläche und man lässt sich von seinem Bauchgefühl leiten. Zudem haben viele Unternehmen ihre eigenen Risiken noch nicht sauber analysiert und definiert. In diesem Fall haben es Cloud-Provider immer schwer, die richtigen Antworten zu geben. Bedenkt man allerdings, welche extremen Aufwendungen und Investitionen große Provider wie Google oder die Deutsche Telekom in die IT-Sicherheit stecken, sollte man sich fragen, ob der Eigenbetrieb der IT der bessere bzw. sichere Weg ist.

Piwinger: Sie beraten mittelständische und große Unternehmen in Sachen Cloud Strategie und sagen: „Cloud Computing ist kein Hype, sondern ein strategischer Imperativ für CIOs“. Ist Cloud Computing wirklich ein reines CIO-Thema?

Dr. Velten: Für IT-Entscheider in großen Unternehmen, ist es essentiell, die Auswirkungen von Cloud Computing auf das eigene Unternehmen vollständig zu erfassen. Denn einen großen Unternehmenstanker kann man nicht so schnell umsteuern. Der Weg in die Cloud ist gerade für die Großen und langer und teils steiniger Weg. Hier haben es kleine und mittelständische Unternehmen vielfach einfacher, von den möglichen Cloud-Vorteilen zu profitieren. Denn sie sind vom Cloud-Trend ebenso betroffen und haben heute eine einmalige Chance: erstmalig können sie die gleichen IT-Innovationen nutzen, wie große Unternehmen mit Multi-Millionen IT-Budgets. Modern IaaS- oder SaaS-Lösungen haben keine Einstiegshürden und kosten auch für kleine Unternehmen (fast) dasselbe wie für Großkunden.

Piwinger: In der aktuellen Presse stoßen wir nahezu täglich auf Datenpannen, auch bei größeren und angesehenen Unternehmen und Institutionen. Allein mit einer technischen Lösung scheint dem nicht beizukommen zu sein. Was kann ihrer Meinung nach zur mehr Aufklärung der Unternehmen in Sachen Datenschutz bei der Nutzung von Cloud-Technologien zusätzlich unternommen werden?

Dr. Velten: Wenn in der digitalen Wirtschaft der Rubel rollt, dann geht dies natürlich nicht ohne „digitale Kriminalität“ ab. Die Verfahren, Tools und Taktiken von Cyberkriminellen werden immer ausgefeilter und professioneller. Auch ist eine enorme Kreativität am Werk, wenn es darum geht, in Firmennetzwerke einzubrechen und Daten zu entwenden. Für die Anwender stellt sich die Frage, ob sie selbst ein ausreichendes Sicherheitsniveau garantieren können, oder ob dies besser ein Cloud-Service-Provider kann, der über entsprechende Ressourcen verfügt. Am Anfang sollte eine Analyse – und unternehmensinterne Aufklärung – stehen, welche Datenbestände im Unternehmen als kritisch gelten und wie diese zu schützen sind. Die Themen Intrusion Detection, Physical Security und Data Protection (bzw. Data Leakage Protection) sowie Virtualisierungssicherheit und Verschlüsselung werden in den kommenden Jahre eine zentrale Rolle spielen. Man sollte sich allerdings nichts vormachen, denn mit dem steigenden Vernetzungsgrad geht auch ein ansteigender Verletzungsgrad einher. In der einer Welt in der Daten in Echtzeit verarbeitet, analysiert und kommerzialisiert werden, wird es immer vereinzelt zu Schadensfällen kommen. Man sollte darauf vorbereitet sein, Stichwort Disaster Recovery Management.

Inhalt des Artikels:

Kommentar zu diesem Artikel abgeben

Schreiben Sie uns hier Ihre Meinung ...
(nicht registrierter User)

Kommentar abschicken

Dieser Beitrag ist urheberrechtlich geschützt. Sie wollen ihn für Ihre Zwecke verwenden? Infos finden Sie unter www.mycontentfactory.de (ID: 42369322 / Recht und Datenschutz)