Suchen

Easynet-Geschäftsführer Diethelm Siebuhr im Interview

Cloud-Sicherheit unterhalb der Geheimdienstschwelle

Seite: 2/3

Firmen zum Thema

Aber stellt Cloud Computing nicht besondere Anforderungen?

Siebuhr: Durchaus, denn auf den Systemen eines Cloud-Providers werden die Daten vieler Unternehmen gleichzeitig verarbeitet. Das ändert zwar nichts an der grundsätzlichen Sicherheitslage, aber die Folgen einer eventuellen Sicherheitspanne sind hier erheblich größer, weil davon gleich mehrere Unternehmen betroffen sein könnten. Insofern werden die Service Provider zur Begrenzung von Risiken natürlich einen besonders hohen Aufwand betreiben. Und das kommt dann wieder jedem einzelnen Nutzer zu gute.

Demnach wären Daten im Cloud Computing sogar besonders sicher?

Siebuhr: Grundsätzlich ja. Cloud-Provider sind hinsichtlich des technisch realisierten Sicherheitsniveaus den meisten Unternehmen durchaus überlegen. IT-Sicherheit ist ein überaus komplexes Thema geworden, das viel Know-how und Erfahrung erfordert. Große Unternehmen verfügen über Experten, die den ganzen Tag nichts anders tun, als über die Sicherheit des Unternehmens nachzudenken. Diesen Aufwand kann kein mittelständischer Anwender treiben, so wird er auch bei bestem Willen früher oder später den Anschluss an die sich schnell ändernden Technologien verlieren. Für sie ist es dann in der Tat sicherer, den Schutz der eigenen IT einem Provider anzuvertrauen, der sich darauf spezialisiert hat.

Es wurde in der Vergangenheit oft diskutiert, dass es beim Cloud Computing darauf ankäme, wo die Server aufgestellt sind. Ist das vor dem Hintergrund der aktuellen Diskussion überhaupt noch wichtig, nach dem Motto: Die NSA hat ohnehin überall Zugang?

Siebuhr: Nein, ich halte das nicht für irrelevant. Wie gesagt, über IT-Sicherheit zu sprechen, macht meines Erachtens nur Sinn bei Bedrohungen unterhalb der Geheimdienstschwelle. Aber dieser Bereich ist ein riesiges Feld: Es gibt ja auch nun mal in vielen Ländern durchaus gesetzliche Vorschriften über die Sicherheit und das Zugänglichmachen von Daten für Dritte, die nicht mit den unseren konform sind. Dort ist dann ein Zugriff, der hier illegal wäre, völlig legal, und dafür braucht man dann auch keinen Geheimdienst. In diesem Fall haben beide Partner, Provider und Kunde, ein Problem. Und es gibt natürlich auch länderspezifische gesetzliche Vorschriften, die dem Anwender gar keine Wahl lassen, egal wie sicher er oder sein Provider arbeiten.

Können Sie dafür ein Beispiel nennen?

Siebuhr: Nach der hiesigen Gesetzeslage dürfen Unternehmen beispielsweise personenbezogene Daten nicht in Staaten außerhalb der EU übermitteln, beziehungsweise nur mit großen Einschränkungen. Ein anderes Beispiel ist das Schweizer Bankgesetz, das vorschreibt, dass bestimmte Daten die Schweiz nicht verlassen dürfen. Derartige Vorschriften gehen nur vordergründig auf nationale Empfindlichkeiten in Bezug auf den Datenschutz zurück, denn dahinter stehen handfeste Interessen. Ich gehe davon aus, dass es auch US-Unternehmen nicht gefallen dürfte, wenn etwa chinesische Behörden die Herausgabe ihrer Daten durch ein in Wuhan angesiedeltes Cloud-Rechenzentrum verlangen würden. Und zwar auch dann, wenn dies in völligem Einklang mit den dortigen Gesetzen erfolgen würde. Und noch einmal: Wir sprechen hier von Gerichten und Gesetzen, nicht von Geheimdiensten.

Wie lässt sich dieses Problem lösen?

Siebuhr: Dafür bräuchte man international verbindliche Regelungen. Doch davon ist die IT weit entfernt. Es kann sein dass die angestoßene allgemein Diskussion hier etwas bewegt, aber bis dahin kommt für unternehmenskritische Anwendungen Cloud Computing – jedenfalls solange man es als Public Cloud versteht – nicht in Frage. Nicht weil Sicherheit nicht technisch machbar wäre, sondern weil sie sich mit zahlreichen Compliance-Vorschriften nicht verträgt.

(ID:42265313)