Suchen

Easynet-Geschäftsführer Diethelm Siebuhr im Interview

Cloud-Sicherheit unterhalb der Geheimdienstschwelle

Seite: 3/3

Firmen zum Thema

Bedeutet das den Abschied vom Cloud Computing?

Siebuhr: Keineswegs. Die technisch-wirtschaftlichen Vorteile des Cloud-Modells bestehen ja trotz der Compliance-Problematik. Also muss man Cloud Computing so nutzen, dass man die Compliance erfüllen kann. Das ist beispielsweise möglich in Private oder Enterprise Clouds. Hier stellt der Provider im Unterschied zu Public Clouds wie Amazon EC2, Google oder Microsoft Azure dedizierte Ressourcen zur Verfügung, also auch an bestimmten Orten. Der Cloud-Kunde weiß in der Private Cloud immer, wo sich seine Daten befinden und kann so problemlos seine individuellen Vorschriften einhalten, beispielsweise weil die Daten sich nur innerhalb des Geltungsbereichs nationalen Rechts bewegen.

Ist die Public Cloud aus Ihrer Sicht also weniger sicher als die Privat Cloud?

Siebuhr: Ja, denn hier realisiert der Anbieter ein bestimmtes Standard-Sicherheitsmodell, das dann für alle Nutzer gleichermaßen gilt. Einen Public-Cloud-Service nutzen Anwender mit unterschiedlichen Risiken und unterschiedlichen innerbetrieblichen Sicherheitsmaßnahmen. Ist ein Unternehmen dabei, dessen Kontrollmaßnahmen schwach sind, so kann diese Schwachstelle die gesamten Sicherheitsmechanismen aufheben, obwohl der Public-Cloud-Anbieter ein generell hohes Sicherheitsniveau zur Verfügung stellt. In einer Enterprise Cloud können Provider und Kunden das Sicherheitsniveau entsprechend der individuellen Risikolage gestalten.

Haben Sie auch dafür ein Beispiel?

Siebuhr: Für den Zugriff auf die ausgelagerten Dienste braucht man in der Regel Zugangsdaten. Diese Zugangsdaten können in die Hände eines Angreifers fallen, wenn ein Kunde des Public-Cloud-Anbieters in diesem Bereich keine guten Kontrollen implementiert hat, und zwar auch dann, wenn der Public-Cloud-Anbieter seinerseits ein hohes Sicherheitsniveau unterstützt. Vielleicht fordert der Dienstleister ja komplexe Passwörter und stellt eine sichere Verbindung zur Verfügung; dennoch wird die gesamte Sicherheitskette ausgehebelt und die Daten der anderen Nutzer des Services sind ebenfalls gefährdet, wenn ein Anwender mit der Sicherheit nachlässig umgeht. Die Wahrscheinlichkeit und der Impact des Risikos steigen insofern bei der Public Cloud mit der Anzahl der Anwender. Oder anders ausgedrückt: Meine eigenen Brandschutzeinrichtungen helfen nur bedingt, wenn in der Wohnung unter mir jemand jeden Abend im Bett raucht.

Firmen, die Cloud-Dienste nutzen wollen, sollten sich also schon vorher Gedanken über ihre Sicherheitsanforderungen machen?

Siebuhr: Mit einem dedizierten Enterprise Cloud-Service lässt sich ein Sicherheitsniveau umsetzen, das an die jeweiligen Anforderungen angepasst ist. Der Cloud-Anwender muss natürlich klare Vorstellungen darüber haben, was er mit den Systemen erreichen will und welche Risiken damit verbunden sind; auf dieser Basis kann er gemeinsam mit dem Provider geeignete Kontrollen und das dazugehörige Reporting implementieren und so auch die entsprechenden Zertifizierungen erreichen. Im Enterprise-Cloud-Computing geht es um individuelle Lösungen, nicht um einen Service von der Stange, auch bei der Sicherheit.

Diethelm Siebuhr, Managing Director Central Europe Easynet Global Services.
Diethelm Siebuhr, Managing Director Central Europe Easynet Global Services.
(Bild: Easynet)

Diethelm Siebuhr ist Managing Director Central Europe bei Easynet Global Services.

(ID:42265313)