Suchen

Easynet-Geschäftsführer Diethelm Siebuhr im Interview Cloud-Sicherheit unterhalb der Geheimdienstschwelle

Redakteur: Elke Witmer-Goßner

Der Ausspähskandal durch die US-amerikanische Sicherheitsbehörde NSA hat schmerzlich vor Augen geführt, wie sicher geglaubte Netze offen stehen wie Scheunentore, Privatsphäre, Brief- und Telefongeheimnis oder nationale Datenschutzgesetze eine Farce sind und das Ausspähen von Daten scheinbar ein Kinderspiel.

Firma zum Thema

Gegen systematisches Abhören und Ausspionieren von Daten durch Geheimdienste ist kein Unternehmen gefeit. Ist aber auch nicht schlimm, glaubt Easynet-Chef Diethelm Siebuhr, denn die eigentliche Gefahr drohe von ganz anderer Seite.
Gegen systematisches Abhören und Ausspionieren von Daten durch Geheimdienste ist kein Unternehmen gefeit. Ist aber auch nicht schlimm, glaubt Easynet-Chef Diethelm Siebuhr, denn die eigentliche Gefahr drohe von ganz anderer Seite.
(Bild: Beermedia, Fotolia)

Viele Anwender sind entsprechend ratlos und verunsichert. Warum aber Geheimdienste nicht das eigentliche Problem sind und weshalb Unternehmen von bestimmten Formen des Cloud-Computing die Hände lassen sollten, erklärt Diethelm Siebuhr, Geschäftsführer Central Europe bei Easynet Global Services, im Interview.

CloudComputing-Insider.de: Welche Auswirkungen hat Ihrer Meinung nach die derzeitige öffentliche Diskussion um das Ausspähen von Daten durch Geheimdienste auf das Thema IT-Sicherheit?

Siebuhr: Zunächst ist es positiv, dass durch eine solche Diskussion das Problembewusstsein und die Aufmerksamkeit für das Thema Datensicherheit gestärkt werden. Allerdings ist das, was derzeit diskutiert wird, gar keine Frage der Technik, ja nicht einmal eine der IT, sondern eine politische. Und nur auf dieser Ebene kann das auch sinnvoll diskutiert werden. Das heißt umgekehrt aber auch, dass die Aspekte des Themas, die die IT tatsächlich betreffen und bei denen die IT auch zu einer Lösung beitragen kann, derzeit etwas aus dem Fokus geraten.

Welche Aspekte sind das genau?

Siebuhr: Wenn eine Organisation wie die NSA es darauf anlegt, an irgendwelche Daten zu kommen, so hat sie, das wird ja nun sehr deutlich, ohne Zweifel die Möglichkeiten dazu. Und sie ist ja dabei auch nicht auf die Technik im engeren Sinne beschränkt. Sie könnte beispielweise, wenn sie mit ihren technischen Mitteln nicht weiterkommt, bei Herstellern, Lieferanten oder Geschäftspartnern „Überzeugungsarbeit“ in ihrem Sinne leisten. Ein normales Unternehmen, da sollte man realistisch sein, hat dagegen kaum Abwehrmöglichkeiten. Hier sind die Ressourcen einfach zu ungleich verteilt.

Sollten wir also unsere Daten möglichst gut verschlüsseln?

Siebuhr: Auch das Verschlüsseln von Daten hilft dagegen nur bedingt, weil solche Organisationen natürlich auch die Möglichkeit haben, an die Schlüssel zu kommen. Das ist aber meines Erachtens auch gar nicht das Thema, um das wir uns als IT kümmern sollten. Konkret geht es vielmehr darum, wie Unternehmen ihre Daten gegen Angriffe unterhalb der Geheimdienstschwelle sichern können. Und da gibt es wirklich genug zu tun; man sollte sich hier nicht verzetteln.

Dennoch sind viele Unternehmen nun verunsichert. Die aktuelle Diskussion hat ja auch gezeigt, wie verletzlich Netze sind. Kann man Cloud Computing unter diesen Aspekten überhaupt noch sicher betreiben?

Siebuhr: Hinsichtlich der Sicherheit des Cloud Computing muss man technische und juristische Aspekte unterscheiden. Technisch ist klar, dass die Verbindung einer Unternehmens-IT zur Außenwelt immer ein Risiko darstellt. Einfach dadurch, dass es einen Kanal nach außen gibt, über den unbefugte Prozesse laufen können. Absolut sicher und unangreifbar ist eine abgeschottete, physikalisch isolierte IT. Aber das ist nach 15 Jahren Internet natürlich völlig unrealistisch. Kein Unternehmen kommt heute ohne Verbindungen nach außen aus, etwa für die Anbindung von Niederlassungen oder die Kommunikation mit Kunden. Diese Verbindungen können wirksam geschützt werden, das ist Basisarbeit der IT-Sicherheit und musste nicht erst für das Cloud Computing erfunden werden.

Aber stellt Cloud Computing nicht besondere Anforderungen?

Siebuhr: Durchaus, denn auf den Systemen eines Cloud-Providers werden die Daten vieler Unternehmen gleichzeitig verarbeitet. Das ändert zwar nichts an der grundsätzlichen Sicherheitslage, aber die Folgen einer eventuellen Sicherheitspanne sind hier erheblich größer, weil davon gleich mehrere Unternehmen betroffen sein könnten. Insofern werden die Service Provider zur Begrenzung von Risiken natürlich einen besonders hohen Aufwand betreiben. Und das kommt dann wieder jedem einzelnen Nutzer zu gute.

Demnach wären Daten im Cloud Computing sogar besonders sicher?

Siebuhr: Grundsätzlich ja. Cloud-Provider sind hinsichtlich des technisch realisierten Sicherheitsniveaus den meisten Unternehmen durchaus überlegen. IT-Sicherheit ist ein überaus komplexes Thema geworden, das viel Know-how und Erfahrung erfordert. Große Unternehmen verfügen über Experten, die den ganzen Tag nichts anders tun, als über die Sicherheit des Unternehmens nachzudenken. Diesen Aufwand kann kein mittelständischer Anwender treiben, so wird er auch bei bestem Willen früher oder später den Anschluss an die sich schnell ändernden Technologien verlieren. Für sie ist es dann in der Tat sicherer, den Schutz der eigenen IT einem Provider anzuvertrauen, der sich darauf spezialisiert hat.

Es wurde in der Vergangenheit oft diskutiert, dass es beim Cloud Computing darauf ankäme, wo die Server aufgestellt sind. Ist das vor dem Hintergrund der aktuellen Diskussion überhaupt noch wichtig, nach dem Motto: Die NSA hat ohnehin überall Zugang?

Siebuhr: Nein, ich halte das nicht für irrelevant. Wie gesagt, über IT-Sicherheit zu sprechen, macht meines Erachtens nur Sinn bei Bedrohungen unterhalb der Geheimdienstschwelle. Aber dieser Bereich ist ein riesiges Feld: Es gibt ja auch nun mal in vielen Ländern durchaus gesetzliche Vorschriften über die Sicherheit und das Zugänglichmachen von Daten für Dritte, die nicht mit den unseren konform sind. Dort ist dann ein Zugriff, der hier illegal wäre, völlig legal, und dafür braucht man dann auch keinen Geheimdienst. In diesem Fall haben beide Partner, Provider und Kunde, ein Problem. Und es gibt natürlich auch länderspezifische gesetzliche Vorschriften, die dem Anwender gar keine Wahl lassen, egal wie sicher er oder sein Provider arbeiten.

Können Sie dafür ein Beispiel nennen?

Siebuhr: Nach der hiesigen Gesetzeslage dürfen Unternehmen beispielsweise personenbezogene Daten nicht in Staaten außerhalb der EU übermitteln, beziehungsweise nur mit großen Einschränkungen. Ein anderes Beispiel ist das Schweizer Bankgesetz, das vorschreibt, dass bestimmte Daten die Schweiz nicht verlassen dürfen. Derartige Vorschriften gehen nur vordergründig auf nationale Empfindlichkeiten in Bezug auf den Datenschutz zurück, denn dahinter stehen handfeste Interessen. Ich gehe davon aus, dass es auch US-Unternehmen nicht gefallen dürfte, wenn etwa chinesische Behörden die Herausgabe ihrer Daten durch ein in Wuhan angesiedeltes Cloud-Rechenzentrum verlangen würden. Und zwar auch dann, wenn dies in völligem Einklang mit den dortigen Gesetzen erfolgen würde. Und noch einmal: Wir sprechen hier von Gerichten und Gesetzen, nicht von Geheimdiensten.

Wie lässt sich dieses Problem lösen?

Siebuhr: Dafür bräuchte man international verbindliche Regelungen. Doch davon ist die IT weit entfernt. Es kann sein dass die angestoßene allgemein Diskussion hier etwas bewegt, aber bis dahin kommt für unternehmenskritische Anwendungen Cloud Computing – jedenfalls solange man es als Public Cloud versteht – nicht in Frage. Nicht weil Sicherheit nicht technisch machbar wäre, sondern weil sie sich mit zahlreichen Compliance-Vorschriften nicht verträgt.

Bedeutet das den Abschied vom Cloud Computing?

Siebuhr: Keineswegs. Die technisch-wirtschaftlichen Vorteile des Cloud-Modells bestehen ja trotz der Compliance-Problematik. Also muss man Cloud Computing so nutzen, dass man die Compliance erfüllen kann. Das ist beispielsweise möglich in Private oder Enterprise Clouds. Hier stellt der Provider im Unterschied zu Public Clouds wie Amazon EC2, Google oder Microsoft Azure dedizierte Ressourcen zur Verfügung, also auch an bestimmten Orten. Der Cloud-Kunde weiß in der Private Cloud immer, wo sich seine Daten befinden und kann so problemlos seine individuellen Vorschriften einhalten, beispielsweise weil die Daten sich nur innerhalb des Geltungsbereichs nationalen Rechts bewegen.

Ist die Public Cloud aus Ihrer Sicht also weniger sicher als die Privat Cloud?

Siebuhr: Ja, denn hier realisiert der Anbieter ein bestimmtes Standard-Sicherheitsmodell, das dann für alle Nutzer gleichermaßen gilt. Einen Public-Cloud-Service nutzen Anwender mit unterschiedlichen Risiken und unterschiedlichen innerbetrieblichen Sicherheitsmaßnahmen. Ist ein Unternehmen dabei, dessen Kontrollmaßnahmen schwach sind, so kann diese Schwachstelle die gesamten Sicherheitsmechanismen aufheben, obwohl der Public-Cloud-Anbieter ein generell hohes Sicherheitsniveau zur Verfügung stellt. In einer Enterprise Cloud können Provider und Kunden das Sicherheitsniveau entsprechend der individuellen Risikolage gestalten.

Haben Sie auch dafür ein Beispiel?

Siebuhr: Für den Zugriff auf die ausgelagerten Dienste braucht man in der Regel Zugangsdaten. Diese Zugangsdaten können in die Hände eines Angreifers fallen, wenn ein Kunde des Public-Cloud-Anbieters in diesem Bereich keine guten Kontrollen implementiert hat, und zwar auch dann, wenn der Public-Cloud-Anbieter seinerseits ein hohes Sicherheitsniveau unterstützt. Vielleicht fordert der Dienstleister ja komplexe Passwörter und stellt eine sichere Verbindung zur Verfügung; dennoch wird die gesamte Sicherheitskette ausgehebelt und die Daten der anderen Nutzer des Services sind ebenfalls gefährdet, wenn ein Anwender mit der Sicherheit nachlässig umgeht. Die Wahrscheinlichkeit und der Impact des Risikos steigen insofern bei der Public Cloud mit der Anzahl der Anwender. Oder anders ausgedrückt: Meine eigenen Brandschutzeinrichtungen helfen nur bedingt, wenn in der Wohnung unter mir jemand jeden Abend im Bett raucht.

Firmen, die Cloud-Dienste nutzen wollen, sollten sich also schon vorher Gedanken über ihre Sicherheitsanforderungen machen?

Siebuhr: Mit einem dedizierten Enterprise Cloud-Service lässt sich ein Sicherheitsniveau umsetzen, das an die jeweiligen Anforderungen angepasst ist. Der Cloud-Anwender muss natürlich klare Vorstellungen darüber haben, was er mit den Systemen erreichen will und welche Risiken damit verbunden sind; auf dieser Basis kann er gemeinsam mit dem Provider geeignete Kontrollen und das dazugehörige Reporting implementieren und so auch die entsprechenden Zertifizierungen erreichen. Im Enterprise-Cloud-Computing geht es um individuelle Lösungen, nicht um einen Service von der Stange, auch bei der Sicherheit.

Diethelm Siebuhr, Managing Director Central Europe Easynet Global Services.
Diethelm Siebuhr, Managing Director Central Europe Easynet Global Services.
(Bild: Easynet)

Diethelm Siebuhr ist Managing Director Central Europe bei Easynet Global Services.

(ID:42265313)