„Lasst mich bloß mit der NSA in Ruhe!“

Mehr als ein Drittel aller Unternehmen in Deutschland hat keine Strategie für die Bewältigung des digitalen Wandels – so eine aktuelle Bitkom-Umfrage. Das können wir Consultants nur bestätigen. Wenn aber die Beratung ins Detail geht und das Thema Cloud-Strategie aufkommt, so kann man sich sicher sein, dass innerhalb der nächsten zehn Sekunden das Wort „NSA“ zu hören ist.

Die Bedenken in unserem Land sind hoch, nicht zuletzt seit dem Bekanntwerden der Arbeitsweisen der Überwachungsorgane. Wir Consultants müssen nun gestehen, dass wir das Thema NSA langsam nicht mehr hören können. Mit diesem Einwand wird oft jede noch so gute IT-Innovation sofort torpediert. Insbesondere in Deutschland steht man der sich immer schneller verändernden Technologie besonders skeptisch gegenüber. Hier wird die NSA gerne als ultimatives Totschlagargument gebraucht. Aber schauen wir uns diese Argumente einmal genauer an.

Die große Unbekannte

In den ersten Zeilen bei Wikipedia zum Thema NSA steht: „Die NSA ist für die weltweite Überwachung, Entschlüsselung und Auswertung elektronischer Kommunikation zuständig und in dieser Funktion ein Teil der Intelligence Community, in der sämtliche Nachrichtendienste der USA zusammengefasst sind.“ Nimmt man Wikipedia wörtlich, liest oder hört die NSA demnach also überall rein und zwar egal wo, wann und bei wem. Wenn dem so ist, dann spielt es also erst einmal keine Rolle, ob Unternehmen oder Privatpersonen nun eine Private Cloud, Public Cloud oder Hybrid Cloud nutzen oder nur mit einem einzelnen Rechner arbeiten. Eine weltweite Überwachung spielt sich überall ab und beschränkt sich nicht auf Daten, die in einem externen Rechenzentrum ausgelagert sind.

Abgesehen davon: Wenn man ehrlich ist, muss man davon ausgehen, dass nicht nur die NSA Daten auswertet, sondern ebenso der deutsche Bundesnachrichtendienst sowie alle anderen großen Geheimdienste. Warum sind es also gerade die „wolkigen“ Lösungen, denen Anwender und Unternehmen im Zusammenhang mit der Überwachung durch Nachrichtendienste so kritisch gegenüber stehen?

Trügerische Sicherheit

Oftmals zeigt die eigentliche Diskussion mit dem Kunden, dass sich dahinter die Angst vor Kontrollverlust sowie Fehlinformationen über Sicherheit, Zugriffserlaubnis und Hacks verbergen. Hier wird das Vorurteil ins Feld geführt, dass Public Clouds ja nicht sicher seien, denn niemand könne wissen, wer auf diese Daten Zugriff habe und wie leicht in das System einzubrechen sei. Das sind berechtigte Einwände, doch halten sie keiner tiefer gehenden Analyse Stand.

Die Frage, die sich Unternehmen stellen müssen, ist vielmehr: Sind Daten in meinem eigenen Rechenzentrum auf meinen eigenen Servern wirklich sicherer als die, die ich beispielsweise über VMware vCloud Air, Microsoft Azure oder Amazon AWS in die Cloud ausgelagert habe und die nun extern gehostet sind? Meist ist das Gegenteil der Fall. Alle großen Cloud-Anbieter bieten Kunden zum Beispiel detaillierte Service Level Agreemens (SLAs), unter die auch ein regelmäßiges Patching fällt, also das Einspielen von Updates und die Fehlerbehebung in Systemen, die automatisiert zur Verfügung gestellt wird. Die Erfahrung zeigt, dass dies in vielen Unternehmen weniger reibungslos und automatisiert funktioniert.

Hinzu kommt die „Schwachstelle Mitarbeiter“: Große Hersteller wie Microsoft oder VMware haben massiv in die Sicherheit ihrer Infrastruktur investiert – mit ein Grund, warum ihr Name nie bei einem der großen IT-Skandale der letzten Zeit auftauchte. Im eigenen Unternehmen dagegen kann ein einzelner Mitarbeiter unwissentlich mit einem infizierten USB-Stick großen Schaden anrichten. Unabhängig davon ist eine Ende-zu-Ende-Verschlüsselung der Daten die einfache Lösung, bei der auch die NSA Daten nicht einfach auslesen kann. Werden jedoch Daten zum Beispiel via E-Mail als Freitext geschickt, ist das Argument, die NSA greife Daten direkt beim Cloud-Anbieter ab, hinfällig. Denn in dem Fall stehen ihnen die Daten bereits offen im Netz zur Verfügung.

Angst endlich überwinden

Bei der Wahl des eigenen Public-Cloud-Anbieters können Sie mit eigenen Tools die Funktionsweise und Sicherheit einer Cloud-Umgebung und deren Performance testen. Je nach Cloud-Ökosystem bieten sich hier Azure Speed Test, Visual Studio, Eclipse oder Xcode an. Darüber hinaus, kann sich der Kunde vor Ort einen Überblick über die physische und digitale Sicherheit verschaffen, in dem er beispielsweise das Amazon Web Service (AWS)-Sicherheitszentrum oder bei Microsoft das Azure Trust-Center besucht.

Daten sind heute als „Rohstoff des 21. Jahrhunderts“ der wichtigste Vermögenswert für viele Unternehmen. Ebenso wie wir einer Bank auf Grund ihrer Reputation, Tradition und Kompetenz unser Geld anvertrauen und davon ausgehen, dass sie unsere sensiblen Daten sicher verwaltet, müssen wir annehmen, dass Cloud-Computing-Anbieter die gleichen Anstrengungen für die Sicherheit der „Werte“ ihrer Kunden unternehmen. Vertrauen spielt daher eine zentrale Rolle. Eine genaue Analyse der Cloud-Sachverhalte ergibt ein klares Urteil: Die Vorteile einer Cloud-Infrastruktur wiegen mögliche Sicherheitsbedenken bei weitem auf. Wenn Unternehmen sich einen Ruck geben und den Cloud-Anbietern das gleiche Vertrauen entgegen bringen wie ihrer Bank und die Angebote ernsthaft testen, dann werden sie die Vorzüge nicht mehr missen wollen.

Während Politiker und Wirtschaftslobbyisten gleichermaßen fordern, dass technologische Innovationen in Deutschland gefördert werden, um den Standort Deutschland auszubauen, scheitert die Umsetzung oftmals bereits im Kleinen. Viele Unternehmen fühlen sich angesichts der Geschwindigkeit, mit der sich neue Geschäftsideen entwickeln und Produktwelten verändern, überfordert. Dies erleben wir als Berater live jeden Tag. Doch es gilt, diese Berührungsängste in Deutschland zum eigenen Nutzen zu überwinden und die NSA nicht länger als Ausrede vorzuschieben.

Die Autoren

Beide Autoren arbeiten als Berater für den Ulmer IT-Dienstleister Fritz & Macziol: Jörn Böger berät zu SQL und Nils Schmidt ist Marketing Consultant.