COMPUTERWOCHE-Studie Cloud Security 2016

Ist die Cloud per se unsicher?

07.09.2016
Von  und
Jürgen Hill ist Chefreporter Future Technologies bei der COMPUTERWOCHE. Thematisch befasst sich der studierte Diplom-Journalist und Informatiker derzeit mit aktuellen IT-Trendthemen wie KI, Quantencomputing, Digital Twins, IoT, Digitalisierung etc. Zudem verfügt er über einen langjährigen Background im Bereich Communications mit all seinen Facetten (TK, Mobile, LAN, WAN). 


Florian Maier beschäftigt sich mit diversen Themen rund um Technologie und Management.
Cloud-Sicherheit und BYOD lassen sich kaum voneinander trennen. Zudem kann die Cloud-Security nur im Kontext der Gesamt-IT betrachtet werden. Dies wurde in einem Roundtable der COMPUTERWOCHE in München zu den Ergebnissen der Cloud-Security-Studie 2016 deutlich.
Dana Behncke (Microsoft Deutschland), Richard Werner (Trend Micro), Marcus Becker (Freudenberg IT) und Gastgeber Jürgen Hill (COMPUTERWOCHE) diskutieren die Ergebnisse der Cloud-Security-Studie 2016.
Dana Behncke (Microsoft Deutschland), Richard Werner (Trend Micro), Marcus Becker (Freudenberg IT) und Gastgeber Jürgen Hill (COMPUTERWOCHE) diskutieren die Ergebnisse der Cloud-Security-Studie 2016.
Foto: Patrick Hagn

Die Cloud ist in deutschen Unternehmen angekommen. Das ist ein Ergebnis der Cloud-Security-Studie, die die COMPUTERWOCHE gemeinsam mit den Studienpartnern Freudenberg IT, Microsoft sowie Trend Micro durchführte. Teilweise bieten die Ergebnisse reichlich Diskussionsstoff und offenbaren noch offene Baustellen rund um das Thema Cloud. Alarmierend ist beispielsweise wie zögerlich der deutsche Mittelstand (100 bis 1000 Beschäftigte) das Thema Cloud angeht. Er läuft Gefahr hier gegenüber seinen globalen Konkurrenten ins Hintertreffen zu geraten und künftig womöglich in ein Kostenproblem zu laufen. Weiter in Sachen Cloud sind in Deutschland schon die Kleinunternehmen (unter 100 Mitarbeitern) sowie die Enterprise Player (mehr als 1000 Mitarbeiter).

Noch sind CISOs Mangelware

Die deutschen Unternehmen sind in der Cloud angekommen, so ein Ergebnis der COMPUTERWOCHE-Studie Cloud Security 2016. Dennoch zweifeln viele Unternehmen an der Sicherheit.
Die deutschen Unternehmen sind in der Cloud angekommen, so ein Ergebnis der COMPUTERWOCHE-Studie Cloud Security 2016. Dennoch zweifeln viele Unternehmen an der Sicherheit.
Foto: IDG

Eine andere Baustelle in Sachen Security ist die Zuständigkeit in den Unternehmen selbst. Dort ist das Thema Sicherheit häufig Chefsache und nicht bei der IT angesiedelt, wie man vermuten könnte. Eine Erfahrung die auch Dana Behncke, Product Marketing Manager EMS bei Microsoft, gemacht hat: "Wir wollten Anfang des Jahres den Security-Ansprechpartner in Firmen finden - doch das ist bunt gemischt. So hatten wir auch gehofft einen CISO zu finden, aber das ist nicht wirklich gelungen". Richard Werner, Business Consultant bei Trend Micro, kann das nur bestätigten. Er vermutet, dass der C-Level hier federführend ist, weil es eine Business-Entscheidung ist, in die Cloud zu gehen. Zudem würden hier über ganz andere Budget-Ebenen verhandelt. "Die Security-Leute werden dann vor vollendete Tatsachen gestellt", führt Werner weiter aus.

Guidance in Sachen Datenschutz gefragt

Das Thema Sicherheit ist häufig Chefsache und nicht bei der IT angesiedelt. Diese Erfahrung machte Dana Behncke, Product Marketing Manager EMS bei Microsoft.
Das Thema Sicherheit ist häufig Chefsache und nicht bei der IT angesiedelt. Diese Erfahrung machte Dana Behncke, Product Marketing Manager EMS bei Microsoft.
Foto: Patrick Hagn

Zu den Erkenntnissen der Cloud-Security-Studie zählt auch, dass von den Unternehmen hierzulande das Thema Datenschutz und -sicherheit durchaus ernstgenommen wird. Dabei haben die Anwender, wie Behncke erklärt, durchaus das Problem, ihre Daten nicht klassifizieren zu können. Erschwerend komme hinzu, dass die Sicherheitsstandards häufig eine flexible Nutzung mobiler Geräte nicht ermöglichen. Momentan würden viele alles schützen - was aber viel zu viel Aufwand für die IT sei. Letztlich sei zu überlegen, ob Unternehmen nur einen minimalen Teil schützen, der wirklich schützenswert ist. Das könnten etwa personenbezogene Daten oder Finanzdaten sein. Allerdings könnten die Anwender noch etwas ‚Guidance‘ brauchen. Werner geht noch einen kleinen Schritt weiter. Er vermutet, dass viele Unternehmen gar keinen Überblick darüber haben, welches die wichtigen Daten sind und wie sie sie differenzieren sollen.

Ein Thema das noch an Dimension gewinnt, wenn der Aspekt BYOD mit einbezogen wird. Fast schon als blauäugig kann man hier die Haltung vieler Unternehmen bezeichnen, wenn sie zu fast 80 Prozent glauben, dass sie das Thema Schatten-IT und ein potenzielle Nutzung von Public-Cloud-Diensten im Griff hätten. Und das, obwohl in vielen Unternehmen die Nutzung privater Endgeräte wie Tablets und Smartphones erlaubt ist. "Das Thema BYOD ist aktuell, denn der Arbeitsalltag hat sich stark gewandelt - heutzutage sitzt nicht mehr jeder acht Stunden im Office", stellt Marcus Becker, Senior Management Consultant bei Freudenberg IT fest. "Das Arbeiten der Zukunft läuft über mobile Devices wie Smartphones, Notebooks und Tablets ab. Für die nächste Generation, die jetzt in das Arbeitsleben einsteigt, stellt sich die Frage gar nicht mehr, ob Unternehmen die Cloud nutzen wollen oder nicht", pflichtet ihm Werner bei. Allerdings mit der fatalen Konsequenz, dass die Unternehmen Gefahr laufen die Kontrolle zu verlieren.

BYOD und Cloud Security

Denn das an sich sehr praxisorientierte Prinzip, das man etwa bei Freudenberg IT praktiziert - dort dürfen Mitarbeiter eigene Endgeräte nutzen, wenn sie per MDM administriert und im Zweifelsfall gelöscht werden dürfen - greift nur bedingt. So wirft etwa TrendMicro Consultant Werner ein: "So eine Einverständniserklärung können Sie jederzeit vor Gericht anfechten. Sie haben die Erlaubnis auf dem Gerät private Daten zu speichern und das zählt mehr, als der Wunsch der Firma, die Inhalte zu löschen."

Die Generation Z, so Richard Werner, Business Consultant bei Trend Micro, hat mehr Loyalität zur eigenen Turnschuhmarke als zum Arbeitgeber. Ein Aspekt der bei Diskussionen über die Cloud Security beachtet werden sollte.
Die Generation Z, so Richard Werner, Business Consultant bei Trend Micro, hat mehr Loyalität zur eigenen Turnschuhmarke als zum Arbeitgeber. Ein Aspekt der bei Diskussionen über die Cloud Security beachtet werden sollte.
Foto: Patrick Hagn

Mit Blick auf die Generation Z meint Werner: "Die Arbeitgeber müssen sich auf eine neue Generation von Arbeitnehmern einstellen. Diese Generation hat mehr Loyalität zur eigenen Turnschuhmarke als zum Arbeitgeber. Es gibt so viele Apple-Jünger da draußen, die für ein Smartphone tagelang Schlange stehen. Wenn diese dann ihr Apple-Gerät nicht in der Firma nutzen dürfen, werden sie zu einer anderen Firma gehen. Für diese Generation ist das Internet eine Selbstverständlichkeit. Deshalb wird sich in Unternehmen, wo es heute heißt ‚Wir werden niemals in die Cloud gehen‘, das Thema in fünf bis zehn Jahren von alleine erledigt haben. Früher hieß IT-Sicherheit, dass das Unternehmen vorgibt, wie der Mitarbeiter zu arbeiten hat. Heute heißt IT-Sicherheit: der Mitarbeiter sagt, wie er arbeiten will und das Unternehmen versucht, ihn dabei abzusichern."

Dropbox und Co. technisch unterbinden

Zertifikate und Audits sind ein wichtiges Thema, Marcus Becker Senior Management Consultant Freudenberg IT, wenn der Cloud-Provider seine Sicherheitsvorkehrungen nachweisen soll.
Zertifikate und Audits sind ein wichtiges Thema, Marcus Becker Senior Management Consultant Freudenberg IT, wenn der Cloud-Provider seine Sicherheitsvorkehrungen nachweisen soll.
Foto: Patrick Hagn

Vor diesem Hintergrund verwundert es, welche optimistische Meinung die Unternehmen von ihren Mitarbeitern in Sachen Cloud-Nutzung haben, wenn sie glauben dass Arbeitsanweisungen genügen. So ist etwa Becker davon überzeugt, dass sich das Ganze nur durch technische Vorkehrungen unterbinden lässt, denn Organisatorische würden zu kurz greifen. In das gleiche Horn stößt Werner: "Eine technische Unterbindung ist die einzige Möglichkeit. Beispiel Dropbox und Co.: Hier hilft oft nur eine Steuerung oder sie bieten eine vernünftige Alternative, mit der die Mitarbeiter arbeiten können. Geschieht dies nicht, greifen die Mitarbeiter zum USB-Stick und nehmen die Daten nach Hause, um dort ihre privaten Dropbox-Accounts zu nutzen."

Die pauschale Aussage der in der Studie befragten Unternehmen, dass die Public Cloud per se unsicher sei, wollten die Diskutanten des Roundtables so nicht stehen lassen. So erinnerte Werner daran, dass jeder Server mit Internet-Zugang auch unsicher sei und erst durch Sicherheits-Software, Firewall und Netz-Security-Tools abgesichert werden könne. Letztlich müssten in der Cloud die gleichen Sicherheitsvorkehrungen wie im eigenen Data Center getroffen werden. Dabei stellt sich für Becker die Frage, wie der Cloud-Provider dies nachweist: "Zertifikate und Audits sind hier ein wichtiges Thema." Entsprechendes geben auch die Befragten der Studie zu Protokoll, wobei Werner allerdings bezweifelt, ob kleinere Unternehmen wirklich regelmäßige Audits durchführen, da ihnen hierzu meist die Manpower fehle. Ein anderer wichtiger Aspekt ist für die Studienteilnehmer die Transparenz der Cloud-Provider, egal ob bezüglich Verträge, Sicherheitsmaßnahmen oder dem Rechenzentrum selbst. Letzteres können Behncke und Becker nur bestätigen. Ihre Unternehmen bieten den Kunden aktiv Führungen durch ihre Rechenzentren an. Ein Angebot, das gut angenommen werde.

Cloud-Security-Studie 2016
Cloud-Security-Studie 2016
Foto: IDG

Die COMPUTERWOCHE-Studie "Cloud Security 2016" finden Sie in unserem Shob neben anderen Studien der IDG Research Services als PDF-Download. Dort können Sie ebenfalls ein Print-Exemplar der Studie (inkl. PDF-Download) bestellen.