Die Nationale Initiative für Informations- und Internet-Sicherheit e.V. (NIFIS) hat die Studie "IT-Sicherheit und Datenschutz 2015" vorgestellt. Die Ergebnisse sollen zeigen, dass das Trend-Thema Cloud Computing von vielen deutschen Unternehmern vornehmlich kritisch gesehen wird - insbesondere wenn es um das Thema IT-Security geht. Die grundsätzliche Skepsis gegenüber der Cloud entsteht scheinbar durch Security-Vorfälle: 86 Prozent der Befragten geben an, dass beispielsweise der Skandal um das PRISM-Projekt zeigen würde, dass Daten in der Cloud "sehr gefährdet" seien.
Eigene Unwissenheit übertrifft Angst vor Cyberattacken
Die von NIFIS im Rahmen der Studie befragten Fach- und Führungskräfte sehen drei wesentliche Gefahren für deutsche Unternehmen, die die Cloud nutzen. Die eigene Unwissenheit über die tatsächlich vorhandenen Sicherheits-Risiken sehen 89 Prozent der Befragten als größte Bedrohung. Einen Kontrollverlust über die eigenen Daten befürchten 73 Prozent, während 71 Prozent der Studien-Teilnehmer interne oder externe Hacker-Attacken als Cloud-spezifische Gefahr für ihr Unternehmen einschätzen.
Bekanntermaßen spielt insbesondere in Deutschland das Thema Datenschutz eine tragende Rolle. Die Unsicherheit ob Daten an Geheimdienste weitergegeben werden lässt 65 Prozent der Befragten zu der Meinung gelangen, dass Cloud-Anbieter hinsichtlich datenschutzrechtlicher Fragen ausreichende Transparenz vermissen lassen. Speziell die US-Provider rücken in den Fokus: 79 Prozent der Befragten gehen davon aus, dass amerikanische Cloud-Anbieter künftig Marktanteile verlieren werden, wenn sie nicht plausibel machen können, dass Unternehmens-Daten bei ihnen sicher sind.
Cloud-Security: Mehr Compliance, mehr Investitionen
Als geeignetes Mittel, die Datensicherheit im eigenen Unternehmen zu gewährleisten - speziell wenn es um das Thema ByoD geht - schätzt eine Mehrheit von 73 Prozent die Einführung strengerer Compliance-Regeln ein. Die Begründung: Restriktive Vorgaben würden Klarheit schaffen, was erlaubt ist und was nicht. Dass der Datenmissbrauch durch strengere Regeln tatsächlich eingeschränkt wird, glauben 65 Prozent, während sich 63 Prozent staatliche Compliance-Vorgaben wünschen.
Trotz - oder gerade wegen - der Unsicherheiten beim Thema Cloud Security sehen sich 88 Prozent der deutschen Unternehmen beim Thema Datenschutz als sensibilisiert. Kein Wunder also, dass mit 49 Prozent fast die Hälfte der Firmen davon ausgeht, dass sich ihre Investitionen in IT-Sicherheit und Datenschutz im Jahr 2015 um mindestens 50 Prozent erhöhen werden - 17 Prozent gehen gar von einer Investitions-Steigerung um 100 Prozent aus.
Politik & Wirtschaft: Cloud-Aufklärung, bitteschön!
NIFIS-Vorsitzender Thomas Lapp nimmt die Ergebnisse der Studie zum Anlass, eine Aufklärungs-Kampagne über Risiken und Gefahren von Cloud Computing zu fordern: "Dies würde vielen Unternehmen mehr Sicherheit im Umgang mit der digitalen Wolke geben und gleichzeitig das Vertrauen in die neue Technologie massiv stärken. Wenn Unternehmen die Gefahren besser kennen, werden sich viele ihrer Befürchtungen zudem als unbegründet erweisen."
- Herausforderung Cloud Security
Cloud-Computing-Umgebungen stellen in Bezug auf die Sicherheit IT-Verantwortliche und Systemverwalter vor neue Herausforderungen. Nach Angaben von Intel sind besonders folgende Faktoren zu berücksichtigen: - Mangel an Kontrolle
Eine dynamische Technik wie Cloud Computing verschiebt die Grenzen der Unternehmens-IT über das hauseigene Rechenzentrum hinaus, etwa durch Einbeziehen von Public Cloud Services. - Unzureichende Transparenz
In einer Cloud-Umgebung ist es wegen der hohen Komplexität schwieriger, Compliance-Vorgaben umzusetzen und die entsprechenden Audits vorzunehmen. - Virtualisierung
Durch die wachsende Zahl von Virtual Machines steigt das Sicherheitsrisiko, weil alle diese Komponenten verwaltet werden müssen, Stichworte Patch-Management, Implementierung von Schutzsoftware, Einspielen von Updates und so weiter. - Ort der Datenspeicherung
Rechtliche Vorgaben wie etwa das Bundesdatenschutzgesetz verlangen die Speicherung von Daten in Cloud-Rechenzentren, die innerhalb der EU angesiedelt sind und ausschließlich den hier geltenden Gesetzen unterliegen. Das erschwert die Wahl eines Cloud Service Providers. - Public Clouds
Bei der Nutzung von Public Clouds sind spezielle Sicherheitsanforderungen zu berücksichtigen, etwa bezüglich des Schutzes der Daten, die beim Provider lagern, sowie beim Transport der Daten über Weitverkehrsverbindungen und das Internet. - Zugriff auf die Cloud von privaten Systemen aus
Trends wie der Einsatz von privaten Endgeräten für betriebliche Zwecke erschweren die Absicherung des Zugriffs auf Cloud-Computing- Ressourcen. Eine Lösung ist der Einsatz von Mobile Device Management Software. - Audits und Überwachung von Sicherheitspolicies
Compliance-Regeln wie SOX (Sarbanes-Oxley Act), EuroSOX, HIPAA (Health Insurance Portability and Accountability Act) und PCI DSS (Payment Card Industry Data Security Standard) erfordern regelmäßige Überprüfungen der IT-Sicherheitsvorkehrungen. Speziell in Public- und Hybrid-Clouds, in denen neben einem Unternehmen ein Cloud-Service Provider im Spiel ist, sind entsprechende Audits aufwendig. - Risiken durch gemeinsame Nutzung von Ressourcen
In Cloud-Umgebungen teilen sich mehrere Kunden (Public Clouds, Community Clouds) physische IT-Ressourcen wie CPU, Speicherplatz und RAM. Wird ein Hypervisor kompromittiert, können die Anwendungen mehrerer Kunden betroffen sein.