Cloud: Problem oder Lösung?
Die Fachleute sind sich einig: Insbesondere für kleinere und mittlere Unternehmen kann die Cloud entscheidend zum Erhöhen der Sicherheit beitragen. Denn in aller Regel haben die Anbieter eigene IT-Sicherheitsmannschaften, deren Expertise über das hinausgeht, was bei den Kunden zu finden ist. Dazu kommt, dass Unternehmensnetze unter anderem auch deswegen leicht(er) angreifbar sind, weil allzu oft die gleichen Komponenten (Betriebssystem, Firewall, Antivirensoftware etc.) verwendet würde. Finden sich in diesen Bauteilen Lücken, können Angreifer quasi nach Anleitung in Netze auf der ganzen Welt eindringen. Bei Cloud-Providern finden sich keine derart homogenen Landschaften.
Alan Kessler gibt jedoch zu bedenken, dass Cloud-Kunden nicht nur auf die Zugriffsreche der eigenen, sondern auch die die der Administratoren beim Anbieter achten müssen. Zudem gilt: Verschlüsselungs-Keys dürfen niemals das Unternehmen des Kunden verlassen. Dann sei laut Kessler selbst ein US-Cloud-Anbieter in Ordnung. Denn die US-Regierung kann vom Provider dann auch mit Druck kein Material zum Entschlüsseln der Daten bekommen.
- Die Cloud - Arbeitsplatz der Zukunft
Dem Cloud Worker gehört die Zukunft. Unter dem Begriff "Workspace-as-a-Service" werden dem Marktforschungsunternehmen IDC zufolge künftig ein Großteil der Beschäftigten ihren Arbeitsplatz in der Cloud haben. Dazu sind aber folgende Technologie- und Denkstrukturen erforderlich. - Effizienter Informationsfluss
Der Arbeitsplatz der Zukunft wird vor allem durch Flexibilität gekennzeichnet sein: Informationen, Dateien und Dokumente müssen in Sekundenschnelle auffindbar und verfügbar sein – und zwar unabhängig vom Aufenthaltsort, der genutzten Hardware und der Anzahl der Mitarbeiter, wenn diese zum Beispiel in virtuellen Teams zusammenarbeiten. - Automatisiertes Dokumenten-Management
Der Wissensarbeiter von heute, der Inhalte schafft und Informationen teilt, ist auf eine effiziente Recherche angewiesen. Dies gelingt noch besser durch selbstlernende Systeme und automatisierte Abläufe wie die digitale Erfassung von Dokumenten, deren automatische Konvertierung, Indexierung, Datenextrahierung, Verteilung und Archivierung. - Cloud Working
Unter dem Motto „Workspace-as-a-Service" werden in Zukunft ganze IT-Arbeitsplätze in die Cloud verlegt. - Work-Life-Integration
Die Work-Life-Balance, die Arbeiten und Privatleben als voneinander getrennte Pole betrachtet, gehört der Vergangenheit an und wird zur Work-Life-Integration: die Arbeitszeit wird der individuellen Lebensphase angepasst, um auf diese Weise zum Beispiel Karriere und Familie besser miteinander vereinbaren zu können.
Grundsätzlich gelte bei der Auswahl eines Anbieters: Ist im eigenen Unternehmen nur wenig IT-Sicherheitsfachwissen vorhanden, dann sind SaaS (Software as a Service)-Provider die beste Wahl. Bare-Metal-Provider empfehlen sich nur für Fachleute. Zum Ermitteln des eigenen Risiko-Profils hat die Cloud Security Alliance (CSA) diverse Werkzeuge auf ihrer Webseite parat. Unternehmen mit hohem Risikoprofil sollten beispielsweise unbedingt ein eigenes Key-Management-System für ihre Cloud-Dienste einsetzen.
Die drohende Überforderung
Diese Werkzeuge könnten laut James Lyne viele kleinere Unternehmen jedoch überfordern. Insbesondere dann, wenn sie in Kontakt stünden mit großen Anbietern. Denn von außen sei es sehr schwer, deren Sicherheitskompetenz zu prüfen. Von daher empfiehlt auch Lyne, so viel wie möglich zu verschlüsseln. Nicht nur auf Dateisystemebene, sondern möglichst schon in der Anwendung. Wer selbst Anwendungen entwickelt, solle zum Verschlüsseln unbedingt auf fertige Frameworks zurückgreifen und sich aufgrund des komplexen Themas keinesfalls selbst daran versuchen.
Foto: Uli Ries
Außerdem sehe der Malware-Spezialist einen Vorteil, wenn Kunden alle Schutzmechanismen aus einer Hand bezögen. Best-of-Breed sei nur für Konzerne handhabbar. Er empfiehlt kleineren und mittleren Unternehmen Lösungen, die sowohl auf den Endpunkten im Netzwerk, als auch auf dem Weg in die Cloud - und aus dieser zurück ins Unternehmensnetz - nach Gefahren und Anomalien suchen. Kombiniere man dies dann noch mit einem Dienstleister, der sich der Log-Analyse annimmt, ergebe sich ein wirksamer Schutzwall, so Lyne.
Beim Thema Datenbankverschlüsselung sehe es den Fachleuten zufolge leider nicht so rosig aus. Zwar würde seit Jahren an der homomorphen Verschlüsselung gearbeitet. Mit ihr lassen sich die Inhalte von Datenbanken in der Datenbank selbst verschlüsseln und beim Zugriff einer Anwendung wieder entschlüsseln. Noch befänden sich aber alle Anstrengungen im Entwicklungsstadium, kommerzielle Produkte seien noch keine in Sicht.