Gewusst wie: Drei Standbeine für mehr Datensicherheit im Unternehmen – Teil 2: Cloud-Dienste sinnvoll nutzen

Im ersten Teil der dreiteiligen „Gewusst-Wie“ Serie über Datensicherheit im Unternehmen hat kaneo  das Thema Backup-Lösungen beleuchtet und dabei auch anhand der eigenen Praxis als IT-Dienstleister aufgezeigt, wie gerade kleine und mittlere Unternehmen eine wirkungsvolle Strategie zur Datensicherung finden und anwenden können. (Nochmal nachlesen? Hier geht’s zum ersten Teil)

Der zweite Teil widmet sich nun der spannenden Frage: Welche Rolle spielt in diesem Zusammenhang das vieldiskutierte Thema
Cloud Computing?

 

Fakt ist, dass mittlerweile immer mehr Unternehmen der Nutzung von Cloud-Services zur Datenverwaltung aufgeschlossen gegenüber stehen.

Das gilt auch und gerade für den Mittelstand, der hierzulande üblicherweise im Hinblick auf technologische Innovationen als abwartend gilt. In einer Studie, die das deutsche Marktforschungsinstitut Crisp Research Ende vergangenen Jahres durchgeführt hat, gaben gut 85 % aller befragten mittelständischen Unternehmen an,  Cloud-Dienste bereits aktiv zu nutzen oder deren Einsatz für die nahe Zukunft zu planen (Quelle: Crisp Research).

Doch der steigenden Popularität von Cloud Computing in den Führungsetagen stehen nicht selten erhebliche Sicherheitsbedenken der täglichen Anwender gegenüber. Eine zweite aktuelle Studie aus dem Mai 2016 verdeutlicht: Die im Auftrag des niederländischen IT-Security-Anbieters Gemalto durchgeführte Befragung von knapp 3500 IT-Verantwortlichen aus neun Ländern (darunter Deutschland, die USA, Japan und Indien) ergab bei mehr als der Hälfte aller Teilnehmer Zweifel an der Sicherheit ihrer eigenen Cloud-Strategie. Als besonders sensibles Feld wurde die Speicherung von Kundendaten in der Cloud benannt (Quelle: wiwo.de)

Sollte man Cloud-Speicher nun als nützliches Instrument zur externen Datensicherung und -verwaltung betrachten oder doch eher mit Vorsicht genießen? Was sollte man wissen, bevor man sich als Unternehmen für eine Cloud-Lösung entscheidet? Welche Sicherheitsbedenken in puncto Datenschutz sind angebracht und wie lassen sich diese ausräumen? Diesen und weiteren Fragen geht kaneo im Folgenden auf den Grund.

Am ehesten ließe sich der Begriff Cloud Computing
mit „Datenverarbeitungswolke“ übersetzen.

Dahinter steckt nichts anderes als die Bereitstellung einer virtuellen IT-Infrastruktur via Internet oder Intranet,  bestehend aus einer Vielzahl von miteinander vernetzten Rechnern, verteilt auf Server und Rechenzentren an unterschiedlichen Standorten. Für den Nutzer eines Cloud-Service bedeutet das: IT-Ressourcen werden nicht länger gekauft, sondern gemietet.

Die Ressourcen können einerseits kumuliert (so dass auch bei hoher Auslastung immer genügend Kapazitäten zur Verfügung stehen) und andererseits bedarfsorientiert umverteilt werden.

Da die Abrechnung der Cloud-Anbieter üblicherweise nutzungsbasiert erfolgt, lassen sich für den Anwender so im Falle einer geringeren Auslastung erheblich Kosten einsparen– während die ungenutzten IT-Ressourcen wiederum anderen Kunden des Cloud-Dienstes zur Verfügung gestellt werden können. So erfolgt eine optimale Nutzung der vorhandenen Kapazitäten.

Die Anwendungsgebiete reichen dabei von bloßem Speicherplatz über Softwarenutzung bis hin zu kompletten IT-Systemen für sämtliche Vorgänge der Datenverarbeitung im Unternehmen.

Nach gängiger Definition werden drei Servicemodelle unterschieden:

• Infrastructure as a Service (IaaS)
  Der Cloud-Anbieter stellt lediglich die „Arbeitsbasis“ in Form von Rechnerkapazitäten, Speicherplatz und sonstigen Hardware-Ressourcen zur Verfügung – gewissermaßen ein „unbeschriebenes Blatt“, das der Anwender selbst befüllen kann. In welchem Unmfang die bereitgestellte IT-Infrastruktur wann und wie genutzt wird und welche Software dabei zum Einsatz kommt, liegt in der Verantwortung des Kunden. (Self-Service-Prinzip)
  ⇒ Ein Beispiel hierfür wäre ein reiner Cloudspeicher-Dienst, der dem Kunden lediglich die Auslagerung von Daten ermöglicht, ohne eine zugehörige Softwareumgebung zur Verwaltung der Inhalte bereit zu stellen

• Platform as a Service (PaaS)
  Bei diesem Modell wird dem Anwender über die Cloud auch Zugriff auf Programmierschnittstellen oder Laufzeitumgebungen gewährt – wobei Rechenleistung und Datenkapazität wiederum flexibel anpassbar bleiben (Prinzip der Skalierbarkeit)
  Der Kunde kann so beispielsweise – innerhalb einer geschützten Umgebung in der Cloud –  eigene Software entwickeln und online ausführen.
  ⇒ Beispielhaft für PaaS-Angebote sind etwa Service-Provider für Webseiten. Der Kunde kann sein Produkt frei gestalten; während der Anbieter sich um die komplette Verwaltung über den Server kümmert und dessen Konnektivität gewährleistet (Reliability und Quality of Service)

• Software as a Service (SaaS)
  Hier werden über den Cloud-Service komplette Softwareumgebungen und Anwendungssysteme bereit gestellt. Dieses Modell wird häufig auch als Software on demand bezeichnet. Statt (oft sehr speicherintensive) Business-Anwendungen als Komplettpakete kaufen und installieren zu müssen, erfolgt der Zugriff auf die Arbeitsumgebung bei Bedarf per Login ins Cloud-Netzwerk. Alle Nutzer der Software teilen sich dabei, unbemerkt voneinander, die benötigten IT-Ressourcen – deren Verbrauch dadurch nicht nur ökonomisch, sondern auch ökologisch betrachtet optimiert werden kann.
  ⇒ Als Beispiele für Software on Demand lassen sich u.a. cloudbasierte Lösungen zum Scheduling und zur Organisation von Teams heranziehen. Auch vollständige CRM-Systeme werden mittlerweile nicht selten in die Cloud verlagert.

Durch Auslagerung in die Cloud lässt sich
die firmeneigene IT-Infrastruktur schlank halten.

Gleichzeitig werden Daten sicher gelagert und bleiben jederzeit zugriffsbereit.

Tatsächlich bieten Cloud-Lösungen gerade für kleinere Unternehmen eine gute Möglichkeit,  um IT-Kosten und Energieverbrauch effektiv zu senken. Insbesondere dann, wenn regelmäßig anfallende Arbeitsvorgänge, die viele Ressourcen verbrauchen (z.B. Backups) in die Cloud verlagert werden. Als Spezialist auf diesem Gebiet empfiehlt kaneo:

Wer als Unternehmen verstärkt auf Green IT setzen möchte, sollte Cloud-Lösungen in seine Backup-Strategie einbinden.

Selbstverständlich jedoch nicht als alleinigen Speicherort sondern in Ergänzung zu klassischen Methoden.  So wird etwa auf diesem Wege ein ausfallsicheres externes Backup erzeugt und damit die Grundsatzregel 3-2-1 erfüllt (Mehr dazu im 1.Teil der großen kaneo-Serie zur Datensicherheit).

Doch wie sicher sind die Daten in der Cloud? Was passiert während des Hochladens? Und wer hat (potentiell) Zugriff, wenn der Datenschatz erst einmal auf dem Speicher des Service-Providers lagert?

Insbesondere seit den Enthüllungen von Edward Snowden nimmt die überwiegende Mehrzahl aller Cloud-Anbieter das Bedürfnis ihrer Kunden nach Sicherheit sehr ernst.

• So werden Daten inzwischen standardmäßig per Ent-to-End-Verschlüsselung übertragen und fast immer – zumindest im B2B-Bereich – auch verschlüsselt auf den Servern abgelegt.

• Der Schlüssel-Code sollte dann allerdings auch ausschließlich beim Kunden hinterlegt werden, um das Risiko zu minimieren, dass Mitarbeiter des Cloud-Dienstes unbefugt auf die Daten zugreifen könnten. In der Vergangenheit hatte es mehrfach derartige Sicherheitslecks – auch bei namhaften Cloud-Anbietern – gegeben.
  Um auf Nummer Sicher zu gehen, wird Unternehmen und auch Privatanwendern daher oft geraten, ihre wertvollen Daten vor der Übertragung in die Cloud zusätzlich selbst zu verschlüsseln.

• Ein weiterer kritischer Aspekt bei der Nutzung von Cloud-Diensten ist die Speicherung von Daten auf Servern im Ausland, etwa in den USA. Hier existieren z.T. immer noch größere Rechtsunsicherheiten im Hinblick auf die Einhaltung von Urheberrechts- und Datenschutz-Regeln, die mit den strengen deutschen bzw. europäischen Standards vereinbar sind.

Wem das nun entschieden zu viele Sicherheitsbedenken sind, der kann entweder gänzlich auf Cloud-Dienste verzichten, die Einführung (noch) strengerer Datenschutzrichtlinien abwarten – oder sich schon jetzt nach Alternativen zu den großen internationalen Anbietern umsehen.

Um die Ressourcen einer Cloud zu nutzen, braucht es nicht zwangsläufig ein weltumspannendes Netzwerk – auch lokale Lösungen sind möglich.

So unterstützt kaneo seine Kunden seit Jahren erfolgreich bei der Erstellung und Verwaltung von Cloud-Backups  mit einer Vorgehensweise, bei der keiner der großen Dienste zum Einsatz kommt: In Zusammenarbeit mit örtlichen Rechenzentren wird den Kunden Speicherplatz in einer eigens abgetrennten Sektion zur Verfügung gestellt. Außer dem Kunden und  – mit Einschränkungen – den kaneo-Mitarbeitern erhält niemand Zugriff auf diesen geschützten Bereich. Der Kunde erhält so seine eigene Cloud innerhalb der Cloud – mit allen wesentlichen Vorteilen, doch ohne die typischen sicherheitsrelevanten Nachteile vieler gängiger Anbieter.

Wer selbst keine riesigen täglichen Datenmengen produziert und mehr Wert auf Sicherheit und Verfügbarkeit der Daten legt als auf unendlich erweiterbaren Speicher – für den bieten solche lokal basierten Lösungen mit Cloud-Anbindung oft eine echte Alternative zur Nutzung herkömmlicher Business-Angebote in der „ganz großen Datenwolke“. Gerade kleine Unternehmen können hier profitieren – von besserem Service und mehr Sicherheit für ihren Datenschatz.