Cloud hat speziell in den letzten Jahren den Schritt vom einstigen Hype-Thema zur nutzbringenden Technologie vollzogen. Cloud ist in den Köpfen der IT-Verantwortlichen und in den Rechenzentren angekommen. Doch im Jahr zwei nach Whistleblower Edward Snowden zeigt sich auch: Ohne Verschlüsselung darf es eigentlich nicht gehen. Das Thema Security nimmt berechtigterweise einen immer höheren Stellenwert ein. speicherguide.de sprach über dieses Thema mit Christian Nowitzki, Geschäftsführer des Security-Spezialisten Intellicomp.

  Wenn es um Cloud und Verschlüsselung geht – denken Ihrer Erfahrung nach die Administratoren schon strategisch für ihr Unternehmen? Oder noch zu punktuell?

Anzeige

Christian Nowitzki, Geschäftsführer, IntellicompNowitzki: IT-Sicherheit benötigt immer ein globales Herangehen. Leider sehe ich weiterhin hauptsächlich punktuelle Herangehensweisen und damit nur augenscheinlich eine Erhöhung des Unternehmens- und Informationsschutzes. Cloud-Verschlüsselung ist aber der falsche Begriff. Es sollte heißen: Datenverschlüsselung der in der Cloud gehosteten Daten.

  Werden bei Bedarf nur Dateien/Files/Dokumente verschlüsselt? Oder auch schon die interne Netzwerkkommunikation in Unternehmen? Kümmern sich Unternehmen verstärkt um verschlüsselte E-Mail-Kommunikation – oder ist das kaum ein Thema trotz Edward Snowden?

Nowitzki: Auch Dateien/Files/Dokumente werden meist nur punktuell verschlüsselt. Zu groß scheint die Angst der Unternehmen, den Mitarbeitern neue Prozesse oder andere Arbeitsweisen zuzumuten. Dabei ist eine Dateiverschlüsselung nichts, wenn sie nicht mit einer DLP-Lösung kombiniert wird, sondern führt einen E-Spion geradezu auf die Spur der wirklich wichtigen Daten. Die Verschlüsselung von Netzwerkkommunikation ist tatsächlich noch überhaupt nicht in Unternehmen angekommen.

  Beschäftigen sich Unternehmen bereits mit der gesamtheitlichen Kommunikationsverschlüsselung, also E-Mail und Telefonie?

Nowitzki: Im Gegenteil. E-Mail-Verschlüsselung wird in den Köpfen heute noch als kompliziert und umständlich wahrgenommen. Sprachverschlüsselung ist für fast alle Unternehmen ein Fremdwort. Beides ist heute notwendiger denn je, und technisch bereits lange, günstig und komfortabel lösbar.

  Wenn sich Unternehmen für Verschlüsselung interessieren – müssen Sie als Anbieter noch beweisen, dass es funktioniert? Werden Best-Practises angefordert/verlangt?

Nowitzki: Jain. Die Funktion wird zwar immer mal wieder in Frage gestellt. Aber auch IT-Leiter sind äußerst selten in der Lage, den technischen Nachweis nachzuvollziehen.

  Welchen Ansatz wählen die meisten Kunden? Festplattenverschlüsselung und Datenträgerverschlüsselung, oder die Verschlüsselung von File und Folder?

Nowitzki: Leider meist die so einfach erscheinende Festplatten- und Datenträgerverschlüsselung. Dabei bedingen diese Verfahren, dass das Dateisystem für den Zugriff transparent wird, und damit sind eben auch alle darauf befindlichen Daten für einen Angreifer transparent.

  Können Sie in Ihrem Geschäftsumfeld erkennen, dass seit der Snowden-Affäre Risikoerwägungen viele Unternehmen noch davon abhalten, mehr Computing-Ressourcen und Geschäftsdaten in die Cloud zu verlagern?

Nowitzki: Im KMU-Bereich auf jeden Fall, aber dieses Segment war von Beginn an eher skeptisch. Große Unternehmen denken nicht in Cloud, sondern in Outsourcing und Outtasking, und dies wird dort schon sehr lange betrieben. Das Vertrauen zu den gesetzten Dienstleistern ist gegeben, und von diesen werden nun zunehmend Sicherheitsmaßnahmen eingefordert. Leider jedoch auch hier nicht umfassend genug.

  Haben Sie das Gefühl, dass Unternehmen – wenn sie sich mit der Cloud beschäftigen – verstärkt europäische/deutsche Cloud-Anbieter/Hoster in Betracht ziehen?

Nowitzki: Dann gäbe es nach den jüngsten Urteilen sicherlich einen Run aus der Microsoft-Cloud. Kleine und mittelständische Unternehmen scheinen davon auszugehen, keine wichtigen Daten zu haben, und Großunternehmen sind Steakholder-driven. Das heißt, Kosteneinsparungen oder geschäftsbeschleunigende Maßnahmen sind bewertbar und wirken jobsichernd, und daher wird oft auf einen günstigen und Cutting-Edge-anbietenden internationalen Dienstleister zurückgegriffen. Deutsche Rechenzentrumsdienste sind hier meist teurer, und teurer kann den Job kosten. Es gibt daher zwar einen Trend zu deutschen Anbietern, diese stehen im Preis aber immer im internationalen Wettbewerb.

  Sehen Sie technisch einen Qualitätsunterschied zwischen deutschen/europäischen und internationalen Hostern?

Nowitzki: Global betrachtet und pauschalisiert auf jeden Fall. Ein deutscher Anbieter kann es sich nicht erlauben, beispielsweise aus Kostengründen das Backup wegzulassen, da er einen Ruf zu verlieren hat. Internationale Anbieter arbeiten hier oft etwas risikofreudiger, und schieben ihren Kunden gerne mal den schwarzen Peter im Kleingedruckten unter. Wir haben einige Kunden, die zuvor bei internationalen Anbietern Daten verloren haben, und die nun sicherstellen wollen, dass sie es mit einem lokalen und damit greifbaren Anbieter zu tun haben

  Gibt es spezielle Bereiche, wo Sie denken, dass die Cloud leichter in den Unternehmen 2014 ankommt? Beispielsweise Backup-to-the-Cloud, oder unternehmenseigene App-Markets, oder E-Mail-Hosting, oder Archivierung in der Cloud?

Nowitzki: Absolut. Warum etwas mit eigenen Ressourcen tun, wenn es einen Anbieter gibt, der dies besser und günstiger kann. Genau dieses »besser und günstiger« ist der ausschlaggebende Faktor für den Erfolg einer »Cloud«-Lösung. Hier wird es in absehbarer Zeit fast nichts mehr geben, das ein Unternehmen intern besser und günstiger haben könnte. Aber welche IT-Abteilung würde schon daran arbeiten, sich selbst abzuschaffen? Unsere Trends sind eindeutig E-Mail-Archivierung und E-Mail-Antispam. Dicht gefolgt von Managed-Security-Services.

  Auf welche Entwicklungen sollten kleinere und mittelständische Unternehmen (KMUs), wenn sie sich mit Cloud und Verschlüsselung befassen, besonders achten?

Nowitzki: Jeder Hersteller möchte sein Produkt verkaufen. Entsprechend eindrucksvoll kommt so manche Broschüre daher. Wichtig ist es sich zunächst, ein eigenes technisches Konzept zu erarbeiten, und sich erst im Anschluss die am Markt befindlichen Lösungen anzuschauen. Wer hier anders vorgeht läuft Gefahr, sich von einem Anbieter einlullen zu lassen, und am Ende nur eine vermeintliche Sicherheit geschaffen zu haben.