Cloud hat speziell in den letzten Jahren den Schritt vom einstigen Hype-Thema zur nutzbringenden Technologie vollzogen. Cloud ist in den Köpfen der IT-Verantwortlichen und in den Rechenzentren angekommen. Doch im Jahr zwei nach Whistleblower Edward Snowden zeigt sich auch: Ohne Verschlüsselung darf es eigentlich nicht gehen. Das Thema Security nimmt berechtigerweise einen immer höheren Stellenwert ein. speicherguide.de sprach über dieses Thema mit Dr. Dieter Steiner ist Geschäftsführer beim Security-Service-Provider SSP Europe.

  Wenn es um Cloud und Verschlüsselung geht – denken Ihrer Erfahrung nach die Administratoren schon strategisch für ihr Unternehmen? Oder noch zu punktuell?

Anzeige

Dr. Dieter Steiner, Geschäftsführer, SSP EuropeDr. Steiner: Ich sehe noch keine breit aufgestellte Verschlüsselungsstrategie in Unternehmen. Viele IT-Sicherheitsbeauftragte und Administratoren haben die Notwendigkeit für den Einsatz von Verschlüsselungssystemen erkannt, müssen sich aber erst noch mit den zahlreichen einzuführenden Lösungen auseinandersetzen. Somit geht an vielen Stellen der Blick auf eine ganzheitliche und strategische Lösung verloren. Darüber hinaus sind Sicherheitsaspekte nach wie vor meist nicht das wichtigste Kriterium im Marketing der Cloud-Anbieter oder bei Entscheidungen der Unternehmen für eine Lösung. Es überwiegen die Argumente für Ausfallsicherheit, Skalierbarkeit und Kostenersparnis.

  Werden bei Bedarf nur Dateien/Files/Dokumente verschlüsselt? Oder auch schon die interne Netzwerkkommunikation in Unternehmen? Kümmern sich Unternehmen verstärkt um verschlüsselte E-Mail-Kommunikation – oder ist das kaum ein Thema trotz Edward Snowden?

Dr. Steiner: Die Erkenntnis, dass nicht nur die Dateiablage, sondern auch die gesamte Kommunikation (intern wie extern) verschlüsselt werden muss, verbreitet sich langsam. Dennoch scheint es technische und finanzielle Hürden zu geben, eine konsequente E-Mail-Verschlüsselung einzuführen, oder alternative und sichere Tools wie Austauschplattformen einzuführen. Ein Grund, den man häufig hört, ist, dass sich die Verschlüsselungswerkzeuge eher an technisch versierte Nutzer richten und möglicherweise die Bedürfnisse unerfahrener PC-Nutzer nicht ausreichend berücksichtigen. Das ist sicher nicht ganz von der Hand zu weisen. Darüber hinaus ist auch das Wissen um die Funktionsweise von kryptografischen Verfahren leider nach wie vor nicht sehr verbreitet, und so stellen die Einschätzung der Wirksamkeit sowie die Konfiguration von Verschlüsselungssoftware oftmals selbst Systemadministratoren vor große Herausforderungen.

  Wenn sich Unternehmen für Verschlüsselung interessieren – müssen Sie noch beweisen, dass es funktioniert? Werden Best-Practises angefordert/verlangt?

Dr. Steiner: Ich beobachte eher das Gegenteil, vor allem bei kleinen und mittelständischen Unternehmen: Häufig scheint ein Hinweis auf den Einsatz von Verschlüsselung völlig ausreichend zu sein. Viel zu selten erkundigen sich Entscheidungsträger, IT-Sicherheitsbeauftragte oder Administratoren über die Details der eingesetzten Kryptografie. Dabei sind diese durchaus relevant, denn neben dem Einsatz veralteter Verfahren, die nach heutigem Stand nicht mehr als sicher gelten können, kann auch die unsichere Anwendung und Ausgestaltung von Krypto-Protokollen durch eine Software zu fatalen Datenverlusten führen. Häufige Probleme sind dabei die eigene Implementierung von Kryptografie-Mechanismen durch unerfahrene Entwickler oder eine mangelnde Absicherung des Schlüsselmaterials. Die Ursache dieser Situation mag sein, dass zwar in jedem Unternehmen detailliertes Wissen beispielsweise über Netzwerktechnik, aber nicht über Kryptografie bzw. IT-Sicherheit vorhanden ist.

  Können Sie in Ihrem Geschäftsumfeld erkennen, dass seit der Snowden-Affäre Risikoerwägungen viele Unternehmen noch davon abhalten, mehr Computing-Ressourcen und Geschäftsdaten in die Cloud zu verlagern?

Dr. Steiner: Eine tatsächliche Abkehr von Cloud-Strategien habe ich bisher nicht beobachten können, aber eine gewisse Sensibilisierung durch die Snowden-Enthüllungen hat mit Sicherheit stattgefunden: Vermehrt streben Unternehmen danach, nationale Cloud-Anbieter anstelle US-amerikanischer oder britischer Anbieter zu nutzen oder selbst Clouds in ihren Rechenzentren zu betreiben (»Private Clouds«), letzteres findet man allerdings bisher meist nur bei größeren Unternehmen. Insgesamt bleibt der Trend zur Nutzung von Clouddiensten deutlich bestehen.

  Haben Sie das Gefühl, dass Unternehmen – wenn sie sich mit der Cloud beschäftigen – verstärkt europäische/deutsche Cloud-Anbieter/Hoster in Betracht ziehen?

Dr. Steiner: Ja, das ist wie gesagt ein deutlicher Trend. Der Standort gewährleistet eine zusätzliche Sicherheit, beispielsweise auch vor dem physikalischen Zugriff auf Daten. Zudem sind viele Rechenzentren in Deutschland nach der ISO/IEC-Norm 27001 zertifiziert, was ein umfassendes Informationssicherheits-Managementsystem voraussetzt.

  Gibt es spezielle Bereiche, wo Sie denken, dass die Cloud leichter in den Unternehmen 2014 ankommt? Beispielsweise Backup-to-the-Cloud, oder unternehmenseigene App-Markets, oder E-Mail-Hosting, oder Archivierung in der Cloud?

Dr. Steiner: Durch die, beinahe zwangsweise, Verlagerung der von Unternehmen verwendeten Software – wie beispielsweise Microsoft Office 365, Adobe Creative Cloud – in die Cloud setzen sich die Betroffenen erstmals ernsthaft mit diesem Thema auseinander und entdecken die Vorteile, die sich ihnen bieten. Cloud-Speicher werden in der Regel bereits von den Unternehmen oder den Mitarbeitern regelmäßig genutzt und verstärkt auch im Rahmen der Kollaboration eingesetzt. Dieser Prozess findet natürlich ebenfalls´nicht augenblicklich, sondern nach Bedarf und unter Berücksichtigung der Abschreibungen bisheriger Investitionen statt.

  Auf welche Entwicklungen sollten kleinere und mittelständische Unternehmen (KMUs), wenn sie sich mit Cloud und Verschlüsselung befassen, besonders achten?

Dr. Steiner: Der wichtigste Aspekt bei der Verschlüsselung im Allgemeinen – und im Zusammenhang mit der Cloud im Besonderen – ist eine echte Ende-zu-Ende-Verschlüsselung, die häufig auch als »clientseitige Verschlüsselung« bezeichnet wird (Snowden nannte sie im Interview Zero-Knowledge). Nur damit kann wirklich sichergestellt werden, dass niemand unbefugterweise Einblick in sensible Daten oder Kommunikationsvorgänge nimmt, weil außer dem Eigentümer der Datei oder dem Sender oder Empfänger einer Nachricht tatsächlich niemand mehr die Daten entschlüsseln kann. Somit besteht keine Bedrohung durch ein missbräuchliches Verhalten Dritter (Telekommunikations- oder Cloud-Anbieter, Behörden oder Geheimdienste, die sich Zugriff auf Daten in Rechenzentren beschaffen oder eigene Administratoren, die unbefugt Einblick in fremde E-Mail-Accounts oder Speicherorte nehmen könnten). Dieser wichtige Aspekt wird erst seit den Snowden-Enthüllungen von vielen Anbietern vorangetrieben. Und somit ist mit einer großflächigen Überarbeitung von Verschlüsselungskonzepten auf Seiten der Cloud-Anbieter zu rechnen, die sich im Consumer-Bereich, wo die Entwicklungszyklen wesentlich kürzer sind, schon heute deutlich beobachten lassen (beispielsweise verschlüsselte Chat-Dienste auf Smartphones).