Cloud hat speziell in den letzten Jahren den Schritt vom einstigen Hype-Thema zur nutzbringenden Technologie vollzogen. Cloud ist in den Köpfen der IT-Verantwortlichen und in den Rechenzentren angekommen. Doch im Jahr zwei nach Whistleblower Edward Snowden zeigt sich auch: Ohne Verschlüsselung darf es eigentlich nicht gehen. Das Thema Security nimmt berechtigerweise einen immer höheren Stellenwert ein. speicherguide.de sprach über dieses Thema mit Lars Kroll, Cyber Security Strategist bei Symantec Deutschland.

  Wenn es um Cloud und Verschlüsselung geht – denken Ihrer Erfahrung nach die Administratoren schon strategisch für ihr Unternehmen? Oder noch zu punktuell?

Anzeige

Lars Kroll, Cyber Security Strategist, Symantec DeutschlandKroll: Hier gibt es deutliche Unterschiede zwischen den Unternehmen. Einige sind bereits extrem weit beim Thema Cloud und Sicherheit, inklusive Verschlüsselung. Banken gehören beispielsweise zu den am besten geschützten Firmen mit eigenen Security-Analysten. Hier kommt dem Thema IT definitiv eine strategische Rolle zu. Im produzierenden Gewerbe hingegen ist die Office-IT oftmals recht gut geschützt, der produzierende Teil – wie zum Beispiel Schweißroboter – jedoch noch nicht.

  Und was ist mit KMUs?

Kroll: Kleine und mittelständische Unternehmen (KMU) hinken bei der Verschlüsselung oftmals hinterher. Zum einen haben sie nicht die Ressourcen, um dem Thema eine hohe Priorität einzuräumen, zum anderen halten sie sich fatalerweise häufig für zu unbedeutend, um ein Ziel für Hacker zu sein. Der 19. Symantec Sicherheitsbericht zeigt allerdings das Gegenteil: KMU werden häufig gerade aufgrund ihrer IP attackiert, oder von Cyberkriminellen als Einfallstor für Angriffe auf Großkonzerne missbraucht.

  Werden bei Bedarf nur Dateien/Files/Dokumente verschlüsselt? Oder auch schon die interne Netzwerkkommunikation in Unternehmen? Kümmern sich Unternehmen verstärkt um verschlüsselte E-Mail-Kommunikation – oder ist das kaum ein Thema trotz Edward Snowden?

Kroll: Wenn überhaupt, werden meistens Dokumente und E-Mails verschlüsselt, oftmals während der Übertragung – dann aber unverschlüsselt abgespeichert. Die Verschlüsselung während des Transfers ist schon einmal ein guter Anfang, aber nicht ausreichend.
Die Verschlüsselung des internen Netzwerkverkehrs wird eher bei der Kommunikation zwischen Unternehmensstandorten eingesetzt. Doch auch hier wird in der Sicherheitsbranche die Kehrseite heiß diskutiert: Kann die Verschlüsselung der internen Kommunikation nicht auch hinderlich sein bei der Erkennung von Schadcode, der ja sehr häufig verschlüsselt mit seinem Ersteller kommuniziert?
Leider steht die Verschlüsselung von Daten und Netzwerken trotz der NSA-Affäre bei den meisten Unternehmen (noch) nicht im Fokus. Sie fürchten nicht nur höhere IT-Kosten, sondern auch eine zunehmende Komplexität für die IT und die Anwender, wenn sie alle Daten verschlüsseln. Dabei gibt es entsprechende Lösungen, die nicht nur einfach zu installieren und zu nutzen sondern auch kosteneffizient sind.

  Wenn sich Unternehmen für Verschlüsselung interessieren – müssen Sie noch beweisen, dass es funktioniert? Werden Best-Practises angefordert/verlangt?

Kroll: Wir zeigen Unternehmen immer Best-Practices als Nachweis unserer Expertise. Für Symantec und auch für unsere Partner gehört der Nachweis unseres Know-hows in diesem Bereich einfach dazu. Die eigentliche Funktion müssen wir natürlich nicht nachweisen, aber wir müssen ein Konzept zur Umsetzung vorlegen. Hinterfragt wird immer mal wieder die Sicherheit der Verschlüsselung, speziell im Bezug auf mögliche Hintertüren (sogenannte Backdoors) für Regierungen. Da wir aber als einziger Anbieter einer kommerziellen Lösung bei jedem Major-Release den Source-Code offenlegen, sind wir hier gut vorbereitet.

  Können Sie in Ihrem Geschäftsumfeld erkennen, dass seit der Snowden-Affäre Risikoerwägungen viele Unternehmen noch davon abhalten, mehr Computing-Ressourcen und Geschäftsdaten in die Cloud zu verlagern?

Kroll: Unternehmen unterscheiden heute genau, welche Dienste und Daten geistiges Eigentum – also unternehmenskritische Informationen – nutzen. Viele Firmen speichern diese Daten nur On-Premise, die Migration solcher Informationen in die Cloud ist für sie selten ein Thema. Andererseits gibt es Anwendungen, die bedenkenlos in der Cloud laufen können. So lässt sich zum Beispiel eine Filterlösung für E-Mails in der Cloud implementieren – diese Daten fließen bei der Kommunikation ohnehin rund um den Globus.

  Haben Sie das Gefühl, dass Unternehmen – wenn sie sich mit der Cloud beschäftigen – verstärkt europäische/deutsche Cloud-Anbieter/Hoster in Betracht ziehen?

Kroll: Wegen der aktuellen Rechtslage (jüngstes Microsoft-Urteil aus den USA) herrscht bei den Unternehmen grundsätzlich Zurückhaltung, sensible Daten in die Cloud auszulagern. Unsere europäischen Rechenzentren kommen bei den Kunden gut an, wenn es um den Schutz vor Schadcode und gezielten Attacken in E-Mails und Webtraffic geht. Wir sichern dem Kunden hier schriftlich zu, dass seine Daten ausschließlich in Europa verarbeitet werden und definitiv frei von Schadcode sind. Das klingt mutig, funktioniert aber in der Praxis. Neben einem kritischen Blick auf Cloud-Dienste setzt sich langsam die Erkenntnis durch, dass Sicherheit aus der Cloud sehr hilfreich ist.

  Gibt es spezielle Bereiche, wo Sie denken, dass die Cloud leichter in den Unternehmen 2014 ankommt? Beispielsweise Backup-to-the-Cloud, oder unternehmenseigene App-Markets, oder E-Mail-Hosting, oder Archivierung in der Cloud?

Kroll: Generell werden Cloud-Lösungen schneller in Bereichen eingesetzt, die als nicht so unternehmenskritisch gelten, zum Beispiel beim E-Mail-Hosting oder für das Backup und die Archivierung von Daten, die nicht die höchste Priorität genießen. Es kommt aber auch auf die Unternehmensgröße an. KMU entscheiden sich insgesamt häufiger für eine Cloud-Lösung, weil sie günstiger, flexibler und gleichzeitig wartungsarm ist.

  Auf welche Entwicklungen sollten kleinere und mittelständische Unternehmen (KMU), wenn sie sich mit Cloud und Verschlüsselung befassen, besonders achten?

Kroll: Unsere Untersuchungen zeigen, dass kein Unternehmen zu klein ist, um angegriffen zu werden. Daher sollte das Thema Sicherheit generell oberste Priorität haben. Eine umfassende End-to-End-Lösung schützt Endgeräte und Server vor Cyberangriffen. Dies gilt allerdings nicht nur für Cloud-Anwendungen, sondern auch für On-Premise-Applikationen. Denn sobald ein Unternehmen mit dem Internet verbunden ist, setzt es sich potenziell Cyberangriffen aus. Grundsätzlich gilt: Ein kleines Unternehmen profitiert am meisten vom Thema Sicherheit aus der Cloud, da das Betreiben eines eigenen Sicherheitszentrums (SOC) für ein KMU nicht leistbar ist. Aus diesem Grund sehen wir eine steigende Nachfrage nach diesen Dienstleistungen in Deutschland.