Interview: Wie sicher ist Cloud Computing?

4

Wie sicher ist eigentlich Cloud Computing? Können Unternehmen wie auch die Consumer auf die virtuelle Wolke setzen? Ja, die Zukunft liegt meines Erachtens in den vielen einzelnen Wölkchen. Das Abheben der Daten sollte jedoch kontrolliert geschehen. Experten sind sich dahingehend leider noch uneinig, wie genau die Sicherheit in der Cloud ausschaut. Wahrscheinlich auch, weil die meisten Anbieter der bekanntesten Clouds in den USA sitzen. Was bleibt sind Fragen: Wie sicher sind die Web-Speicher wirklich? Wovon sollten wir die Finger lassen? Fragen, die uns René Büst, Cloud-Computing- und Technologie Analyst, pünktlich zur „CLOUDZONE 2012“ beantwortet hat.

Fragen-Übersicht

Als Marc Benioff von Oracle von der Kundenveranstaltung OpenWorld ausgeladen wurde, konterte der CEO von Salesforce.com, mit folgendem Zitat: „Hüten Sie sich vor der falschen Cloud“. Das lassen wir, trotz fehlendem Kontext, mal so stehen.Dennoch, in den letzten Jahren hat sich Cloud Computing kontinuierlich weiterentwickelt und etablierte sich seit der CeBIT 2011 auf dem Massenmarkt. Für Unternehmen bedeutet das in der Praxis mehr Leistung, Skalierbarkeit und gleichzeitige Ressourcenschonung. Der Endverbraucher ist durch den Einsatz der virtuellen Wolke mobiler denn je. Doch Sicherheitsaspekte sind für die Masse meist ein Laster, Automatisierungen bei potenziellen Sicherheitslücken sind ein Muss. Warum? Der Nutzer/Unternehmen muss online sein, um seine Clouddienste nutzen zu können – also ein leicht auffindbares Scheunentor für jeden Angreifer.

MIT-Blog
René, die Aussage des werten Herrn Benioff ist zwar auf die erwähnte Ausladung zurückzuführen. Doch auf die allgemeine Cloud-Problematik hinsichtlich der Sicherheit kann man diese stehen lassen, oder?

René Büst

Ich denke Marc Benioff als Guerillia Marketing Experte weiß schon, wie er sich auch solche unangenehmen Situationen zum eigenen Vorteil auslegen kann. Aber grundsätzlich hat er Recht. Jedes Unternehmen muss sich vorab unbedingt informieren, bevor es den Weg in die Cloud wagt. Dabei ist es wichtig, zunächst die eigenen Bedürfnisse und Anforderungen zu kennen, einen Use Case zu spezifizieren und auf dieser Basis eine Cloud-Strategie zu entwickeln. Mit einem “ Augen zu und durch “ wird es natürlich nicht funktionieren. Jedoch kann ein Unternehmen die Begebenheiten des Cloud Computing selbst gut nutzen und erst einmal kostengünstig mit Testdaten evaluieren, ob der Schritt möglich ist.

MIT-Blog

Gibt es eigentlich die richtige, die „sichere“ Cloud? Meines Erachtens gibt es diese nicht. Aber ich lasse mich dahingehend gerne umstimmen oder vielmehr vom Gegenteil überzeugen.

René Büst

Es gibt nicht die „sichere Cloud“. Ich behaupte aber, dass in den meisten Fällen eine Public Cloud deutlich sicherer ist als eine Private Cloud oder ein Standard Rechenzentrum. Hierzu müssen aber zwei Bereiche unterschieden werden. Der Datenschutz und die Datensicherheit. „Datenschutz bezeichnet den Schutz des Einzelnen vor dem Missbrauch personenbezogener Daten.“ „Als Informationssicherheit bezeichnet man Eigenschaften von informationsverarbeitenden und – lagernden Systemen, welche die Vertraulichkeit, Verfügbarkeit und Integrität sicherstellen.“ Die Frage ist wer, was, wie und wo am besten sicherstellen kann.

Meiner Ansicht nach sind Cloud Computing und Sicherheit reine Kopfsache. Die Argumente, dass eine Private Cloud sicherer ist kommt davon, dass die Daten im eigenen Besitz bleiben und man dafür selbst verantwortlich ist. Aus eigener Erfahrung kann ich aber sagen, dass dem so nicht ist. Denn die Gefahr geht weniger extern vom bösen Hacker aus, sondern viel mehr von innen, beispielsweise von den eigenen (unzufriedenen) Mitarbeitern. Was nützt es zum Beispiel, wenn die Firewalls den unerwünschten Zugriff von Außen perfekt absichern, die USB-Ports aber den physikalischen Zugriff auf Daten erlauben und auch über das Web Daten wie etwa über Webmailer aus dem Unternehmen gestohlen werden können. Ist der Datenschutz in diesem Fall gewährleistet? Es geht also um Zugriffsrechte und Beschränkungen.

Genauso verhält es sich beim Thema Datensicherheit. Die Infrastruktur eines Cloud-Computing-Anbieter ist vor dem Ausfall definitiv besser abgesichert als eine Private Cloud oder ein gewöhnliches oder bereits virtualisiertes Rechenzentrum. Denn die Cloud-Anbieter sind Experten in dem was sie machen, das Bereitstellen von Cloud Infrastrukturen ist ihr Kerngeschäft. Das in jüngster Vergangenheit die Ausfälle in der Öffentlichkeit so breit diskutiert wurden, hängt einfach damit zusammen, dass die Cloud-Computing-Anbieter nun einmal so plötzlich in der Öffentlichkeit stehen und das jeder Ausfall sofort eine gesellschaftliche Außenwirkung hat.

Wenn der Nutzer/Kunde das Cloud Computing versteht, würde die Sicherheit auch weniger in den Fokus rücken – ohne sie dabei zu vernachlässigen. Viele denken, „die Cloud macht das schon für mich.“ Dem ist aber nicht so. Amazon stellt lediglich die Ressourcen zur Verfügung, mit der ein virtuelles Rechenzentrum aufgebaut werden kann. Amazon sorgt dafür, dass die für die Virtualisierung benötigten Hardwareressourcen funktionsfähig sind. Für alles andere ist der Kunde verantwortlich.

Was man jedoch nicht abstreiten kann ist die Situation mit dem Patriot Act. Das ist wirklich ein Problem. Jedoch kann ein deutscher Staatsanwalt ebenfalls in ein Rechenzentrum gehen und Server bei einem Tatverdacht mitnehmen. Allerdings bin ich kein Jurist.

MIT-Blog

Wie entwickelt sich das Cloud Computing im Mittelstand/Industrie?

René Büst

Langsam, aber stetig. Was derzeit noch fehlt sind aussagekräftige und reale Anwendungsfälle, die dem Mittelstand zeigen, dass auch er vom Cloud Computing profitieren kann. Dazu würde es allerdings schon ausreichen in die USA oder auf die Webseiten der Cloud Anbieter zu schauen. Dort stehen bereits ausreichend gute Referenzen. Wovon Unternehmen jedoch schnell profitieren werden, ist der Wechsel zum SaaS. Insbesondere dann, wenn die Mitarbeiter verstärkt verteilt miteinander zusammenarbeiten und der Zugriff auf E-Mails, Kontakte, Termine und weitere Daten von jedem Ort aus stattfinden soll.

Der Mittelstand hat vor allem Bedenken wegen des Datenschutzes sowie mit der Problematik, die eigenen Daten aus der Hand zu geben. Das deckt sich auch mit dem, was ich regelmäßig in Gesprächen höre. In diesen sind die Cloud-Gegner weniger die Geschäftsführer/ CEOs sondern die IT-Abteilungen. Sie haben Angst um ihren Job, da dieser durch die Cloud und deren verbundenen Automatisierungstechnologien überflüssig zu werden scheint. Dem ist allerdings überhaupt nicht so.

MIT-Blog

Was müsste passieren, damit die Cloud auch in Deutschland/Mittelstand angenommen wird?

René Büst

Es besteht noch eine Menge Aufklärungsarbeit. Viele sehen im Cloud Computing immer noch den alten Wein in neuen Schläuchen. Hinzu kommen echte, wie bereits schon erwähnt, Anwendungsfälle die zeigen müssen, was möglich ist. Es ist ja nicht so, das der Mittelstand die Cloud komplett ignoriert. Ich denke das ist ein falsches Bild, was durch die Medien dargestellt wird. Es gibt schon einige Mittelständler die Cloud nutzen. Es sind nur noch zu wenige, um darüber berichten zu wollen.

Ein weiterer Punkt ist, wie schon mehrfach geschrieben, das Thema Datenschutz. Hier muss es klare Entscheidungen und Gesetze geben, die einen Anbieter finanziell und strafrechtlich so stark knebeln, dass er gar nicht in Versuchung gerät überhaupt an Datenmissbrauch zu denken. Da es bereits ausreichend Datenschutz-Werkzeuge für die Cloud gibt, hat Sven Thomsen vom ULD eindrucksvoll beschrieben. Dort sieht sieht man deutlich, dass die Datenschutzbehörden nicht die Spielverderber sind.

Die Mittelständler, die sich bisher noch nicht an die Cloud herangewagt haben, sollten einfach mal kleinere Pilotprojekte starten, um zu sehen was wirklich möglich ist. Aber vielleicht merken sie bei der Evaluation auch, dass die Cloud ihnen keinen Mehrwert bietet. Das kann durchaus sein. Denn für Cloud Computing muss nun einmal ein konkreter Anwendungsfall vorliegen. Das Thema Kosten darf hier auf keinen Fall das Hauptargument sein. Es gibt Situationen, wo Cloud Computing teurer sein kann, aber deutlich mehr Flexibilität und Agilität bietet die einen entscheidenden Wettbewerbsvorteil bieten können.

MIT-Blog

Welche Clouds nutzt Du persönlich? Welche dienstlich? Vielleicht magst Du 2 besonders hervorheben.

René Büst

Auf Grund meiner Tätigkeit als Analyst und Journalist komme ich täglich mit unterschiedlichen Clouds und Technologien in Kontakt. Die Bandbreite ist viel zu groß. Aber privat nutze ich unter anderem Dropbox und Google Apps. Auch für die Vernetzung meiner Familie ideal. Beruflich Salesforce, Billomat, Google Apps, Office 365 und die Amazon Web Services.

Dropbox nutze ich vor allem zum Backup meiner Daten. Was ich früher mühselig und vor allem manuell auf einer externen Festplatte vornehmen musste, läuft nun automatisiert und in Echtzeit im Hintergrund. Sobald ich eine neue Datei hinzufüge oder Änderungen an einer bestehenden vornehme, startet – wenn eine Datenverbindung vorhanden ist – sofort die Synchronisation. Zudem kann ich nun von überall via Android/Smartphone oder iOS/iPad auf meine Daten zugreifen. Quasi der eigene Dateiserver inklusive Backup. Für mich ein ideales Szenario.

Google Apps ist für mich eine klasse Lösung für E-Mail und Kollaboration. Web-Browser auf und los gehts. Zudem habe ich als Android-Nutzer meine Daten immer synchronisiert zur Hand. Google Apps und Android sind daher zusammen die ideale Kombination. Man sollte aber ebenfalls nicht Office 365 von Microsoft vergessen. Insbesondere bei den Office Funktionen hat Microsoft vor Google Docs die Nase vorn.

MIT-Blog

Wie siehst Du die Cloud in 10 Jahren?

René Büst

Die technischen Entwicklungen zeigen, dass die Cloud in den Mittelpunkt rücken wird. Dabei werden wir je nach persönlichem Empfinden ganz auf die Cloud oder auf hybride Ansätze zurückgreifen. Gehen wir den Google-Weg mit den Chromebooks, werden wir vollständig in der Cloud arbeiten. Das glaube ich jedoch nicht. Dafür sind noch zu viele Hürden zu beseitigen. Eine sind die Datenverbindungen. Deutschland hat eine verhältnismäßig gut ausgebaute Infrastruktur. Allerdings gibt es noch viel zu viele Gegenden, in denen Schmalband-Internetverbindungen an der Tagesordnung sind. Meist muss der Nutzer dafür nur drei Kilometer aus einem Stadtkern herausfahren. Und auch an den mobilen Datenverbindungen muss im ländlichen Bereich noch viel mehr getan werden. LTE sei an dieser Stelle erwähnt.

Dennoch, die Cloud wird weiterhin ein unterstützendes Instrument bleiben, um auf den skalierbaren Infrastrukturen neue Geschäftsmodelle aufzubauen oder per SaaS verteilt zu arbeiten. Insbesondere bei der verteilten Arbeit sehe ich ein enormes Wachstumspotential. Hat die Mehrheit der Nutzer/ Bevölkerung erst einmal die Möglichkeiten gesehen, die mit der Cloud verbunden sind, werden sich neue Arbeitsmodelle entwickeln und Geschäftsmodelle etablieren – Human-as-a-Service ist dafür ein gutes Beispiel. Was ich damit sagen möchte, die Ideen und Konzepte des Cloud Computing lassen sich auch auf andere Bereiche abbilden.

MIT-Blog

Und? Welchen Unterschied siehst Du dahingehend zwischen den Ländern USA und Deutschland, wenn Du dabei das Cloudcomputing vergleichst?

René Büst

Cloud Computing ist in den USA viel weiter als in Deutschland. Schauen wir uns alleine Amazon an. Die haben einen Entwicklungsvorsprung von 6 Jahren. Aus diesem Grund können sie fast jeden Monat neue Services veröffentlichen und wir Deutschen schauen neidisch rüber und fragen uns, wie die das machen. Zudem ist Cloud Computing bereits in der Politik angekommen. Viele Behörden setzen im SaaS Bereich schon auf Google Apps oder Microsoft Office 365.

Die USA haben einfach den großen „Vorteil“, dass die Unternehmen dort erst einmal loslegen und dann schauen, was die Konsequenzen sind oder sorgen dafür, dass anschließend für fragliche Lücken Gesetze geschaffen werden. Wenn es nach uns Deutschen gehen würde, müsste es immer erst ein Gesetz geben, bevor eine neue Idee dafür entwickelt wird. Genau diese Mentalität, die „German Angst“ hemmt Deutschland daher einmal etwas innovatives im IT-Bereich auf die Beine zu stellen, stattdessen wird lieber kopiert. Fazit: Die Risikobereitschaft in den USA ist einfach viel höher als in Deutschland.

MIT-Blog

Klasse René. Vielen Dank für das Interview. Wer mehr über René erfahren möchte, klickt sich sofort auf sein Blog.

Share.

4 Kommentare

  1. Pingback: Gastbeitrag: Cloud Security ist eine lösbare Aufgabe | MIT

  2. Pingback: EMC: „Datensicherheit ist ein sehr deutsches Thema“ | CloudOps Summit

  3. schlimmer ist wie sicher sind unsere Provider in Deutschland überhaupt noch?
    Soll man lieber einen ausländischen Anbieter nehmen, da unsere deutschen alle Adressen leichtfertig an Massenabmahner rausrücken?

Eine Antwort verfassen