Die Cloud bringt einen Schub für die Sicherheit

Immer noch hört man von Vorbehalten gegenüber dem Cloud Computing. Fast jedes zweite Unternehmen, das bislang keine Cloud-Services nutzt, gibt Sicherheitsbedenken als Grund dafür an. Das haben die Marktforscher von Forrester Research durch eine Umfrage unter 2200 Firmen weltweit ermittelt. Die Schlagzeilen, die der Ausfall von Systemen bei einem grossen Cloud-Provider und verschiedene Datendiebstähle durch Hackerangriffe produziert haben, scheinen viele Unternehmen in ihren Bedenken gegenüber Cloud- Lösungen zu bestärken.

Doch in den meisten Unternehmen erweist sich nicht die Technik als die grösste ITSchwachstelle, vielmehr ist es der Mensch, den 50 Prozent der befragten Unternehmen in einer Analyse von IDC in Deutschland benennen. "Die IDC-Studie beweist einmal mehr, dass Mitarbeiter ein grosses Sicherheitsrisiko in einem Unternehmen darstellen", sagt Matthias Zacher, Senior Consultant und Projektleiter bei IDC in Frankfurt. "Dies zeigt aber auch eindrucksvoll, welchen Stellenwert der Faktor Mensch im gesamten Security-Gefüge einer Organisation innehat."

Wer für mehr Sicherheit sorgen will, muss sich deshalb an erster Stelle mit seinen Mitarbeitern beschäftigen. Sie müssen zuverlässig und ausreichend gut in Sachen IT-Sicherheit geschult sind. Ausserdem muss ihnen die Nutzung von Sicherheitsvorkehrungen so einfach wie möglich gemacht werden. Microsoft bietet mit Windows 7 ganz allgemein und mit der Enterprise Edition von Windows 7 bereits viele integrierte Sicherheitsfunktionen wie automatische Aktualisierung durch Patches und Update, Firewall und Festplattenverschlüsselung. Sie arbeiten für den Anwender nahezu unbemerkt. Die zentrale Administration vereinfacht es zusätzlich, mögliche Gefährdungen durch Zugriffsbeschränkungen zu erhöhen.

All dies betrifft in erster Linie den einzelnen PC in der IT-Infrastruktur. Doch die wachsende Zahl der Endgeräte erhöht durch Tablets und Smartphones die sicherheitskritischen Elemente, denn auch durch sie kann der Zugriff auf die IT-Systeme und Unternehmensdaten quasi jederzeit von überall aus erfolgen. Sie sind damit attraktive Angriffsziele für Hacker. Deshalb ist es zum einen wichtig, auch auf mobilen Geräten konsequent Sicherfunktionen und entsprechende Software zu nutzen. Zum anderen müssen die zentralen IT-Funktionen und der Zugriff darauf sehr gut gesichert werden. Die wachsende Komplexität von Sicherheitsbedrohung erfordert immer mehr Experten-Know-how, das viele Unternehmen nicht mehr selbst bereitstellen können. Cloud Computing, das zentrale IT-Funktionen bereitstellt, kann dabei einen echten Schub für mehr IT-Sicherheit im Unternehmen bringen: Zum einen betreiben seriöse Cloud-Anbieter hochsichere Rechenzentren mit restriktiven Zutrittsregelungen, automatischen Back-up-Funktionen und Kapazitäten für schnellen Ersatz von ausgefallener Hardware. Zum anderen können sie sich intensiv mit aktuellen und komplexen Bedrohungen aus dem Internet und den dazu passenden Abwehrmechanismen beschäftigen. Ihre IT-Sicherheitsexperten können diese Rechenzentren besser schützen als die überwiegende Mehrheit von Nicht-IT-Unternehmen.

Cloud Computing schafft ausserdem die Voraussetzung für eine neue Art von Sicherheitsdienstleistung. «Security-as&Service» ist eine relativ neue Bereitstellungsform von externen IT-Security-Services, die Unternehmen zunehmend nutzen und von Partnern erbracht werden. Damit können aktuelle User-Ansprüche wie sehr kurze Reaktionszeiten auf Veränderungsanforderungen (Signaturen zur Verschlüsselung, Update und Code Fixes), geringe Bereitstellungs- und Nutzungskosten sowie eine zentrale Verwaltung der Ereignisdokumentation erfüllt werden. So lässt sich insgesamt der Schutz der IT-Systeme in der Regel deutlich über das Niveau der meisten KMUs bringen. Nicht verwechselt werden darf die dabei geschaffene Sicherheit mit der Souveränität über die Unternehmensdaten. Den Verlust der Souveränität über die eigenen Daten bei der Verlagerung in die Cloud lässt viele Unternehmen noch genau davor zurückschrecken. Der übergreifende Plattformansatz von Microsoft, der Cloud-Services und Eigenbetrieb von Systemen miteinander verbindet, löst dieses vermeintliche Problem auf.