Datensicherheit für Unternehmen in der Cloud

Cloud-Computing, beziehungsweise das Speichern von Daten bei einem Drittanbieter, ist technisch interessant, für Unternehmen birgt diese Technologie aber nach wie vor Risiken. In diesem Beitrag zeigen wir, welche Gefahren die Cloud gerade für Unternehmen darstellt und wie die Probleme im Zusammenhang mit dem Online-Speicher umgangen werden können.

Bequem, aber oft risikoreich – Cloud-Datensicherung im Jahr 2014

Inzwischen drängen zahlreiche Anbieter à la Dropbox oder Google Drive auf den Markt, Microsofts Lösung OneDrive beispielsweise stellt inzwischen gar unbegrenzten Speicherplatz für Daten jeglicher Art zur Verfügung – wer soll da noch widerstehen können? Dabei kann ein wenig Zurückhaltung nicht schaden, wie beispielsweise eine Studie des Fraunhofer Instituts ergeben hat. Zwar sind die darin enthaltenen Daten bereits zwei Jahre alt – denn der Zeitraum bezieht sich auf den Sommer 2011 bis Januar 2012 -, doch die daraus gewonnenen Erkenntnisse haben sich bis heute kaum geändert.

Folgende Probleme können Unternehmen in der Cloud erwarten:

  • Es fängt bei kleinen Schwierigkeiten an: Zahlreiche Cloud-Anbieter verifizieren nicht einmal die bei der Registrierung angegebene E-Mail-Adresse. Wer Daten unter einem falschen Namen hochladen möchte, sollte keinen großen Problemen begegnen.
  • Einige Anbieter lassen die Übertragung von Daten unverschlüsselt zu. Für wirklich wertvolle Daten ist eine solche Cloud-Lösung daher in keinem Unternehmen eine Option.
  • Das SSL-Protokoll gilt auch in Zeiten von Heartbleed noch als sicher, mehrere Cloud-Anbieter ersetzen den Sicherheitsstandard aber durch eigene, in der Regel proprietäre (und damit nicht einsehbare) Lösungen.

Regionale Anbieter als Lösung?

Sicherheitstechnisch bedenklich ist auch der Fokus auf US-amerikanische Unternehmen. Nicht zuletzt durch die praktisch allwissende NSA sollte man es Dritten offensichtlich so schwierig wie möglich machen, auf eigene Daten zuzugreifen. Wer in seinem Unternehmen nun auf die Lösung eines Cloud-Dienstes aus diesem Land setzt, unterwirft seine Daten damit auch der dortigen Rechtsprechung. Im internationalen Vergleich fallen die Datenschutzbestimmungen in den USA jedoch weitaus weniger streng aus. An die Regulierungen hierzulande müssen sich die US-Betreiber außerdem keinesfalls halten.

Als Unternehmen ist es daher ratsam, Daten möglichst bei einem deutschen Cloud-Dienst auszulagern, wenn es unbedingt notwendig ist. Dabei sollte sich nicht nur der Firmensitz in Deutschland befinden, um die Datensätze anschließend doch auf Servern in den USA (oder einem beliebigen anderen Land mit einer fragwürdigen Einstellung zum Datenschutz) zu speichern. Alternativen stellen Nachbarländer wie die Schweiz oder Österreich dar, da die besagten Regulierungen dort ähnlich ausfallen.

Die Mitarbeiter sind der Schlüssel

All die negativen Aussagen in Bezug auf die Cloud sollen an dieser Stelle nicht den Eindruck erwecken, dass es sich dabei um eine „schlechte“ Technologie handelt. Die Datensicherung und auch das Teilen von Daten über die Cloud ist überaus bequem, sehr schnell, extrem flexibel und die erste Wahl, wenn es darum geht, an bestimmten Daten mit mehreren Mitarbeitern im Unternehmen von unterschiedlichen Standorten aus zu arbeiten. Eine Einschränkung oder gar ein Verbot dieser Technik sollte also in keinem Unternehmen stattfinden.

Stattdessen lautet das Zauberwort: Sensibilisierung.

  • Mitarbeitern muss bewusst gemacht werden, welche Schäden durch eine falsche Anwendung von Cloud-Speicher entstehen können. An bestimmten Datensätzen können enorme Summen hängen – und hinterher ist der Schaden kaum noch reparabel. Jede Person mit Zugriff auf den ausgewählten Cloud-Speicher sollte über einen ordnungsgemäßen Umgang mit der Datenwolke geschult werden.
  • Mittel für diese Sensibilisierung sind vielleicht Seminare oder auch eigens improvisierte Versammlungen zum Thema Datenschutz. Anschließend werden die darin geschulten Personen deutlich weniger Fehler begehen, was das Risiko eines Datenlecks minimiert.

Gleichzeitig ist der Mensch aber nach wie vor die größte Fehlerquelle beim Umgang mit Computern im Allgemeinen. Fehler werden also nach wie vor passieren – nur liegt es im Ermessen des Unternehmens, diese zu reduzieren. Die Sicherheitsstandards der eingangs erwähnten Cloud-Anbieter werden durch diese Maßnahmen ebenfalls nicht verändert, so dass hier immer ein gewisses Restrisiko bestehen bleibt.

„Früher war alles besser!“

Nein, das stimmt nicht. Die klassische E-Mail beispielsweise ist kein Ersatz für adäquaten Cloud-Speicher: Nur in Verbindung mit Standards wie PGP kann sie als sicher eingestuft werden. Mittlerweile haben sich einige Produkte am deutschen Markt etabliert, die bei der E-Mail-Verschlüsselung helfen. Beispielsweise beinhaltet Symantec Desktop Encryption Corporate zahlreiche PGP-Optionen zur Mail-Verschlüsselung. Selbst Netzsieger.de empfiehlt die Software als Unternehmenslösung.

Trotz guter Verschlüsselungssoftware drohen aus Richtung Mensch neue Gefahren: Ein Buchstabendreher im Adressatenfeld und schon landet die E-Mail bei einem ganz anderen Empfänger im Posteingang. Angesichts dieser Tatsache und des Fakts, dass PGP auf eine noch immer sehr geringe Verbreitung schauen kann, ist die E-Mail sicherlich bequem – aber in keinem Fall auch nur ansatzweise sicher. Die Investition in bessere, sicherere Cloud-Dienste ist daher in jedem Unternehmen vorzuziehen.