DsiN-Blog

Der IT-Sicher­heitsblog für den Mit­tel­stand

Themen

Tipp des Monats

Machen Sie in nur zehn Minuten den IT-Sicher­heits­check von Deutschland sicher im Netz. Der Test liefert Hand­lungs­emp­feh­lungen, mit denen Sie die eigene IT-Sicher­heitslage ver­bessern können.

News­letter

Um neue Bei­träge regel­mäßig zu erhalten, können Sie hier unseren News­letter abon­nieren:

Sicher in die Cloud – geht das?

Inzwi­schen ist das Thema „Cloud“ ja nicht mehr nur Mar­keting, viele Unter­nehmen beschäf­tigen sich prak­tisch mit den Mög­lich­keiten, die einem die Cloud-Ansätze im Arbeits­alltag bringen.

Neben klas­si­schem „Hosting“ von Ent­er­­prise-App­li­­ka­­tionen geht es dabei aber auch um die stan­dar­di­sierte, ein­fache Ser­vices wie „Dropbox“, E‑Mail- und Kalen­der­an­wen­dungen. Wesent­liche Vor­teile sind dabei die ständige Ver­füg­barkeit von Daten und die leichte Admi­nis­tration.

Private Cloud

Trotzdem scheuen sich viele davor, in die „Cloud“ zu gehen, mit der Begründung, die Sicherheit sei noch nicht „gelöst“. Anbieter kontern oft mit dem Begriff der „private Cloud“, sprich: man hat „eine Cloud für sich“. Prak­tisch gesehen sind das die gleichen tech­ni­schen Kon­zepte wie für klas­si­sches Out­sourcing. Das bedeutet vor allem hohe Inves­ti­tionen in Tech­­no­­logie- und Pro­zess­ver­än­de­rungen, aber wenig merk­lichen Unter­schied im Ergebnis im Ver­gleich zu heu­tigen Betriebs-Kon­­zepten. Die „private Cloud“ macht nur Sinn, wenn dahinter die Vision steht, irgendwann in die „richtige“ Cloud zu wechseln. Dafür sind aber — früher oder später — bestimmte Sicher­heits­kon­zepte grund­legend zu ändern.

Para­dig­men­wechsel

Die heu­tigen, in der Praxis ver­brei­teten Sicher­heits­kon­zepte beruhen im Prinzip immer noch auf dem Para­digma „gut = drinnen, böse = draußen“. Dies geht natur­gemäß in der Cloud nicht mehr. Statt dessen müssen die Daten direkt an den Daten geschützt werden, egal wohin sie sich bewegen. Ent­spre­chende Tech­no­lo­gie­an­sätze gibt es längst, alleine eine Mas­sen­taug­lichkeit für Unter­­nehmens-Ein­­sätze ist noch nicht vor­handen. Erste Schritte werden bereits gegangen, z.B. beim Sharing von Doku­menten in der Cloud, wo aber die Rechte noch nicht an die Doku­mente gebunden werden. Dieser Para­dig­men­wechsel wird aber nur erreicht, wenn erste Unter­nehmen den Schritt wagen, den Tech­no­lo­gie­wechsel auf Daten­ebene zu voll­ziehen. Dafür gibt es – natürlich – schon Her­steller, doch für Mit­tel­ständler sind diese Angebote meist noch unge­eignet, weil nicht „plug&play“ genug.

Und was heißt das konkret?

Konkret bedeutet dies: statt Fest­plat­ten­ver­schlüs­selung muss jedes ein­zelne Infor­ma­ti­ons­element ver­schlüsselt sein, statt einer zen­tralen Berech­ti­gungs­kon­zeption, die den Zugriff auf Infor­ma­tionen in ihrem Hoheits­gebiet über­wacht, müssen unter­neh­mens­über­grei­fende, digi­ta­li­sierte, inter­ope­rable, auto­ma­tisch aus­wertbare Regeln ein­ge­führt werden, die bei der Ver­ar­beitung von Daten zwingend ver­wendet werden müssen. Die Stan­dards sind da, alleine die Ver­breitung in den Cloud Ser­vices ist noch aus­bau­fähig.

Als Unter­nehmen können Sie sich auf diesen Wandel vor­be­reiten, wenn Sie die erlaubte Ver­wendung von bestimmten Daten in Richt­linien fest­halten. Ein guter Anfang ist die Doku­men­ten­klas­si­fi­kation (in ver­traulich, intern, öffentlich etc.), die es eigentlich sowieso in jedem Unter­nehmen geben sollte. Die Tech­no­logie wird Ihnen diese Aufgabe nicht abnehmen, höchstens erleichtern.

Kurz gesagt: Cloud ready sind Sie erst, wenn Sie genau wissen, welche Ihrer Daten wann, wie und von wem ver­ar­beitet werden dürfen. Also: Sicher in die Cloud geht – wenn man weiss, was man da will.

 

Schreiben Sie einen Kommentar

Ihre E-Mail-Adresse wird nicht veröffentlicht. Erforderliche Felder sind mit * markiert.

Prof. Dr. Sachar Paulus, Hoch­schule Mannheim

Prof. Dr. Sachar Paulus ist Senior Analyst bei Kup­pinger Cole, arbeitet gleich­zeitig als selb­stän­diger Unter­neh­mens­be­rater für Sicherheit und ist Pro­fessor für Unter­neh­mens­si­cherheit und Risi­ko­ma­nagement an der FH Bran­denburg. Er war Mit­glied der stän­digen Inter­es­sen­ver­tretung der ENISA (Euro­päische Netzwerk- und Infor­ma­ti­ons­si­cher­heits­agentur) und des For­schungs­beirats “RISEPTIS” für Ver­trauen und Sicherheit im Future Internet der Euro­päi­schen Kom­mission. Er ist Vor­stands­vor­sit­zender des Vereins “ISSECO” für sichere Software-Ent­wicklung und des Vereins “SEsamBB” für Security und Safety made in Berlin Bran­denburg. Von 2000 bis 2008 war Prof. Paulus bei SAP in ver­schie­denen Lei­tungs­funk­tionen zu Sicherheit tätig, unter anderem Leiter der Kon­zern­si­cherheit und Leiter der Pro­dukt­si­cherheit. Er vertrat SAP als Vor­stands­mit­glied in den beiden Ver­einen “Deutschland Sicher im Netz” und “Tele­TrusT”.

 

Koope­ra­ti­ons­partner

Für DATEV sind Daten­schutz und Daten­si­cherheit seit Gründung des Unter­nehmens zen­trale Ele­mente in der Geschäfts­po­litik. Daher enga­giert sich DATEV mit dem Blog für mehr IT-Sicherheit im Mit­tel­stand.