Sie sind hier: Startseite > Arbeitsfelder > Spionageabwehr > Archiv  > Archiv 2015 > Cloud Computing in Unternehmen – Fluch oder Segen?

Cloud Computing in Unternehmen – Fluch oder Segen?

Spionageabwehr/Wirtschaftsschutz     6 | 2015

Laut einem aktuellen Bericht des Staatsanzeigers Baden-Württemberg nutzte 2014 etwa jedes achte Unternehmen in Deutschland Cloud Computing, d. h., die betreffenden Betriebe bezogen über das Internet kostenpflichtige IT-Dienste von externen Anbietern. Bei größeren Firmen ab 250 Mitarbeitern lag die Nutzungsrate von Cloud-Diensten sogar bei 27 Prozent. Diese Zahlen hat das Statistische Bundesamt ermittelt. Sie legen nahe, dass Cloud Computing auch 2015 einer der großen Trends in der IT-Branche bleiben wird.

Im Folgenden sollen die wesentlichen Vorteile und Nachteile erläutert werden, die der Weg in die „Wolke“ für Unternehmen mit sich bringt. Vorab lässt sich festhalten, dass die maßgeblichen Vorzüge in deutlichen Einsparmöglichkeiten und einer hohen Flexibilität bei den täglich benutzten Anwendungen bestehen. Als nachteilig ist das Argument der fehlenden oder zumindest zweifelhaften Sicherheit heranzuziehen. In diesem Zusammenhang ist darauf hinzuweisen, dass Cloud Computing bei der Verarbeitung staatlicher Verschlusssachen bis auf weiteres nicht zugelassen ist. Es liegt nahe, diese Praxis auch auf sensitive Unternehmensdaten zu übertragen und die Betriebsgeheimnisse respektive „Kronjuwelen“ der Firmen nicht in fremde Hände zu geben. Der mögliche Einsatz in weniger sicherheitskritischen Anwendungsbereichen verdient jedoch sowohl im öffentlichen Dienst als auch in der Privatwirtschaft durchaus eine nähere Betrachtung. Sofern ein Unternehmen oder eine Behörde sich für eine Arbeit mit Cloud-Diensten entscheidet, muss im Vorfeld genau geklärt werden, welche Daten als besonders schützenswert zu erachten und welche als weniger sicherheitsrelevant einzustufen sind, bzw. ob eine derartige Trennung überhaupt möglich ist. 

Vorteile

Aufgrund der stärkeren Unabhängigkeit von Geschäftsprozessen und IT-Ressourcen durch Cloud Computing sind Unternehmen flexibler und können ohne große Investitionen schneller Innovationen hervorbringen. Zudem ist es bei vielen Cloud-Diensten möglich, sich online anzumelden und die Dienste direkt danach zu nutzen. Viele Dienste, etwa Online-Anwendungen im Bereich Customer-Relationship-Management (CRM), abstrahieren komplexe Prozesse für die Benutzer. So kann eine vielschichtige Anwendung, die auf vielen Servern läuft, einfach über ein Webinterface bedient werden. 

Durch den Umstand, dass bei Cloud Computing schnell Ressourcen wie Speicherplatz hinzugebucht werden können, lassen sich Finanzmittel einsparen. Gerade durch die „Bezahlung nach Nutzung“ müssen Ressourcen nicht bezahlt werden, die normalerweise nur als Reserve vorgehalten werden. Ein weiteres Plus der Cloud ist die Skalierbarkeit. Kleine Unternehmen müssen keine Infrastruktur aufbauen, sondern nutzen die Dienste der Cloud und können folglich benötigte Kapazitäten je nach Bedarf buchen. Cloud Computing bietet zudem die Option, dass Spezialisten in großen Rechenzentren tausende Einzelrechner betreuen. Durch den Charakter von Cloud-Angeboten können einzelne Rechner ausgetauscht werden, ohne dass der laufende Betrieb beeinträchtigt wird. Damit lassen sich unkompliziert Hardware-Komponenten ersetzen und Software aktualisieren. Auf diese Weise regeneriert sich die Cloud eigenständig und ist immer auf dem neuesten Stand. 

Ebenso ist der Aspekt der Nachhaltigkeit als positiv festzuhalten. Die Begrifflichkeit „Green IT“ ist in letzter Zeit eines der zentralen Themen, die auch beim Cloud Computing eine Rolle spielen. So können große zentrale Rechenzentren effizienter betrieben werden als viele kleine lokale Zentren, da ihre Auslastung konstanter ist. In kleinen Zentren liegen zur Pufferung von Lastspitzen umgekehrt oft viele Ressourcen brach.

Nachteile

Eine Problemstellung, die durch das Verlagern der Datenverarbeitung an einen Cloud Service Provider (CSP) entsteht, ist, dass die direkte Einflussnahme auf die Hard- und Software abgegeben wird. Vertraulichkeit, Integrität und Verfügbarkeit, also die Eckpfeiler der Informationssicherheit, liegen dann zu großen Teilen in den Händen des CSP. Die Erreichbarkeit externer Dienste ist zudem von der Verfügbarkeit der Internetanbindung abhängig. Individuelle Struktur- und Sicherheitsanalysen sind folglich unerlässlich.

Neben den technischen und organisatorischen Rahmenbedingungen sind außerdem rechtliche Gesichtspunkte zu beachten. Unter dem Blickwinkel der Vertraulichkeit ist es unter anderem problematisch, wenn nicht ausgeschlossen werden kann, dass z. B. US-Behörden Zugriff auf Daten europäischer Kunden erhalten. Cloud-Provider mit einem Sitz der Konzern-Muttergesellschaft in den USA könnten gegebenenfalls aufgrund der entsprechenden Gesetzeslage („USA PATRIOT Act“ ) dazu verpflichtet werden, Kundendaten an nationale Sicherheitsbehörden herauszugeben, selbst wenn die Daten nicht in den Vereinigten Staaten sondern in Europa gehostet sind. Im Rahmen einer gewissenhaften Prüfung im Vorfeld der Cloud-Nutzung sollte daher neben den technischen Rahmenbedingungen auch der Rechtsrahmen, dem der CSP unterliegt, eingehend überprüft werden. Vorzugsweise sollte auf Anbieter aus der Europäischen Union zurückgegriffen werden, wobei die Sonderrolle Großbritanniens als Mitglied der „Five Eyes“  ins Kalkül mit einbezogen werden sollte. Bei allen Vorbehalten gegen mögliche Aufklärungsaktivitäten westlicher Dienste ist jedoch erst recht auf potenzielle Risiken im Zusammenhang mit russischen oder chinesischen Cloud-Dienstleistern aufmerksam zu machen. Die Russische Föderation und die Volksrepublik China sind seit vielen Jahren Hauptträger der Spionage, die gegen die Bundesrepublik Deutschland gerichtet ist. 

Zusätzlich sind verbindliche Vereinbarungen und Vorkehrungen zu treffen, damit sämtliche Daten bei einer Beendigung des Vertrags komplett und in verwendbarer Form zurücktransferiert werden. Es muss sichergestellt werden, dass bei dem Provider keinerlei Restbestände oder Kopien verbleiben. Darüber hinaus spielt unter datenschutzrechtlichen Erwägungen das Thema Transparenz eine herausragende Rolle. Für den Auftraggeber müssen Kontrolle und Nachvollziehbarkeit der Datenverarbeitung jederzeit möglich sein. 


Eine umfassende Übersicht der sicherheitstechnischen Voraussetzungen für eine Datenverarbeitung „in der Wolke“ finden Sie in unserem Beratungsleitfaden „Cloud Computing Security“. Diesen können Sie hier als PDF-Dokument ansehen und herunterladen.