Weitsicht statt Wildwuchs Wie der Mittelstand von IT-Sicherheit aus der Cloud profitieren kann

Autor / Redakteur: Gerald Hahn, Softshell AG / Stephan Augsten

Mangelndes Vertrauen wird häufig als Grund angeführt, warum Mittelständler auf die Nutzung von Cloud Computing verzichten. Dabei verwenden viele Mitarbeiter ohnehin unbemerkt kleine und große Helfer im Internet. Durch das entstehende Sammelsurium aus Anwendungen und Technologien wachsen auch die Sicherheitslücken unbeobachtet.

Firmen zum Thema

( Archiv: Vogel Business Media )

Um uns ein Bild von der Cloud-Nutzung in Unternehmen zu machen, entwerfen wir zunächst einmal einen Anwendungsfall, wie er in der Praxis vorkommen könnte: Allen Wünschen und Anforderungen der Mitarbeiter zum Trotz sperrt sich der IT-Leiter eines mittelständischen Beratungsunternehmens dagegen, einfache IT-Ressourcen über das Internet verfügbar zu machen.

Auch wenn die Berater mithilfe von Cloud-Technologien effizienter arbeiten und Aufträge wesentlich kundenorientierter abwickeln könnten, so argumentiert der IT-Verantwortliche anders. Er führt gegenüber der Geschäftsleitung die unkalkulierbaren Risiken und die persönlichen Haftung der Geschäftsführer im Falle eines Sicherheitsvorfalls an.

Am Ende helfen sich die findigen Mitarbeiter halfen sich am Ende selbst. Ein erstes Berater-Team führt eigenmächtig einen vermeintlich praktischen und obendrein kostenlosen Cloud Service zum unkomplizierten Austausch von Informationen und Dokumenten ein (so genanntes File Sharing).

Aufgrund der vorhergehenden Absage wurden aber weder die IT-Abteilung noch der IT-Leiter über diesen Schritt informiert. Dafür breitet sich die lang ersehnte Innovation unter den Beratern wie ein Lauffeuer aus. Innerhalb kürzester Zeit arbeitet annähernd der gesamte Beraterstab des Unternehmens mit dem neuen Tool. Dessen Client-Software lässt sich nicht nur nahtlos in den lokalen Datei-Explorer integrieren, sondern unterstützt auch alle nur denkbaren Plattformen bis hin zum Smartphone.

Sicherheit auf dem Prüfstand

Genauso schnell befinden sich allerdings aktuelle Projekt- und Kundendaten wie Finanzanalysen, Strategiepapiere und streng vertrauliche Geschäftsdaten in den Händen des Cloud-Anbieters. Als die IT-Abteilung – durch seltsames Traffic-Verhalten aufmerksam geworden – schließlich herausfindet, was in welchem Ausmaß in ihrer IT-Infrastruktur vor sich ging, kann sie nur noch Schadensbegrenzung betreiben. Der überaus gründlich arbeitende Cloud-Anbieter hatte zwar Website und Datenübertragung abgesichert, sich jedoch in seinen Allgemeinen Geschäftsbedingungen den Zugriff und die Rechte an allen auf seine Server hochgeladenen Daten gesichert.

Das Unternehmen kommt glimpflich davon und die meisten Kunden erfahren nicht einmal, dass ihre vertraulichsten und sensibelsten Daten unbefugten Dritten zugänglich waren. Intern führt der Vorfall jedoch zu einem Umdenken der IT-Leitung. Es setzt sich die Erkenntnis durch, dass eine transparente und durchgängige Sicherheitsstrategie, die sowohl Cloud-Technologien einbezieht als auch die Anforderungen der Mitarbeiter berücksichtigt, für die Sicherheit der Firma unabkömmlich ist.

In Großkonzernen ist eine solche Strategie meist gelebte Praxis, denn hier müssen sich alle Mitarbeiter – intern wie extern – an die vorgegebenen Sicherheitsspielregeln der IT-Abteilung halten. Im Mittelstand hingegen findet man Szenarien wie das oben beschriebene häufiger.

Inhalt

  • Seite 1: Sicherheit auf dem Prüfstand
  • Seite 2: Rückstand im Mittelstand
  • Seite 3: Kalkulierbarer Nutzen

Rückstand im Mittelstand

Der durchschnittliche Mittelständler hat oft weder das Know-how noch die Zeit, alle sicherheitsrelevanten Themen zu bedenken, die nötigen Maßnahmen zu finanzieren und sie obendrein noch von externen Anbietern einzukaufen. Denn schon die Frage nach der Erfüllung von Standard-Sicherheitsmaßnahmen bereitet kleinen und mittleren Unternehmen regelmäßig Kopfzerbrechen.

Wie sorge ich dafür, dass die Systeme ausfallsicher und redundant sind, dass Backups gewissenhaft ausgeführt werden, dass die Wiederherstellung schnell funktioniert und regelmäßig getestet wird? Wie stelle ich sicher, dass nur jene Personen Zugriff auf Daten und Systeme haben, die sich nachvollziehbar autorisieren können? Was ist zu tun, damit die Lösungen alle auf dem neuesten Patch Level sind und dass mehrstufige Firewall-Konzepte das Netzwerk schützen?

Mit dem Kompass durch den Dschungel der Cloud-Angebote

Für die meisten Unternehmen zwischen zwei und 500 Mitarbeitern ist die Umsetzung all dieser Sicherheitsanforderungen kaum effizient zu bewältigen, selbst wenn das Problembewusstsein und die Sensibilität vorhanden sind. Oft wissen die zuständigen IT-Leiter um die Notwendigkeit – die Summen, die dafür investiert werden müssten, lassen das Thema aber nicht selten wieder von der Tagesordnung verschwinden.

Cloud Computing Services hingegen machen nun auch dem Mittelstand bislang kostspielige Sicherheitslösungen leichter zugänglich. Sogar Spezialanwendungen, die bisher individuell programmiert oder für die eigene Plattformen oder eigene Infrastrukturen aufgebaut wurden, können heute als nutzungsabhängiger Service über das Internet bezogen werden.

Dies gilt auch für Security-Anwendungen jenseits der gängigen Standardvorkehrungen, etwa URL- und Web Content Filter, E-Mail-Archivierung oder generelle revisionssichere Archivierung. Richtig ausgewählt und zusammengestellt führen derartige Cloud Computing Services in der Konsequenz zu einem Mehr an Sicherheit im Mittelstand – und dies bei überschaubaren, bedarfsorientierten Kosten.

Ein Beispiel dafür ist die ‚Strong Authentication‘, also das sichere Authentifizieren der Nutzer beim Zugriff auf die Unternehmenssysteme. Die dafür notwendige Software zusammen mit der entsprechenden Hardware rechnet sich in der Regel erst ab einer höheren Nutzerzahl. Für ein Ingenieurbüro mit fünf Mitarbeitern beispielsweise ist eine solche Investition weder erschwinglich noch sinnvoll. Deutlich zweckmäßiger ist es für das kleine Unternehmen hingegen, die sichere Authentisierung über einen flexibel abrechenbaren Cloud Service zu.

Dabei sollte die Qualität des Cloud-Anbieters genau unter die Lupe genommen werden. Positioniert er sich wirklich als Produzent von „IT aus der Steckdose“? Oder verkauft er nur alte Lösungen unter einem neuen Label und kann die Services gar nicht so nutzungsabhängig und flexibel anbieten, wie es die Philosophie des Cloud Computing vorsieht?

Von solchen Anbietern sollte man tunlichst die Finger lassen. Denn wenn schon das Lizenzmodell nicht der Idee des Cloud Computing entspricht, tut es die Technik in der Regel erst recht nicht. Gute Services hingegen ermöglichen immer eine Abrechnung nach Nutzung und ohne Mindestvolumen.

Inhalt

  • Seite 1: Sicherheit auf dem Prüfstand
  • Seite 2: Rückstand im Mittelstand
  • Seite 3: Kalkulierbarer Nutzen

Kalkulierbarer Nutzen

Ideal sind Cloud-Dienstleister, die all jene Sicherheitsanforderungen erfüllen, die das Unternehmen selbst auch intern sicherstellen muss. Da der sichere Betrieb von IT-Infrastrukturen nun zum Kerngeschäft spezialisierten Anbieter gehört, übertreffen sie in der Mehrzahl der Fälle das Sicherheitsniveau der Masse der Mittelständler bereits deutlich. Ihre IT-Infrastruktur ist mehrfach redundant ausgelegt und sie verfügen über Sicherheitstechnologien und Prozesse, die denen von Großunternehmen gleichen.

Das Argument, die Datenhaltung im eigenen Haus sei unbedenklicher, wiegt unter diesen Umständen also nur noch schwach. Schließlich nutzt es nur wenig, wenn die Daten zwar im eigenen Rechenzentrum liegen, dieses aber aufgrund zahlreicher Sicherheitslecks zum schwarzen Loch für diese Daten wird.

Die Herausforderung für einen Mittelständler liegt also vielmehr darin, in dem schier unüberschaubaren Dschungel an Verordnungen, Cloud-Services und Anbietern die Übersicht zu behalten. Ungleich schwieriger ist es, einen einmal ausgewählten Anbieter stets fundiert auf die Einhaltung aller notwendigen Sicherheitsparameter zu überprüfen.

Daher ist es ratsam, sich einen spezialisierten, erfahrenen und vor allem herstellerunabhängigen externen Berater an die Seite zu holen, der quasi mit einem Kompass durch den Anbieter-Dschungel führt. Gerade Mittelständler profitieren so von der Unterstützung beim Transformationsprozess. Denn der externe Dienstleister begleitet sie vom ersten Schritt in Richtung Cloud bis hin zur Vertragsgestaltung und Inbetriebnahme der Services.

Weit über die rein monetären Aspekte hinaus kann der Einsatz geeigneter Cloud Services für den Mittelstand folglich lohnenswert sein. Damit gelingt es einerseits, die Effizienz zu steigern und Kosten zu senken, da die Verantwortlichen sich auf ihr Kerngeschäft konzentrieren können, statt auf die Erfüllung komplexer Sicherheitsauflagen.

Andererseits ermöglichen es die Services aus der Wolke Vorschriften einzuhalten, die bisher aufgrund von Unkenntnis oder Zeitmangel vernachlässigt wurden. So lässt sich Konformität in allen Bereichen der IT-Sicherheit erzielen.

Inhalt

  • Seite 1: Sicherheit auf dem Prüfstand
  • Seite 2: Rückstand im Mittelstand
  • Seite 3: Kalkulierbarer Nutzen

Gerald Hahn ist Vorstandsvorsitzender der Softshell AG.

(ID:2052783)