In der Cloud oder schon geklaut?

Seit einiger Zeit ist ein starker Trend in Richtung Cloud und Software-as-a-Service (SaaS) zu beobachten. Was für die einen die Softwarearchitektur der Zukunft ist, stellt für die anderen ein unkalkulierbares Sicherheitsrisiko dar – Unternehmenskritische Daten sind besonders schützenswert und sollen das Unternehmen nicht verlassen.

Doch in der Pandemie zeigte es sich, dass dieses „Einsperren“ der Daten seine Nachteile hat – Homeoffice ist so nur eingeschränkt mit großem Aufwand möglich. Aber auch andere Szenarien erfordern einen mobilen Datenzugang. Schließlich lassen sich viele Bedenken auch entkräften. Am Ende müssen Unternehmen selbst entscheiden, ob sie ihre IT vor Ort selbst betreiben oder einem Dienstleister anvertrauen. On-Premise oder Cloud – das ist oft eher eine Einstellungssache als eine eindeutig begründbare Entscheidung. Die Vorurteile gegen die Cloud sind nicht unbegründet, es ist erst einmal ein ungewohntes Gefühl, sensible Daten der Cloud anzuvertrauen. Ein IT-Spruch lautet denn auch: „Es gibt keine Cloud, das sind nur anderer Leute Computer.“ Dabei bietet die Cloud einige wichtige Vorteile gegenüber Servern im eigenen Serverraum:

Quasi unbegrenzt erweiterbare Prozessor- und Speicherressourcen, die sich von überall her nutzen lassen Gleichmäßig fällige Kosten für die Miete der Cloud statt hoher Einstiegskosten für Hard- und Softwareanschaffung Keine Kosten für die Administration eigener Hard- und Softwaresysteme Bei Software-as-a-Service immer auf dem aktuellen Softwarestand arbeiten – ohne lästige Updates Hochprofessionelle Sicherheitsabteilungen „bewachen“ die Daten Doch die Sicherheitsbedenken sind in den Unternehmen oft übermächtig.

Geschäftliche Daten außer Haus zu geben, womöglich sogar unternehmenskritische Daten, fühlt sich gefährlich an. Man weiß diese Daten lieber gut aufgehoben hinter der verschlossenen Tür des Serverraums im Keller, zu dem niemand Zutritt hat. Doch diese Hoffnung trügt: Hacker brauchen keinen physikalischen Schlüssel, sie lassen sich von einer Tür nicht aufhalten. Eben so wenig schützt der Serverraum im Keller vor Naturkatastrophen, beispielsweise vor Überschwemmungen. Im Gegensatz zur Cloud: Die Storage-Zentren großer Anbieter wie Amazon, Microsoft oder Google sind weltweit verbreitet und die Unternehmen haben idealerweise auch in einem Land mehrere Standorte, zwischen denen die Daten der Kunden gespiegelt werden, sodass ein lokales Ereignis wenig Einfluss auf die gesamte Cloud-Infrastruktur hat. Inzwischen bieten die Unternehmen Modelle an, bei denen die Daten zwar an mehreren Standorten, aber nur im eigenen Land oder in Europa gespeichert werden. So wird gesetzlichen Bestimmungen wie der DSGVO, aber auch Datenschutzbedenken Rechnung getragen.

Betrachtet man die wahren Risiken, die die Sicherheit von Daten bedrohen, sind diese oft ganz andere:

Die größte Gefahr für Datendiebstahl geht von Mitarbeitern, Besuchern oder Kunden aus, die am Ende einer Tätigkeit oder bei Streit mit dem Unternehmen Daten auf USB-Sticks oder andere Speichermedien kopieren und mitnehmen Eine große Gefahr stellen auch verlorene oder gestohlene Systeme wie Laptops oder Smartphones dar. Wie schnell bleibt ein Rechner mit der wichtigen Auftragskalkulation und internen Unternehmensdaten in der Bahn liegen Gegen einen schlecht gesicherten Laptop, der dem Falschen in die Hände fällt, mag eine defekte Festplatte ein geringes Problem sein. Wenn die Arbeit mehrerer Tage verloren geht, weil die Datei nur auf dieser Festplatte lag und nicht im gesicherten Netzwerk, ist das besonders ärgerlich Veraltete Software und fehlende Updates erlauben es Angreifern immer wieder, auf Geräte zuzugreifen, ohne dass der Anwender dies bemerkt. Besonders, wenn in den meisten Unternehmen der Nutzer für das Thema Sicherheit selbst verantwortlich ist, beispielsweise wenn es um das regelmäßige Einspielen von Updates geht.  Und nicht zuletzt zeigen die ständigen Anrufer falscher Microsoft-Mitarbeiter oder Phishing-Mails, wie wichtig das Thema Sicherheit in den Unternehmen sein muss. Durch Phishing erlangen Hacker Zugang in Unternehmensnetze und können dort viel Schaden anrichten, beispielsweise wenn sie den gesamten Datenbestand verschlüsseln und Lösegeld verlangen.

Gerade weil Cloud-Lösungen solch interessante Angriffsziele sind, werden seriöse Cloud-Anbieter viel Wert auf Data Security und IT-Sicherheit legen und gut besetzte IT-Abteilungen vorhalten. Entgegen den verbreiteten Vorurteilen sind die Daten dort meist sicherer als auf einem schlecht gewarteten und nicht aktualisierten System im eigenen Unternehmen. Cloud-Lösungen werden von professionellen Vollzeit-Administratoren betreut statt von jemand, der im mittelständischen Unternehmen Komplettverantwortung für alle IT von der Maus bis zum Server hat. Die Anforderungen an professionell genutzte Dienste in der Cloud sind auch weit höher als beispielsweise eine Public Cloud. Im Cloud-Computing werden Daten übrigens üblicherweise nicht in einem Dateisystem, sondern in Datenbanken gespeichert. Dabei wird jede Veränderung an den Daten als eigener Datensatz gespeichert und erst bei Bedarf zusammengesetzt. Dies erlaubt nicht nur, alte Stände wiederherzustellen. Zudem ist es ohne die individuellen Login Daten praktisch unmöglich, Zugriff auf die Daten zu erhalten.

Unter dem Namen Software-as-a-Service laufen echte Cloud-Services, die ohne lokale Installation von Software auskommen. Diese Architektur bietet weitere Sicherheit gegen Datendiebstahl: Im Arbeitsspeicher oder auf der Festplatte des lokalen Rechners finden sich keine verwertbaren Daten, die ein Hacker abgreifen könnte. In der anderen Richtung werden Tastatur- beziehungsweise Mausklicks übertragen, so dass sich die Bedienung anfühlt wie bei einem normalen Rechner. Ein Kostenvorteil des Cloud-Computing sind die geringen Anforderungen an die lokale Hardware: Da die Daten auf dem Server in der Cloud verarbeitet werden, fällt die Rechenleistung dort an und der Anbieter muss für entsprechende Ressourcen sorgen - das gibt dem Kunden die Flexibilität, auch ältere Hardware oder Mobile Devices zu nutzen.

Nur weil Daten online gespeichert werden, sind sie nicht gefährdet - im Gegenteil: Gut programmierte Cloud-Anwendungen, gehostet von Profianbietern, sind sicherer als die meisten lokal installierten Anwendungen. Es lohnt sich, die Angebote dieser Anbieter zu testen und umzusteigen, wenn die Vorteile überwiegen – oder eben beim eigenen Server zu bleiben!