von Bernhard Münkel

Das Versprechen der Cloud-Anbieter ist verlockend: Egal ob einzelne Dokumente, umfangreiche ­Datenbankanwendungen oder ganze Server-Installationen: Alles kann in virtuelle Rechnerinfrastrukturen verlagert werden.

Gerade auch für Shop-Betreiber bietet die Cloud Vorteile: flexible Kapazitäten, ortsungebundene Zugriffe, kalkulierbare Kosten, um nur einige zu nennen. "Erwartet beispielsweise ein Online-Shop aufgrund einer Rabattaktion einen Besucheransturm am Wochenende, kann er im Vorfeld einen Job definieren und das System passt die Ressourcen zur festgelegten Uhrzeit automatisch an", sagt Claus Boyens, Geschäftsführer von Host Europe.

Cloud-Dienste legen dementsprechend in der Gunst der Anwender stetig zu. Die Unternehmensberatung KPMG stellt in ihrem "Cloud-Monitor 2015" fest, dass die Zahl der Befürworter in Unternehmen in den vergangenen vier Jahren von 28 Prozent auf 40 Prozent gewachsen ist. Gleichzeitig lehnen der Studie zufolge noch immer 35 Prozent der Befragten die Nutzung von Cloud-Anwendungen ab. Grund ist vielfach die Sorge um die Sicherheit der eigenen Daten. "Cloud Computing wird von vielen Unternehmen als Einfallstor für neue Angriffsmöglichkeiten wahrgenommen", stellt Alexander Geschonneck, Head of Forensic bei KPMG, in der Studie fest.

"Sie befürchten, dass Schwachstellen in solchen Technologien ausgenützt werden, da noch keine ausreichenden Schutzmechanismen zur Verfügung stehen." Ein Anlass hierfür ist, dass sich die Rechenzen­tren der Cloud-Anbieter an jedem beliebigen Ort der Welt befinden können. Gesucht werden oft wirtschaftlich besonders vorteilhafte Standorte, etwa auf Island, weil dort Energie billig ist, oder in Irland, weil auf der grünen Insel die Datenschutzrichtlinien im europäischen Vergleich vergleichsweise locker sind.

Sichere Datenhaltung ist Pflicht

Viele Unternehmen stellen sich vor allem die Frage: Sind meine Daten an diesen Orten sicher aufgehoben? Für 98 Prozent der Befragten ist der Standort des Rechenzentrums entscheidend bei der Wahl des Cloud-Anbieters. 85 Prozent der von KPMG Befragten erwarten, dass ihr Cloud-Anbieter seine Serverfarmen ausschließlich in Deutschland betreibt.

Grundvoraussetzung für eine vertrauensvolle Zusammenarbeit von Kunden und Dienstleistern ist daher nach wie vor eine sichere Datenhaltung. Bestimmend für den Sicherheitsgedanken sind hier die Grundwerte Vertraulichkeit, Integrität und Verfügbarkeit der Daten.

Oberste Pflicht des Cloud-Anbieters ist deswegen, seine technische Infrastruktur ständig aktuellen Sicherheitsstandards ­anzupassen. Das umfasst zum einen die physische Sicherheit seiner Anlage. Dazu zählen eine permanente Überwachung der Zugänge, etwa durch Video-Über­wachung, Bewegungssensoren, Alarmsysteme und geschultes Sicherheitspersonal. Zudem sollten Versorgungskomponenten wie Stromversorgung, Klimatisierung, ­Internet-Anbindung und Brandschutz ­redundant ausgelegt sein.

Zum anderen gilt es, kriminelle ­Angriffe aus dem Internet erfolgreich abzuwehren. Dazu gehören vor allem Denial-of-Service-Attacken (DDoS-Attacken), bei denen Kriminelle den Server einer Website ­gezielt durch massenhafte Seitenaufrufe in die Knie zwingen, sodass der Auftritt nicht mehr erreichbar ist.

Eine im vergangenen Herbst von der Allianz für Cyber-Sicherheit veröffentlichte Umfrage ergab, dass 2014 in Deutschland über 32.000 DDoS-Angriffe auf IT-Systeme nahezu aller Branchen stattfanden.
Wirkungsvolle Gegenmaßnahmen verlangen ein hohes Maß an Wissen. "Host Europe setzt in seinen Rechenzentren DDoS-Filter und Firewalls ein. Besonderen Schutz vor Angriffen von außen bietet beispielsweise das Cloud Server Virtual Network, wodurch Kunden sensible Shop-Datenbanken vom Internet isolieren und den Zugriff auf ein internes Netzwerk beschränken können", so Claus Boyens.

Kriminelle nutzen jede Sicherheitslücke sofort aus

Eine andere Variante, derer sich ­Kriminelle bedienen, sind sogenannte Zero-Day-­Attacken. Bei diesen machen sich Hacker neu auftretende Sicherheitslücken zunutze, die beispielsweise bei der Programmierung von Software-Updates entstehen. Die Entwickler haben dadurch kaum Zeit, den Fehler auszubügeln.

Zudem liegen Sicherheitsrisiken darin, dass Zugangsdaten zu Cloud-Anwendungen in fremde Hände geraten können, wenn ein lokaler Rechner mit Viren oder Trojanern verseucht ist oder Anwender dazu gebracht werden, ihr Kennwort an ­einen Unberechtigten weiterzugeben.

Regelmäßig sind auch schwache Passwörter die Ursache, dass Hacker Zugriff auf ein System bekommen und sich dann von ­innen weiter vorarbeiten. Schützen können Vorgaben über die Länge des Kennworts und die Häufigkeit des Wechsels, aber auch Verschlüsselungssysteme und spezielle Datentunnel zwischen lokalem Arbeitsplatz und Server.

Der erste Schritt für einen Cloud-Kunden sollte sein, sich ein Bild von der Schutzbedürftigkeit der eigenen Daten und Anwendungen zu machen. Davon hängt im Wesentlichen ab, ob und unter welchen Rahmenbedingungen geschäftsrelevante Daten und Anwendungen in die Cloud verlagert werden können. Denn sowohl die Public als auch die Private und die Hybrid Cloud haben unter Sicherheitsaspekten einige Vor- und Nachteile. Public-Cloud-Dienste wie beispielsweise Google Docs oder Dropbox sind meist hochstandardisiert und in der Regel nur sehr begrenzt an individu­elle Anforderungen anpassbar.

Im Gegenzug kann der Anbieter solche Dienste leichter durch automatisches Backup und ­redundante Systeme gegen Ausfälle schützen. Da aber viele Nutzer Zugriff auf die gleiche Infrastruktur haben, gilt es, die eigenen Daten gut gegen fremde Zugriffe abzusichern.

Größeres Mitspracherecht für Kunden

Eine Private Cloud erlaubt dem Kunden hingegen größeres Mitspracherecht und damit auch mehr Kontrolle. Er kann seine Private Cloud individuell nach seinen ­eigenen Bedürfnissen und Wünschen einrichten. Gleichzeitig muss er aber mehr Verantwortung übernehmen und sich auch selbst um sicherheitsrelevante Fragen kümmern.

"Es empfiehlt sich, zuerst eine Testumgebung der gewünschten Lösung in der Cloud aufzusetzen, um den Anbieter und dessen Leistungsfähigkeit auf Herz und Nieren prüfen zu können", sagt Alexander Vierschrodt, Head of Commercial Product Management Server, 1&1 Internet AG.

Fällt eine Entscheidung für die Lösung, lässt sich diese Testumgebung in der Cloud zu einer Komplettlösung aufstocken. Wie viel Erfahrung und Wissen sollte ein Kunde mitbringen? ­"Sofern der Kunde auf eine gemanagte, also vom Cloud-Anbieter verwaltete Lösung setzt, sind Kenntnisse hinsichtlich der verwendeten Shop-Lösung meist vollkommen ausreichend. Sofern der Kunde einen Server mit vollständiger Konfigurationsfreiheit bevorzugt, sollten Administrationskenntnisse vorhanden sein", betont Vierschrodt.

Datenschutzrechtliche Aspekte spielen ebenfalls eine zunehmend große Rolle bei der Datenhaltung. Große, internationale Cloud-Anbieter im Markt wie Amazon, Akamai, Google, Microsoft, IBM, Apple oder Dropbox kennen keine nationalen Grenzen. Sie werben mit den Vorteilen internationaler Datenspeicher, etwa den zeit- und ortsunabhängigen Zugriffsmöglichkeit. Doch auch Daten, die nicht mehr auf den eigenen Servern liegen, sind nicht automatisch aus dem Verantwortungsbereich entschwunden, sondern unterliegen noch immer der nationalen Gesetzgebung. 

Durch die Geheimdienstskandale der letzten Jahre aufgerüttelt, sind viele Unternehmen in den sicheren Rechtshafen der EU oder sogar Deutschlands zurückgekehrt. Deutsche Cloud-Anbieter haben diesen Vorteil nach dem NSA-Skandal schnell für sich erkannt. Telekom, 1&1, Host Europe, Strato und viele andere verweisen stolz auf ihre in Deutschland stationierten Rechenzentren und garantieren die Einhaltung der strengen deutschen Datenschutzgesetzgebung.

Cloud-Ressourcen werden indes jetzt an der Börse gehandelt - zum Vorteil der Kunden: die Deutsche Börse Cloud Exchange (DBCE) en détail.