Die weltweit größten Cloud-Anbieter kommen aus den USA – dies gilt trotz Datev, trotz SAP, trotz Deutscher Telekom, die hierzulande mit hohen Investments das Geschäft mit der Datenwolke vorantreiben wollen. Der Aufwand, den sie dazu marketingtechnisch betreiben müssen, hat jedoch in den vergangenen Monaten dramatisch zugenommen. Der Grund: Die Cloud, der ohnehin vor allem im Mittelstand größte Skepsis entgegengebracht wurde, leidet unter einem massiven Imageverlust. Und auch der kommt vor allem aus den USA – aus den Ausspäheinrichtungen der NSA und aus dem Weißen Haus, das mit lauwarmen Reaktionen Ressentiments schürt.
Dabei sehen die aktuellen Nutzungsdaten gar nicht mal so schlecht aus: Nach Ermittlungen der Marktbeobachter von PricewaterhouseCoopers (PwC) nutzt derzeit jedes zehnte Unternehmen die Wolke. 78 Prozent allerdings sehen keinen Bedarf. Die Gründe: Angst vor Kontrollverlust über die eigenen Daten und mangelnde Datensicherheit. Auch die Sorge, bei Netzausfall von den eigenen Daten abgehängt zu sein, geht um.
Kontrollverlust? Setzt der Verlust der Kontrolle nicht den Besitz der Kontrolle voraus? Es ist aber eklatant, dass gerade im Mittelstand der bekundeten Sorge um Datensicherheit gleichzeitig eine oftmals nicht eingestandene Sorglosigkeit bei Infrastrukturmaßnahmen zur Datensicherheit gegenüber steht. Der TÜV Rheinland kommt anlässlich seiner jüngsten Risikostudie zu dem Ergebnis, „dass den Mittelstand eine hohe Risikobereitschaft auszeichnet – 43 Prozent aller Befragten schätzen sich im Vergleich zu ihren Mitbürgern als risikofreudiger ein.“ Das ist auch eine der Stärken des Mittelstands.
Der TÜV Rheinland warnt aber gleichzeitig: „Paart sich geringe Risikosensibilität mit hoher Risikobereitschaft, kann dies die Existenz von Unternehmen massiv gefährden.“ Großer Nachholbedarf besteht laut Studienergebnis beim Thema Risikomanagement. 25 Prozent aller befragten Unternehmen haben kein Managementsystem und rund 30 Prozent nehmen keinerlei Risikosteuerung vor. Standardisierte Messmethoden und Analysen werden nur von neun Prozent umgesetzt. Ökologische und soziale Faktoren spielen auch hier kaum eine Rolle, geeignete flächendeckende Maßnahmen in diesen Bereichen sind stark defizitär. Insgesamt sehen über zwei Drittel der Befragten noch Verbesserungsbedarf hinsichtlich der Sicherung der Zukunftsfähigkeit ihres Unternehmens.
Zwar bezieht sich die Studie des TV Rheinland auf die Risikowahrnehmung im Allgemeinen – ich meine aber, dass sie im Besonderen auf den Umgang mit der IT und darin mit dem Cloud Computing zutrifft. Wer Ressentiments gegenüber dem Cloud Computing hegt, sich gleichzeitig aber in einer vermeintlichen Sicherheit bei der hauseigenen Informationstechnik wähnt, geht aller Wahrscheinlichkeit ein deutlich höheres Risiko ein, als wenn er professionellen Cloud-Anbietern – und seien es amerikanische Anbieter – vertraut.
Denn das wahre Gefährdungspotenzial offenbart die polizeiliche Kriminalstatistik. Sie berichtet für das Jahr 2012 im Vergleich zu 2011 einen Anstieg im Bereich der IuK-Kriminalität um rund 7,5 Prozent auf rund 64000 Fälle – das sind immerhin mehr als 300 Fälle pro Werktag. Besonders bemerkenswert ist dabei der Anstieg im Bereich von Datenveränderung und Computersabotage um 134 Prozent auf fast 11000 Fälle. In 16000 Fällen von Ausspähung und Abfangen von Daten wurden im gleichen Zeitraum ermittelt.
Die mit Cloud Computing assoziierten Risiken sind also längst – und eben auch ohne Cloud Computing – Realität. Und auch unterhalb der „Risikoschwelle Cloud Computing“ gibt es genügend Risikopotenzial. 21 Millionen Smartphones wurden im vergangenen Jahr verkauft. Zusammen mit Tablet-Computern sorgen sie für einen neuen Trend am Arbeitsplatz – »Bring your own device« -, der nicht nur dazu führt, dass die Grenzen zwischen privater und beruflicher Nutzung von moderner Informations- und Kommunikationstechnik immer weiter verwischen. Neben höheren Freiheitsgraden, die durch eine steigende Flexibilität entstehen, ergibt sich auch ein höheres Sicherheitsrisiko durch Verlust von Geräten, Abhören im öffentlichen Raum oder unkontrolliertem Mailverkehr.
Daraus ergeben sich nicht nur Anforderungen an die IT-Infrastruktur, sondern vor allem an die Definition von Arbeitsregeln, Standards und Prozesse. Die Diskussion um Sicherheit wird dagegen nahezu ausschließlich über die Technik geführt. Tatsächlich aber legt die Risikostudie des TÜV Rheinland eher nahe, dass insbesondere das Management und die Prozessverantwortlichen ein stärkeres Risikobewusstsein erreichen müssen. Denn nur ein bekanntes Risiko kann man auch vermeiden. Das gilt mit und ohne Cloud.
Diskutieren Sie mit mir über die Auswüchse der digitalisierten Welt – am 8. November beim Thementag Cloud Computing in Köln. Weitere Informationen, Agenda und Anmeldemöglichkeiten finden Sie hier.