Rote Linie für die Wolke

Vor ziemlich genau zehn Jahren poppte ein Begriff in der Informationswirtschaft hoch, der das Zeug hatte, eine ganze Branche und ihre Kunden durcheinander zu wirbeln: On Demand. Angeregt durch die disruptiven Marktveränderungen in der Medienindustrie, wo CDs und DVDs durch Streaming- und Download-Dienste unter Druck gerieten, sollten auch Anwendungen nur noch dann genutzt werden, wenn sie auch wirklich gebraucht würden: On Demand eben.

Die größte Sorge damals ist auch die größte Sorge heute: Wie bekommt man seine Daten zurück, wenn man den On-Demand-Service nicht mehr nutzen möchte oder gar zum Wettbewerber wechseln will. Ist man auf ewig an einen Dienstleister gebunden, der aus On Demand ein „On Death or Dying“ macht? Damals wurde der „I want my data back“-Button erfunden, der dann aber wieder in Vergessenheit geriet, weil die Finanzkrise die Geister beschäftigte. „I want my money back“ – dieser Button war damals wichtiger.

Inzwischen – zehn Jahre später – gibt es für die meisten Eventualfälle des Cloud Computings Lösungen oder zumindest Vereinbarungen: Sicherheit, Privatsphäre, Datenschutz, Verfügbarkeit, Treuhänderschaft, Zugangskontrolle oder Datenherausgabe auf gerichtliches Verlangen. Aber einen universellen Standard für die Cloud gibt es nicht. – Noch nicht. Der „Cloud Computing Compliance Controls Catalogue“ (oder kurz: C5) hätte allerdings das Zeug dazu. Aus Sicht des Bundesamts für Sicherheit in der Informationstechnik könnte dieser „Anforderungskatalog zur Beurteilung der Informationssicherheit von Cloud-Diensten“ so etwas wie eine rote Linie markieren. Darunter geht’s dann nimmer. Und für deutsche Anbieter, die dem weltweit wohl schärfsten Datenschutzrecht genügen müssen, wäre das unter Umständen ein Wettbewerbsvorteil.

Dabei setzt der Versuch, das deutsche Standardisierungsniveau zur internationalen Geltung zu bringen, durchaus auf global akzeptierte Normen auf – zum Beispiel bei organisatorischen Fragen des Betriebs oder der physischen Ausstattung von Rechenzentren, wo auf der ISO/IEC 27001 Norm oder der Cloud Control Matrix der Cloud Security Alliance zurückgegriffen wird. Bei Vertraulichkeit und Verfügbarkeit setzt das BSI aber eigene Maßstäbe.

Und die gehen, so die Einschätzung des BSI, weit über das bereits etablierte Trusted Cloud Datenschutzprofil hinaus, der als erster Prüfstandard die Anforderungen des Bundesdatenschutzgesetzes an die Auftragsdatenverarbeitung abbildet. Das Label, das inzwischen über formalisierte Audits erworben werden kann, sei eher für kleine und mittlere Unternehmen geeignet, während weltumspannende Anbieter sich dem C5 zuwenden sollten. Anbieter wie Amazon haben das auch bereits getan. Um seine internationale Anerkennung wird der C5 aber wohl noch ringen müssen.

Mit Audits zur Sicherheit im Cloud-Verkehr lässt sich – wie mit anderen Qualitäts- und Konformitäts-Überprüfungen trefflich Geld verdienen, was freilich weder Absicht noch Zielsetzung des BSI ist. Für Anwender und Verbraucher ist es aber entscheidend, ein Label zu haben, dem sie vertrauen können und das sie in ihrer Reichweite und Verbindlichkeit auch einschätzen können. Zwar geht hierzulande das Misstrauen gegenüber Cloud Computing stark zurück, aber vertrauensbildende Maßnahmen sind nach wie vor vonnöten – vor allem gegenüber mittelständischen Unternehmen und Handwerksbetrieben, die mehr als 90 Prozent der deutschen betrieblichen Cloud-Nutzer stellen. Microsoft hat mit den beiden an die Telekom in Treuhänderschaft übergebenen Azure-Rechenzentren zwar ein deutliches Zeichen gesetzt. Auf die Verkaufszahlen für die Microsoft-Cloud hat das aber (noch) keinen durchschlagenden Einfluss gehabt.

Dabei – und das ist das Absurde an der deutschen Cloud-Debatte – nutzen mehr Unternehmen Cloud-Dienste als den Unternehmen selbst wirklich bewusst ist. Und dabei gehen sie oftmals total unbeeindruckt von vorhandenen oder fehlenden Sicherheitsstandards vor. Grund dafür ist die BYOD-Strategie, die in vielen Unternehmen die Nutzung eigener Endgeräte der Wahl nicht unterbinde. Dort werden Cloud-Services aufgerufen, die auch in den betrieblichen Einsatz gelangen. Cloud-Speicher, Übersetzungsdienste, Terminkalender, Mailverkehr etc. sind durchaus geeignet, wesentliche Firmengeheimnisse und Geschäftsprozesse so mit den Wolken-Diensten zu verknüpfen, dass Unternehmer gläserner erscheinen als sie selbst wollen. Ein Standard ist nicht nur so gut wie die Breite der Angebote, die sich darauf stützen. Er braucht auch die Akzeptanz der Anwender. Die aber sind offiziell harte Sicherheitsfanatiker, bleiben aber bei der täglichen Arbeit nicht selten fahrlässig sorglos. Auch hier sollte jeder für sich eine rote Linie ziehen.

 

Schreibe einen Kommentar

Deine E-Mail-Adresse wird nicht veröffentlicht. Erforderliche Felder sind mit * markiert