Cloud – Wie Daten sicher bleiben

Sicherheit
08.06.2021

 

Die Auslagerung von Daten in externe Rechenzentren kann zum Risiko werden. Ob sie in den USA oder in Europa gespeichert werden, ist dabei eine der entscheidenden Fragen.

"Oft ist es schwer, wieder aus der Cloud herauszukommen", sagt Markus Fleischer, Head of Strategy & Business Development bei A1 Digital.

"Die Cloud ist nicht aufhaltbar", meint Maha Sounble, WU Wien.

Zwischen zwei und vier Milliarden Euro – so viel will Microsoft in den kommenden Jahren in Österreich investieren. Mit dem Geld sollen Datencenter für Cloud-Anwendungen wie Office 365 errichtet werden. Microsoft reagiert damit offensichtlich auf eine Frage, die sich auch viele KMU stellen: Wo liegen eigentlich meine Daten, wenn ich eine Cloud nutze? „Die Antwort ist: Wir wissen es nicht. Denn Microsoft hält sich bei dieser Frage sehr bedeckt. Mit den geplanten Rechenzentren will der Konzern die Daten hier in Österreich halten“, sagt Christian Büll, Leiter des Departments für Informationstechnologie an der FH Burgenland. Denn die Speicherung von Daten in Ländern außerhalb der EU wird zum echten Datenschutzrisiko. Viele KMU vertrauen dennoch den großen Cloud- Anbietern wie Google, Amazon und Microsoft, da die Nutzung meist einfach und die Tools bereits bekannt sind. Doch eine vorschnelle Entscheidung bei Cloud- Lösungen kann auch zum negativen Bumerang werden. Wie sicher sind die verschiedenen Cloud- Anbieter, und worauf muss ein KMU achten, wenn es sich für die Auslagerung von Daten und Nutzung von externer Software entscheidet?

Die Cloud ist nicht aufhaltbar.“ Maha Sounble , WU Wien

Dass kein KMU diesen Fragen ausweichen kann, zeigen auch folgende Zahlen. 38 Prozent der österreichischen Unternehmen nutzen laut Statistik Austria Cloud-Services. Damit hat sich die Nutzung dieser IT-Infrastruktur im Vergleich zu 2014 verdreifacht. Speziell kleine und mittelgroße Unternehmen weisen eine hohe Steigerungsrate auf. Diese liegt zwischen knapp 190 und 260 Prozent.

SOFTWARE AUS DER STECKDOSE

Warum diese externe IT-Lösung immer attraktiver wird, hat viele Gründe. „Ein eigenes Rechenzentrum verursacht fixe Kosten, ich benötige eigene Hardware und auch IT-Mitarbeiter. Mit einer Cloud habe ich höhere Flexibilität und zahle nur die Leistung, die ich auch beziehe“, sagt Alexander Bruckner, Public-Cloud- Sales-Experte bei T-Systems Austria. Auch die Servicegeschwindigkeit ist ein Vorteil. Kurzfristig höherer Bedarf kann via Cloud sofort abgedeckt werden, neue Applikationen stehen auf Abruf zur Verfügung. „Die Software kommt quasi aus der Steckdose und ich als Unternehmer muss mich sonst um nichts mehr kümmern“, ergänzt Büll.

Doch so einfach die Anwendungen im digitalen Alltag sind, so komplex kann die Auswahl des passenden Cloud- Anbieters werden. „Der ,Weg in die Cloud‘ ist, genauso wie die Digitalisierung selbst, nicht als Selbstzweck zu verstehen, sondern muss immer letztendlich der Wertschöpfung dienen“, erklärt dazu Maha Sounble, Chief Information Security Officer an der Wirtschaftsuniversität Wien. Daher ist es unumgänglich, eine eigene Cloud-Strategie zu haben. „Die Cloud ist nicht aufhaltbar. Sich vor ihr zu verschließen ist daher nicht zielführend. Um für sich den richtigen Weg in die Cloud zu finden, sollte vorher überlegt werden, wohin die Reise gehen soll und was dafür benötigt wird – und dieser Plan stellt dann die Strategie dar“, meint Sounble.

Ein großer Irrtum, den viele KMU dabei begehen, ist die Cloud auf ein IT-Thema zu reduzieren. Denn bei der Auswahl von Cloud-Services gehe es laut der WU-Expertin um die Gestaltung von Arbeitsweisen und Arbeitsabläufen, nicht in erster Linie um IT. Ein Fehler wäre auch zu glauben, die Verantwortung an den Cloud-Betreiber abtreten zu können. „Die Cloud-Nutzung entbindet das Unternehmen nicht von der Pflicht, für den Schutz der Daten zu sorgen. Diese Pflicht beginnt bereits bei der Auswahl eines Cloud-Anbieters, wo auch Rechtskonformität und Informationssicherheit Entscheidungskriterien darstellen“, erklärt die WU-Expertin.

EUROPA VS. USA

Warum es so relevant ist, ob die Daten in Europa oder den USA gespeichert werden, liegt an einem Urteil des Europäischen Gerichtshofs (EuGH). Dieser hat das EU-US Privacy Shield, welches die datenschutzrechtliche Übermittlung personenbezogener Daten von der EU in die USA geregelt hat, für ungültig erklärt. Die Begründung des Gerichts: Das Gesetz bietet keine Garantien, die den strengen Ansprüchen der Datenschutzgrundverordnung (DSGVO) genügen würden. Damit kann in der US-Cloud solange keine Rechtskonformität gemäß DSGVO gewährleistet werden, bis ein neuer Gesetzesentwurf vorliegt. „Damit befinden wir uns derzeit in einem rechtsfreien Raum. Alle Mechanismen der DSGVO, wie das Recht auf Löschen von Daten oder das Recht auf Auskunft, greifen hier nicht“, erklärt Büll.

Wie findet man also Anbieter österreichischer Cloud- Lösungen mit einem Speicherort der Daten im Inland – oder zumindest in der EU? Eine Möglichkeit ist, dem Gütesiegel „Austrian Cloud“ zu vertrauen. Im Rahmen dieser Initiative der Wirtschaftskammer können sich heimische Cloud- Dienstleister für das Gütesiegel qualifizieren, indem sie rund 90 Fragen beantworten. Neben dem Speicherort Österreich sind für das Gütesiegel auch Faktoren wie Datenschutz, Sicherheit, rechtliche Konformität oder die technische Infrastruktur relevant.

ALTERNATIVE ZU US-GIGANTEN

Eine Alternative zu den US-Giganten wird derzeit auf europäischer Ebene vorangetrieben. Auf Initiative der deutschen und französischen Regierungen wurde das Projekt GAIA-X ins Leben gerufen. Ziel ist eine sichere und vernetzte europäische Dateninfrastruktur. A1 Digital, einer der führenden heimischen Cloud-Service- Provider sowie Spezialist in Sachen IoT, Machine-Learning und Cybersecurity, unterstützt dieses Projekt von Beginn an. „Mit dieser Dateninfrastruktur bekommen die Nutzer Sicherheit hinsichtlich Transparenz und Datenschutz“, erklärt Markus Fleischer, Head of Strategy & Business Development bei A1 Digital. Mit Exoscale bietet das Unternehmen bereits jetzt ein DSGVO-konformes Cloud-Portfolio aus Europa an. „Unsere Rechenzentren liegen in Deutschland, der Schweiz, Österreich und Bulgarien. Damit liegt die Datensouveränität in der Hand der Unternehmer“, so Fleischer.

Grundsätzlich rät Fleischer den Unternehmen zu einer Multi-Cloud-Strategie: „Dabei trenne ich kritische von nichtkritischen Daten und entscheide selbst, wo welche Daten gesichert werden. Damit bin ich nicht abhängig von einem Cloud-Anbieter.“

WIE KOMME ICH RAUS?

Apropos Abhängigkeit. Diese kann auch entstehen, wenn ein Unternehmen seine Daten im Rechenzentrum eines Cloud-Anbieters mit einer bestimmten Technologie gespeichert hat. Will man den Anbieter wechseln, kommt oft die böse Überraschung. „Oft ist es schwer, wieder aus der Cloud herauszukommen. Diese Frage wird meist unterschätzt und sollte von jedem KMU bereits vor der Wahl des Anbieters geklärt sein“, meint Markus Fleischer. Im Fachjargon wird diese Abhängigkeit als Vendor Lock-in bezeichnet. Denn auch wenn viele Software- Tools und Services vom Cloud-Anbieter zur Verfügung gestellt werden: Die grundsätzliche Verantwortung für die Daten bleibt weiterhin beim KMU. „Ich kann nicht die Daten in die Cloud schicken und glauben, der Betreiber kümmert sich nun um alles. Für die Datensicherheit und das Backup ist das KMU weiterhin selbst verantwortlich“, sagt Bruckner.

RISIKOFAKTOR MENSCH

Trotz digitalen Fortschritts gilt immer noch: Die Sicherheit steht und fällt mit den Menschen. „95 Prozent aller erfolgreichen Cyberangriffe starten mit einer Phishing-Mail an einen Mitarbeiter“, erklärt Sounble. Sie rät daher dazu, im eigenen Sicherheitskonzept auch immer die menschliche Komponente zu berücksichtigen. Dazu gehört eine gelebte Sicherheitskultur im Unternehmen sowie eine regelmäßige Schulung der Mitarbeiter.

Ein zusätzlicher Nutzen, den die Unternehmen aus der Cloud in Zukunft immer mehr ziehen werden, ist laut Fleischer die Innovation: „Diese wird im Verbund von Unternehmen stattfinden. Als KMU kann ich Daten mit den verschiedensten Partnern tauschen und diese für die weitere Entwicklung meiner Produkte und Services einsetzen.“

Autor/in: MARKUS MITTERMÜLLER