Nichts für die leichte Schulter: Sicherheit externer Rechenzentren und in der Cloud

PrintMailRate-it
Wie kann ein Unternehmen sicherstellen, dass seine Daten vor fremden Zugriff geschützt sind? Um sich der Beantwortung dieser Frage zu nähern gilt es zu analysieren, welche Parameter in diesem Zusammenhang eine Rolle spielen.
 
Die Sicherheit von Unternehmensdaten hängt an vielen Faktoren, die 4 wichtigsten sind:
  • Der unberechtigte Zugriff bzw. die Entwendung von Daten durch eigene Mitarbeiter
  • Die eigene Infrastruktur 
  • Der Zugriff von außen
  • Der Zugriff der NSA
     

Der unberechtigte Zugriff bzw. die Entwendung von Daten durch eigene Mitarbeiter

Die größte Gefahr von Daten-Wissensverlust ist bei vielen Unternehmen der „Datenklau” durch eigene Mitarbeiter. Berühmteste Beispiele sind die Steuer-CDs aber auch andere Fälle von entwendetem Entwicklungs-Know-how oder Kundeninformationen. Mit dieser Problematik wird oftmals sorglos umgegangen, dabei liegt hier die Verantwortung ausschließlich bei den Unternehmen selber, die möglichen organisatorischen- und technischen Maßnahmen zu implementieren. Dies ist Bestandteil des Risikomanagements der Unternehmensleitung. Ein großer Anteil aller Delikte von Wirtschaftskriminalität betrifft Know-how-Verluste und die Schäden betragen jährlich einige 100 Millionen €. 
 

Die eigene IT Infrastruktur

Eine große Gefahrenquelle für Datenverlust sind die eigenen Rechenzentrums- und Netzinfrastrukturen von Unternehmen. Hier wird z.T. auch bei großen Mittelständlern sehr fahrlässig mit dem Thema Sicherheit umgegangen. Fehlende Sicherheitsstandards im Rechenzentrum selber,  nicht auseichende Backup-Szenarien und unzureichend gesicherte Firewalls sind nur einige Beispiele, bei denen sich jedes Unternehmen selber absichern kann und viele Unternehmen sich unbedingt absichern sollten. Unabhängig von der Frage ob die Infrastruktur von einem qualifizierten Outcourcing-Dienstleister oder in der Cloud  betrieben wird, kann man davon ausgehen, dass die Infrastruktur den State-of-the-art Sicherheitsstandards entspricht. Dies ist selbstverständlich im Einzelfall immer zu hinterfragen. Welches Datenschutzgesetz bei Verarbeitung personenbezogener Daten im Rahmen der Erbringung der Dienstleistung Anwendung findet, und ob dieses nur natürliche Personen oder auch Unternehmensdaten betrifft, hängt allerdings davon ab, aus welchem Land die Daten kommen und in welchem Land die Daten gespeichert werden. Das deutsche Bundesdatenschutzgesetz ist eines der strengsten weltweit. Bei Cloud-Anbietern ist aber oft nicht transparent, wo die Daten gespeichert werden. Wenn man hier sichergehen will, sollte man bevorzugt einen IT Dienstleister auswählen, der seine Leistung ausschließlich in deutschen Rechenzentren erbringt. 
 

Der Zugriff von außen

Der unberechtigte Zugriff von außen auf die Daten eines Unternehmens ist derzeit das meist diskutierte Thema. Wenn ein Unternehmen die jeweilig möglichen Sicherheitsstandards nutzt bzw. von einem professionellen Dienstleister betreut wird hat man zumindest den größtmöglichen Schutz. Allerdings gehen auch mit diesem Thema insbesondere Mittelständler z.T. eher fahrlässig um. Auf der anderen Seite kann man sich auch die Frage stellen, welche Ziele sich denn besonders für Angriffe von Hackern lohnen. Und die Antwort ist natürlich selbstredend: Je größer die Datenmenge, desto lohnender der Angriff. Heißt im Umkehrschluss: Mittelständische Unternehmen oder mittelständische Dienstleister sind hier womöglich weniger gefährdet als die großen Konzerne oder die internationalen Dienstleister.
 

Der Zugriff der NSA

Der USA PATRIOT Act ist die Grundlage für den Zugriff auf Daten durch die NSA. Zitat Wikipedia: „Die Bestimmungen des PATRIOT Act erlauben US-Behörden wie dem FBI, der NSA oder der CIA nicht nur den Zugriff ohne richterliche Anordnung auf die Server von US-Unternehmen. Auch ausländische Töchter sind nach dem US-Gesetz verpflichtet, Zugriff auf ihre Server zu gewähren; selbst dann, wenn lokale Gesetze dies untersagen”, Zitat Ende.  Jetzt wird von einigen großen Cloud-Anbietern kommuniziert, dass sie auch in Deutschland Rechenzentren aufbauen bzw. bereits aufgebaut haben. Das bedeutet, dass sie damit dem sehr strengen deutschen Datenschutz unterliegen, wie jeder andere in Deutschland produzierender IT-Dienstleister auch. Der Zugriff auf Daten auf Basis des PATRICOT Act ist dadurch aber nicht automatisch ausgeschlossen, da es hier ja einen Zugriff der USA auf die ausländischen Töchter von amerikanischen Firmen gibt. 
 

Fazit

Ein großer Teil der Sicherheit der Daten liegt in der Verantwortung der Unternehmen selber und ist nicht beeinflusst durch Attacken von außen. Die Unternehmensleitung ist im Rahmen ihres Risikomanagements verpflichtet, sicherzustellen, dass Angriffe von innen und außen auf die IT-Systeme nach dem Stand der Technik vermieden und verhindert werden.

zuletzt aktualisiert am 06.11.2014

 Themenspecial

Kontakt

Contact Person Picture

Axel Knobe

Vorstand der Rödl Consulting AG, Geschäftsführer cloudgermany.de GmbH

+49 911 5979 60

Anfrage senden

 Wir beraten Sie gern!

Deutschland Weltweit Search Menu