PRISM in der Cloud – eine Zwischenbilanz

Mittelstand Cloud

In einer aktuellen Untersuchung zur Cloud-Akzeptanz im deutschen Mittelstand melden die Marktforscher eine besonnene Reaktionen bei einem Großteil der deutschen Anwender. Allerdings stärke die aufgedeckte Überwachung auch die Kritiker in ihrer Argumentation. Die größten Verlierer dieser Debatte sind laut Ansicht von TechConsult aber die großen US-Anbieter.

Aus SAP-Rechenzentren heraus, wie hier in St. Leon-Rot, bietet SAP die HANA Enterprise Cloud als Service an. Quelle: SAP
Deutsche Cloud-Anbieter könnten von der aktuellen Prism-Diskussion profitieren. Im Bild das SAP-Rechenzentrum in St. Leon-Rot. Quelle: SAP

Die vorliegenden Ergebnisse zum kürzlich veröffentlichten Spionageskandal „PRISM“ und die Konsequenzen, die Unternehmen im deutschen Mittelstand bezüglich der Planung und oder Nutzung von Cloud Services daraus ziehen, offenbart eine erste Zwischenbilanz. Während die Unternehmen, die bereits Cloud Lösungen im Einsatz haben, auch weiterhin auf Cloud Services setzen werden, wurden die Kontra-Argumente der “Cloud-Skeptiker” weiter gestärkt. Dabei spielt allerdings die aktuelle Spionagewut der USA und anderer Ländern eine weitaus weniger große Rolle als vermutet. Die Vorabanalyse der Unternehmen, welche Daten sinnvoll für ein Cloud Modell sind und welche Daten nach wie vor der klassischen Speicherung im Unternehmen vorbehalten werden sollen, rückt dabei immer stärker in den Vordergrund. PRISM könnte zudem dem deutschen Cloud-Markt zu unverhofften Gewinnen verhelfen und eine nachhaltige Etablierung deutscher Cloud-Anbieter im europäischen Cloud-Sektor hervorrufen.

Neben der Veröffentlichung der aktuellen Studienergebnisse befindet sich auf dem neugestalteten Cloud-Portal www.it-cloud-index.de ein Online-Benchmark-System für Anwenderunternehmen. Nach der Teilnahme am Online-Benchmark-System erhalten Unternehmen auf sechs bis acht Seiten einen direkten Vergleich Ihrer Cloud-Computing-Strategie und der wichtigsten Cloud-Computing-Indikatoren ihres Unternehmens mit denen ihrer Mitbewerber derselben Branche und Größenklasse. Der IT-Cloud-Index fungiert somit als Gradmesser für die Etablierung von Cloud Computing im deutschen Mittelstand und ermöglicht über den zeitlichen Verlauf den Anwender-Unternehmen das Ablesen möglicher Trendlinien und Tendenzen.

PRISM vs. Cloud? – Die Cloud lebt weiter!

Das Cloud-Nutzungsverhalten und inwiefern Unternehmen die Cloud-Technologie als strategische Komponente einsetzten, stehen seit Beginn dieser Langzeiterhebung vor zwei Jahren im direkten Konflikt mit den Themen Datenschutz und Datensicherheit. Seit vor einigen Wochen der US-Geheimdienstmitarbeiter Edward Snowden Teile des NSA-Spionageprogramm “PRISM” offengelegt hat, stehen diese Themen stärker denn je im Fokus der Anwenderunternehmen bzw. potenzieller Anwender von Cloud Services. Die Vermutung, das neben privaten Diensten wie sozialen Netzwerken auch Business-Lösungen aus der Cloud überwacht werden, ist als realistisch anzusehen und manifestiert die Frage, wie sicher die Daten in einer Cloud sind.

Die rasant entstandene Empörung über die Aktivitäten des amerikanischen oder auch des britischen Geheimdienstes stehen jedoch im Kontrast zu den Informationen, die der breiten Öffentlichkeit schon seit Jahren bekannt sind. Breits im Jahr 2001 wurde die Existenz des Spionagenetzes “Echelon”, umgesetzt von den USA, Großbritannien, Australien, Neuseelands und Kanada, durch das europäische Parlament bekanntgegeben. Echelon überwacht private und geschäftliche Telefongespräche, Faxverbindungen und Internet-Daten und wertet diese vollautomatisch nach festgelegten Kriterien aus. Dementsprechend ist PRISM eine Neuauflage dieses älteren Spionageprogramms mit den Möglichkeiten der Technologien von heute. Der von den USA als direkte Antwort auf die Terroranschläge vom 11. September 2001 ins Leben gerufene “Patriot Act” zeigte zudem ganz offiziell, dass unter anderem der potenzielle Zugriff von US-Behörden auf Cloud-Daten amerikanischer Unternehmen schon lange möglich ist.

Reaktionen, die Cloud Computing aufgrund des Bekanntwerdens zu einer Art “PRISM Cloud” um etikettieren wollen, wirken daher wenig glaubwürdig und bilden zudem nicht die Mehrheitsmeinung der Unternehmen im deutschen Mittelstand ab. 61 Prozent der befragten Unternehmen, die Cloud Computing bereits im Einsatz haben, gaben in unserer Langzeitstudie an, dass sie keine Konsequenzen wegen der Veröffentlichungen der PRISM-Aktivitäten ziehen werden. Die Vorteile von Cloud Computing überwiegen die durch PRISM initiierten Bedenken. Jedes vierte Unternehmen der Befragung gab darüber hinaus an, genau abzuwägen, welche Daten letztendlich in die Cloud gegeben werden können und welche nicht, da diese bei Veröffentlichung einen elementaren Schaden für das Unternehmen hervorrufen würden. 19 Prozent der Cloud nutzenden Unternehmen möchten zukünftig ausschließlich auf die nach wie vor präferierte Cloud Variante, der Private Cloud setzen, um größtmögliche Sicherheit für Ihre Daten zu gewährleisten. Dem im Einklang steht mit 17 Prozent der Wunsch nach Cloud-Anbietern, deren Cloud-Services auf deutschen Rechenzentren basieren.

Negative Auswirkungen von PRISM auf den Durchdringungsgrad von Cloud-Lösungen im deutschen Mittelstand werden vor allem bei Unternehmen deutlich, die noch nicht von der Cloud-Technologie für Ihr Unternehmen überzeugt waren. Die Bekanntmachung der Spionageaktivitäten bestätigt diese Unternehmen in ihrer ablehnenden Haltung gegenüber Cloud-Services. So lehnen es nach wie vor 38 Prozent der befragten Unternehmen ab, zukünftig Cloud-Services für Ihre Belange einzusetzen und nennen als Multiplikator für ihre Ablehnung PRISM. Auffallend in dieser Befragungswelle ist jedoch das Ergebnis, dass fast jedes zweite Unternehmen Cloud-Lösungen völlig unabhängig vom Spionageskandal nicht einsetzen möchte, da der Bedarf für das Unternehmen schlichtweg nicht vorhanden sei. Dieses Ergebnis zeigt, dass der überwiegende Teil der befragten Unternehmen die Cloud- Technologie nicht grundsätzlich im direkten Zusammenhang mit Spionageprogrammen sieht und Cloud-Services allein deshalb schon ablehnt.

Kein Ende für die Cloud

Die Antwort, was Anwenderunternehmen für Konsequenzen aus dem Spionageskandal ziehen sollten, haben 28 Prozent der befragten Unternehmen, die Cloud Services bereits nutzen, schon erkannt. Nach wie vor gilt es vor dem Einsatz von Cloud-Lösungen abzuwägen, welche Daten ein Höchstmaß an Sicherheit benötigen und welche Daten geringeren Sicherheitsstandard unterliegen können. Nach der detaillierten Analyse der Gefährdungspotentiale können die Unternehmen mit einem seriösen und zuverlässigen Cloud-Partner ein hybrides Cloud-Modell entwickeln um die Vorteile einer Private- und einer Public-Cloud zu nutzen. Höhere Priorität als bisher sollte auch auf die End-to-End-Sicherheitsmaßnahmen gelegt werden, bei denen der Schutz der Informationen und nicht von Systemen oder Netzen im Fokus steht. Nach Umsetzungen dieser Anforderungen sollte ein gesundes Mittelmaß zwischen den bestehenden Risiken, den Umsetzungskosten und des zu erwartenden Mehrwerts durch die fokussierte Cloud-Leistung erkennbar sein. Die vollständige Ablehnung von Cloud-Lösungen aufgrund eines bekannt gewordenen Spionageskandals würde im Umkehrschluss bedeuten, dass interne IT-Netze sicher seien und nicht von Spionageangriffen betroffen sind. Dem ist allerdings nicht so, wie die Enthüllungen des Tempora-Projektes des britischen Geheimdienstes offenbaren. So werden gezielt Internetknotenpunkte und transatlantische Datenverbindungen angezapft und somit die Datenströme aus internen Unternehmensnetzwerken, verstärkt durch die zunehmende Vielfältigkeit der Kommunikationswege wie Mobile Computing, kontrolliert.

Den wirklich großen Schaden bezogen auf PRISM und Cloud Computing dürfte bei den amerikanischen Cloud-Anbietern liegen, deren Cloud-Geschäft auch in Deutschland beheimatet ist. Eine der wichtigsten Komponenten bei Cloud-Lösungen, nämlich das Vertrauen in den Anbieter und dessen Sicherheit zu gewährleisten, dürfte nachhaltig gestört sein. Hier besteht nun eine erhöhte Chance der deutschen Cloud-Anbieter, sich noch stärker als zuvor im europäischen Markt zu positionieren. Cloud Services “made in germany”, also in deutschen Rechenzentren beheimatet und mit End-to-End Verschlüsselung bereitgestellt, dürften demnach gute Argumente für eine langfristige Partnerschaft mit Anwenderunternehmen darstellen. Die bekannten Vorteile des Cloud-Computing-Modells, bestehenden aus SaaS, IaaS und Paas, haben sich auch durch PRISM nicht verändert und werden demnach weiter ein fester Bestandteil in der IT-Landschaft sein.

Die vollständige Studie mit den Ergebnissen zu unserer Langzeituntersuchung zum Stellenwert von Cloud-Computing in mittelständischen Anwenderunternehmen finden sie hier.

Cloud User Check

Auf Basis der aktuellen Ergebnisse stellt techconsult den Cloud User Check (www.it-cloud-index.de) zur Verfügung. Sowohl für erfahrene Cloud-Nutzer als auch Neulinge bietet das Online Tool eine attraktive Möglichkeit, die eigene Cloud-Position mit der vergleichbarer Unternehmen ihrer Branche und Größenklasse zu benchmarken. Neben dem Cloud-Einsatzgrad gibt das webbasierte Tool Antworten auf Fragen nach der Cloud-Fitness und der Nutzenbewertung von Cloud Computing.

 

Erst vor wenigen Wochen hat silicon.de eine CIO-Jury zum gleichen Thema durchgeführt und teilweise ähnliche Antworten bekommen.