Der Markt von Cloud Computing wächst in Deutschland und mit ihm die Skeptiker. Fast die Hälfte der deutschen Unternehmen misstraut Cloud Computing oder lehnt es sogar ab. Allerdings bietet es ihnen hinsichtlich einer Prozessoptimierung enorme Chancen. Entscheidend ist die Auswahl des richtigen Cloud-Dienste-Providers.
Bereits in meinem ersten Blog habe ich über das Wachstum des Cloud Computing-Marktes und die Chancen, die die Cloud für Unternehmen der Supply Chain-Branche bereithält, berichtet. Dass sich Cloud Computing auch in Deutschland auf einem Erfolgskurs befindet ist längst kein Geheimnis mehr. Eine Reihe von repräsentativen Studien aus dem vergangenen Jahr bestätigt seine Relevanz in deutschen Unternehmen. Wie u.a. der “Cloud-Monitor 2013“ zeigt, setzt mittlerweile jedes dritte Unternehmen in Deutschland Cloud Computing ein – Tendenz steigend, und ist mit seinen Erfahrungen damit zudem meist sehr zufrieden. So profitieren die Nutzer von Cloud-Lösungen in erster Linie von einer schnelleren Skalierbarkeit, einem geringeren IT-Administrationsaufwand sowie einem einfachen Zugriff auf geografisch verteilte IT-Ressourcen.
Doch die Erfolgsgeschichte hat einen Haken: Denn trotz steigender Zahl von Cloud-Befürwortern und deren vermehrt positiven Erfahrungen stieg auch die Zahl der Skeptiker an. 44 Prozent der deutschen Unternehmen stehen laut “Cloud-Monitor 2013” dem Cloud Computing tendenziell misstrauisch und ablehnend gegenüber. Sie fürchten vor allem einen möglichen Datenverlust, Schwierigkeiten bei der Integration in Inhouse-Lösungen sowie Unsicherheiten bei bestehenden rechtlichen und regulatorischen Bestimmungen.
Bedenkt man, dass die Nutzer von Cloud-Diensten ihrem Provider Zugang zu den sensibelsten Daten, zu Geschäftsinformationen, Kundendaten und Finanzen gewährt, ist diese Skepsis durchaus nachvollziehbar. Informationssicherheit ist heutzutage schließlich von größter Bedeutung, da sie weitreichende Auswirkungen auf das tägliche Geschäft und die Kundenbeziehungen hat. Schnell stellt sich die Frage: Sollte man nicht lieber auf die Vorzüge des Cloud Computings verzichten und in Sachen Datenschutz auf Nummer sicher gehen? Das muss nicht sein.
Cloud Computing bietet Unternehmen vor allem hinsichtlich einer Prozessoptimierung enorme Chancen. Viele Branchen haben dies bereits verstanden und SaaS-Dienste für sich entdeckt. So ist Cloud Computing im CRM (auch dank salesforce.com) mittlerweile zur Normalität geworden. Auf die Möglichkeiten für die Supply-Chain-Branche, d.h. die Rolle der Cloud bei der komplexen Vernetzung von Partnern und Zulieferbetrieben, habe ich bereits hingewiesen. Entscheidend ist allein die Auswahl des richtigen Cloud-Dienste-Providers.
Wichtig ist, dass ein Anbieter nachweisen kann, dass Qualität und Sicherheit seiner Services höchste Anforderungen erfüllen. Zertifizierungen und Gütesiegel können daher bei der Auswahl helfen.
Die wohl bekannteste Zertifizierung ist die ISO 27001 Zertifizierung, die erstmals im Oktober 2005 von der Internationalen Organisation für Normung (ISO) und der Internationalen Elektrotechnischen Kommission (IEC) veröffentlicht wurde. Sie spezifiziert bewährte Sicherheitsmanagement-Methoden und umfassende Sicherheitskontrollen, die den ISO 27002-Leitlinien folgen. Der international anerkannte Standard belegt, dass das Managementsystem für Informationssicherheit eines Cloud-Service-Providers die eigenen sowie die Informationen seiner Kunden verlässlich schützt. Eine wichtige Aufgabe des Cloud-Dienste-Providers ist es, die physikalische Sicherheit des genutzten Rechenzentrums und somit die Sicherheit der gespeicherten Daten zu gewährleisten. Vertrauenswürdige Anbieter zeichnet ein wirksames Sicherheitskonzept aus, welches eine durchgehende Überwachung der Infrastruktur sowie eine Nachvollziehbarkeit aller Zugriffe auf die Daten beinhaltet.
IT-Sicherheit bedeutet für die ISO 27001 allerdings mehr als nur die Absicherung der technischen Infrastruktur. Die Zertifizierung fokussiert Prozesse und Abläufe innerhalb des Unternehmens und macht einmal mehr deutlich, dass IT-Sicherheit nicht nur die technische Ausstattung sondern jeden einzelnen Mitarbeiter des Unternehmens betrifft. Als einziger international anerkannter Sicherheitsstandard stellt die ISO 27001 Best Practices und einen gemanagten Ansatz zum Informationsschutz sicher, inklusive Risikomanagement, Governance und Compliance.
ISO 27001-zertifizierte Provider können ihren Kunden garantieren, dass ihre sensiblen Daten durch geprüfte Richtlinien und Prozesse auf höchstem Niveau geschützt werden. Einer einheitlichen, verlässlichen und sicheren Arbeitsumgebung steht dann nichts mehr im Weg.
Auch für Cloud Computing gilt: Vertrauen ist gut, Kontrolle ist besser. Und das ISO 27001-Zertifikat bietet hierfür eine gute Möglichkeit.
Ist Cloud-Computing wirklich Vertrauenssache oder genügend eine ISO 27001-Zertifizierung ?
“Die ISO/IEC 27001:2005 ging aus dem zweiten Teil des britischen Standards BS 7799-2:2002 (Anmerkung: Jahr 2002 ! ISO 27001 ist weitgehend kompatibel zu BSI) hervor. Sie wurde als internationale Norm erstmals am 15. Oktober 2005 veröffentlicht.Am 10. Januar 2014 wurde die überarbeitete Version DIN ISO/IEC 27001:2014 in deutscher Sprache veröffentlicht. Es handelt sich hier noch um einen Entwurf mit einer Einspruchsfrist bis 10. März 2014. Große Änderungen sind nicht zu erwarten.” (Zitate aus Wikipedia)
ERGEBNIS:
1. Die ISO 27001 ist eine ältere Norm, die schon in vielen Unternehmen umgesetzt wurde. Sie konnte trotzdem die zahlreichen Sicherheits-Vorfälle der letzten Monate – insbesondere aus dem Umfeld Cybercrime, Risiken beim Mitarbeiter (Social Media, Mitarbeiter-Verträge, Datenschutz etc.) und bei externen Angriffen die in “in höchster Vollendung” begangen wurden – NICHT verhindern.
2. ISO 27001 bietet NUR einen IT-Grundschutz (“Baseline Security Controls”), also den “kleinsten gemeinsamen Nenner”. ISO 27001 bietet daher nur einen sehr geringen Level. Darüber hinaus gehende Sicherheits-Risiken müssen im Rahmen einer ISO 27005 oder allgemeiner analysiert ISO 31000 durchgeführt werden. Auch KWG, VAG verlangen ein weiter gefasstes Risiko-Bewusstsein. Lehrbücher weisen auch auf diesen Sachverhalt hin: “Wir gehen von einer ´normalen´ Bedrohungslage aus und wirken mit ´normalen´ Sicherheits-Maßnahmen entgegen. In Situationen mit speziellen Gefahrenpotenzialen und hohen Schadensmöglichkeiten sind solche Grundschutzmaßnahmen meist nicht ausreichend. In diesen Fällen ist es notwendig, die Bedrohungslage … zu analysieren”. Unternehmen, die einen größeren Sicherheitsbedarf erkannt haben, fokussieren daher ihre Sicherheits-Risiken weiter gefasst und besitzen eigene umfangreichere Sicherheits- und Risikostandards, die weit über ISO 27001 hinausgehen. Zitate wie “… ist Cloud Computing heute sogar sicherer als die bisherigen IT-Schutzmaßnahmen“
belegen dies, und trotzdem … Leider sind ISO 27005 und ISO 31000 nicht verpflichtend und nicht zertifizierbar und bringen kein Geld für die Zertifizierungsunternehmen. Das Interesse daran ist daher – leider – sehr gering.Es sind hier Prüfer und Aufsichtsämter gefordert, abh. von einem sog. “Proportionalitätsprinzip”, weiter gefasste Sicherheits- und Risiko-Maßnahmen zu fordern. Es zählt: “Agieren VOR Reagieren”.
3. Wie den silicon-Informationen der letzten Jahre zu entnehmen ist, ist ein weiterer wichtiger Punkt die notwendige Stärkung des Sicherheitsbewusstseins und der Kultur gerade in KMUs. Wer hat schon genügend Geld, neben (evtl. vorhandenen ?) Sicherheits-Spezialisten und Sicherheits-Tools, für zusätzliche Chief Security Officer und intensive Controlling-Maßnahmen (Sicherheits-Reports, Controlling der Cloud- / Service-Verträge, regelmäßig durchgeführte S.-Circle, Meldepflicht-Vorgaben an GF / Revision, Unterstützung durch externe Controlling- und Prüf-Firmen) Sorge zu tragen ? Hierzu eine silicon-Nachricht vom 31.1.2014: “Cisco rechnet vor, dass weltweit in diesem Jahr eine Million Sicherheitsexperten fehlen werden”. Unter diesem Aspekt kann man nicht auf Andere (auch nicht auf ISO 27001-Zertifizierungen) vertrauen, sondern muss selbst “agieren” oder evtl. sogar “Risiken vermeiden”, sprich keine Daten in die Cloud auslagern.
4. Man muss auch bedenken, dass man in der Cloud seine Daten in die Obhut gestaffelter “fremder” Carrier legt (Dienstleister -> Sub-Dienstleister -> Sub-Sub-Dienstleister). Wer weiß denn, WO seine Daten konkret abgespeichert werden, durch welche Hände die vertraulichen Daten geschleust werden und welche “Dienste” bzw. “Behörden” darauf Zugriff haben ? Erst eine Nachricht in silicon von gestern weist auf die Komplexität hin: “Was The Mask so besonders macht, ist die Komplexität der von den Angreifern benutzten Werkzeuge” … oder was ist mit der silicon-Nachricht vom Januar 2014: „Mit Hilfe der Amazon-Cloud sollen Angreifer Mitgliederdaten des Business-Netzwerks LinkedIn in großem Umfang gesammelt haben” ? Hier ist meiner Meinung nach ISO 27001 überfordert. Gefordert sind hier zentrale Institutionen wie BSI, Europäische Sicherheits-Institutionen, die Cloud-Anbieter (verstärkt Rechenzentren in Europa installieren und europ. Services darauf konzentrieren) oder auch die Regierungen.
Die Aussage “ISO 27001-zertifizierte Provider können ihren Kunden garantieren, dass ihre sensiblen Daten durch geprüfte Richtlinien und Prozesse auf HÖCHSTEM NIVEAU geschützt werden” halte ich daher für sehr bedenklich … So wirft Herr Holz im Dezember 2013 in silicon folgende Frage auf: „IT-Sicherheit ist gut. Aber eigentlich sollte doch wenigstens die Unternehmens-IT längst sicher sein ? Die aktuellen sicherheitspolitischen Enthüllungen werfen neue Fragen für die Branche auf“. Nur auf ISO 27001 zu “vertrauen” ist hier zu wenig.