Wie sich das Vertrauen in Cloud-basierte Rechenzentrums-Infrastrukturen steigern lässt – ein Interview mit Volker Rauscher, Head of Service Management bei 1&1 Internet SE

Rechenzentrum Allee

Laut einer aktuellen Umfrage des Bitkom geben 64 Prozent der befragten Vorstände und Geschäftsführer an, dass sich im Zuge der Digitalisierung ihr Geschäftsmodell geändert hat.[1] Mit der Verlagerung der Geschäftstätigkeiten ins Internet entstehen große Datenvorräte, die es vor unbefugtem Zugriff sowie technisch bedingtem Verlust zu schützen gilt. Wie Hosting-Anbieter den steigenden Kundenansprüchen an Datenschutz und -sicherheit gerecht werden können und welche Herausforderungen und Chancen sich insbesondere mit Blick auf die Cloud ergeben, wollten wir von Volker Rauscher, Head of Service Management bei 1&1 Internet SE, wissen. Er ist im Bereich Data Center & Networks tätig und damit auch für die Sicherheit der 1&1 Rechenzentren zuständig.

Q: Für diejenigen, die sich mit der Materie nicht so gut auskennen: Warum ist das Thema Sicherheit in der Cloud eigentlich so relevant?

Die Digitalisierung verändert unsere Gesellschaft nachhaltig – das gilt sowohl für den privaten Bereich, aber auch für die Geschäftswelt. Immer mehr Prozesse finden heute online statt. Im Zuge dessen sammeln sich im Netz immense Mengen an Daten, darunter natürlich auch „empfindliche Informationen“ wie beispielsweise Kundendaten. Die Ansprüche von Kunden und Konsumenten an den Schutz ihrer Daten sind zu Recht hoch. Ob sie einem Unternehmen ihre Daten anvertrauen, ist im Wesentlichen davon abhängig, wie der jeweilige Anbieter diese aufbewahrt, verwaltet und die Verfügbarkeit sicherstellt.

Q: Welche Vorbehalte gibt es in diesem Zusammenhang gegenüber Hosting-Anbietern?

Volker Rauscher, Head of Service Management

Volker Rauscher, Head of Service Management

Vor allem Cloud-Angebote werden von vielen Nutzern kritisch beäugt, denn nach wie vor haftet ihnen das Vorurteil an, weniger sicher als „On-Premise“-Systeme zu sein. Datenverluste, Sicherheitslücken und unzureichender Datenschutz sind Ängste, die viele vor der Cloud zurückschrecken lassen.

Q: Wie können Anbieter von Hosting-Diensten diesen Vorbehalten begegnen?

Sie können sich die Sicherheit der eigenen Infrastruktur zertifizieren lassen. So legt eine Zertifizierung nach ISO/IEC 27001:2013 die Richtlinien für die Errichtung, Einführung, Aufrechterhaltung und kontinuierliche Verbesserung eines Informationssicherheits-Managementsystems fest. Es bescheinigt, dass das jeweilige Unternehmen gewissenhaft mit Datensicherheit umgeht – welche konkreten Auswirkungen das hat, bleibt allerdings für Außenstehende unklar.[2] Ein Informationssicherheits-Managementsystem umfasst nur allgemein gehaltene Sicherheitsbestimmungen. Daher können verlässliche Aussagen über das Maß der umgesetzten Informationssicherheit erst unter Berücksichtigung von zusätzlichen Maßnahmen getroffen werden, die auf Basis einer Risikoanalyse definiert wurden.

Q: Gilt das auch für Unternehmen, die auf Cloud-basierte Lösungen setzen?

Ein mit ISO/IEC 27001:2013 vergleichbares Zertifikat für Dienste via Cloud-Computing gibt es derzeit noch nicht. Bisher existieren lediglich Handlungsempfehlungen, die unter ISO/IEC 27018:2014 gefasst sind. Dieser Standard setzt sich speziell damit auseinander, wie personenbezogene Daten mittels Cloud-Computing reguliert und verarbeitet werden.

Unternehmen können sich auf Basis von ISO/IEC 27001:2013 eine Konformitätserklärung für ISO/IEC 27018:2014 ausstellen lassen. Sie belegt, dass das Unternehmen zusätzliche Maßnahmen trifft, um die Sicherheit der Verarbeitung von personenbezogenen Daten in der Cloud zu gewährleisten. Die Vertraulichkeit nicht-personenbezogener Daten, der Schutz vor DDos-Attacken oder die Absicherung der Verfügbarkeit von Diensten auf einer Cloud-Plattform bleiben in dieser Konformitätserklärung allerdings gänzlich unberücksichtigt.

Q: Was raten Sie Anbietern von Cloud-basierten Infrastrukturen? 

Wie bereits gesagt, sind die Möglichkeiten für Hoster, die sich ihre Cloud-basierte Infrastruktur zertifizieren lassen wollen, momentan noch stark begrenzt. Nichtsdestotrotz halte ich eine Mindestzertifizierung nach ISO/IEC 27001:2013 für notwendig und sinnvoll, um grundlegende Schutzmaßnahmen für die Datensicherheit nachweisen zu können. Eine Konformitätserklärung für ISO/IEC 27018:2014 ist darüber hinaus eine wichtige Argumentationshilfe gegen das noch immer weit verbreitete Vorurteil der unsicheren Cloud.

Q: Was sollte Ihrer Ansicht nach in naher Zukunft noch unternommen werden, um das Vertrauen in die Cloud weiter zu steigern?

Der Cloud-Markt birgt weltweit enormes Wachstumspotenzial – diese Technologie wird früher oder später mit darüber entscheiden, wer im Wettbewerb die Nase vorn behält. Deshalb begrüße ich die Anstrengungen der Initiative „Trusted Cloud“ für die Erstellung eines umfassenden Kriterienkatalogs bezüglich eines Qualitätssiegels für Cloud-Services sehr. Ein besonderer Fokus der Initiative liegt auf kleinen und mittelständischen Unternehmen (KMU), mit dem Ziel, ihnen das enorme Potenzial von Cloud-Diensten nahezubringen und ihr Vertrauen in die Technologie zu stärken. Die Bemühungen der Initiative sind extrem förderlich, um gemeinsam auf einen Zertifizierungsprozess für Cloud-Anbieter hinzuarbeiten. Auf diese Weise gewinnen Anwender Transparenz inmitten der Fülle von Cloud-Angeboten. Hosting-Anbieter wiederum können Kunden noch besser von der Qualität und Sicherheit ihrer angebotenen Dienste überzeugen.
1&1 hat zusammen mit dem führenden Sicherheitsanbieter Symantec eine umfassende Sicherheitsinitiative gestartet, um die Webpräsenzen seiner Kunden noch umfassender zu schützen. Alle Informationen zur Sicherheitskampagne gibt es hier.

Infografik_Zertifizierung

Zertifizierungsoptionen für Rechenzentrums-Infrastrukturen in der Cloud

 

 

[1] Vgl. https://www.bitkom.org/Presse/Presseinformation/Digitalisierung-der-Wirtschaft-nimmt-Fahrt-auf.html

[2] http://www.kompass-sicherheitsstandards.de/43787.aspx

 

Bilder: 1&1

0 Kommentare0