Rechenleistung aus der Wolke

Um den Begriff Cloud kommt man in diesem Zusammenhang nicht mehr herum. Mit dem Ziel, die eigene IT-Struktur schlanker und kostengünstiger zu gestalten, erwägen viele Unternehmen eine Auslagerung ihrer Software und ihrer Daten in die „Wolke“. Das Unternehmen mietet dafür Speicherkapazitäten auf externen Servern von entsprechenden Cloud-Dienstleistern. Die eigenen Daten sind dann per Fernzugriff über das Internet von jedem Endgerät aus verfügbar. Auch die im Unternehmen benötigte Software läuft auf den Servern des Cloud-Anbieters und belastet die lokalen Rechner nicht. Unternehmen, die gerade zusätzlichen Speicher und mehr Rechenleistung benötigen oder neue Niederlassungen gründen wollen, können ganz einfach mehr Speicherkapazität beim Anbieter erwerben. Die Bezahlung erfolgt meist sehr flexibel nach dem Prinzip „Pay as you go“. Das bedeutet, dass Kunden nur für ihren tatsächlichen Bedarf an Speicher aufkommen und in Zeiten geringerer Nutzung entsprechend weniger zahlen müssen.

In der nahezu vollständigen Auslagerung der Daten liegt aber gleichzeitig der große Nachteil einer Cloud-Lösung. Denn das Unternehmen gibt damit quasi die Hoheit über seine Daten komplett ab. Während ein eigener Server mit allen Daten in den eigenen Räumen stets überwacht werden kann, gilt dies für die externen Server des Cloud-Anbieters nicht. Diese können sich irgendwo auf der Welt befinden. Dort gelten möglicherweise ganz andere Datenschutzbestimmungen als in Deutschland. Der Kunde muss relativ „blind“ darauf vertrauen, dass der Dienstleister seriös ist, die Daten nicht an Fremde herausgibt und sie gegen Angriffe sichert, etwa von Hackern oder sogar eigenen Mitarbeiter, die sich bereichern möchten. Denn wenn vertrauliche Unternehmensdaten in unbefugte Hände gelangen, kann der Schaden immens sein.

Viele Cloud-Anbieter argumentieren in punkto Sicherheit, dass die Daten ihrer Kunden auf den Servern verschlüsselt seien. Manche Anbieter wie etwa Google verteilen Daten auf unterschiedlichen Servern, so dass Angreifer Zugang zu sämtlichen Servern bräuchten, um Daten stehlen, löschen und für sich nutzen zu können. Gehen die Daten verloren, ist fraglich, in welcher Höhe ein Cloud-Dienstleister für die Wiederbeschaffung haftet, und ob es über möglich ist, die Daten wieder zu beschaffen. So sind beispielsweise bei einem Absturz von Amazons Cloud-Servern bereits Kundendaten unwiderruflich zerstört worden. Natürlich sind auch firmeneigene Computer nie hundertprozentig vor unbefugtem Zugriff, vorsätzlichem Missbrauch und Hackerangriffen sicher. Aber die Wahrscheinlichkeit, zum Hacker-Ziel zu werden, ist bei einem Einzelserver weniger groß, da weniger rentabel für den Angreifer. Zudem hat das Unternehmen zumindest die Überwachung und Datensicherung komplett in der eigenen Hand.

Die potenzielle Gefahr, die die Auslagerung von vertraulichen Daten in die Cloud mit sich bringt, nehmen viele Unternehmen dennoch in Kauf, auch der Einfachheit halber. Ob ein Risiko besteht, hängt natürlich vom gewählten Anbieter ab. Es gibt Anbieter, die es sehr genau mit ihrer Verantwortung für die Daten ihrer Kunden nehmen. In einer Zeit, in der sich Berichte über Hackerangriffe und Datenklau häufen, herrscht gegenüber der „Wolke“ allerdings zunehmende Skepsis (siehe COMPUTERWOCHE 24/11, S. 14 ff.). Das gilt besonders für deutsche Firmen und führende Cloud-Anbieter warnen mittlerweile selbst vor den vielen schwarzen Schafen ihrer Branche. So äußern laut einer Studie von BT Germany 90 Prozent aller befragten Firmen, dass die Verankerung der Datenschutzgesetze in einem Vertrag mit einem Dienstleister wichtig oder sogar ausschlaggebend für eine Zusammenarbeit ist. Die Hälfte der Befragten machte eine Entscheidung ebenfalls davon abhängig, ob die Datenrückführung im Vertrag klar geregelt ist.

Ob ein Anbieter vertrauenswürdig ist, ist für Unternehmen, die sich für eine Lösung entscheiden müssen, unter Umständen schwer abzuschätzen. Das zeigte sich beispielsweise bei dem Skandal um die US-IT-Sicherheitsfirma RSA Security, die eine lange Zeit als sicher geltende „Secure Cloud“ anbot. Ausgerechnet diesem Unternehmen konnten Hacker höchst geheime Daten entwenden. Der Angriff gilt als besonders raffiniert, weil mithilfe der gestohlenen Daten ein Passwortschlüssel generiert werden könnte. Unter Umständen könnte dieser Schlüssel den Hackern unauffälligen Zugang zu den Daten aller Kunden von RSA gewähren. Dass gerade Sicherheitsunternehmen verstärkt ins Visier von Hackern geraten, zeigte auch der Angriff auf die Firma Comodo im März 2011, bei dem Sicherheitszertifikate entwendet wurden.