Interview • 09.01.2015
„Es gibt keine absolute Sicherheit“
Interview mit Professor Herbert Weber, Kompetenzzentrum Trusted Cloud
Der sichere Umgang mit Cloud-Diensten ist gerade für mittelständische Unternehmen eine Herausforderung - die sich aber lohnt. Um Nutzern den Einstieg in das Thema zu erleichtern, arbeitet das unabhängige Kompetenzzentrum Trusted Cloud derzeit an einem Leitfaden. Professor Herbert Weber leitet die Wolkentruppe und spricht mit iXtenso über das Projekt, Bedrohungsszenarien für den Handel und den Mehrwert der Cloud.
Professor Weber, seit einem Jahr dreht sich hier im Kompetenzzentrum des Bundesministeriums für Wirtschaft und Energie alles um Cloud-Dienste, von der Technologie über Sicherheit bis hin zum Datenschutz. Welches Ziel hat das Zentrum?
Das Zentrum soll unabhängigen Rat für Betroffene bieten. Trusted Cloud unterstützt die Entwicklung innovativer, sicherer und rechtskonformer Cloud-Lösungen, die sich insbesondere für den Einsatz im Mittelstand eignen. Wir machen die Begleitforschung zum Technologieprogramm.
Wann kann sich ein Nutzer sicher sein, dass er einen passenden und sicheren Cloud-Dienst wählt?
Es gibt keine absolute Sicherheit! Jemand, der sich mit dem Thema Cloud Computing auseinandersetzt, muss sich schon darauf einstellen, ein bisschen Zeit darauf zu verwenden. Auch auf die Technologien. Es gibt allein 15 bis 20 Technologierichtungen, die für das Thema Sicherheit relevant sind. Eigentlich muss man sich mit jeder dieser Technologien auskennen, um entweder selbst zu entscheiden, wie sicher man sein will oder aber man muss einen Berater haben, der sich damit auskennt. Im Grunde ist es Aufgabe des Nutzers, herauszufinden, wie sicher das Angebot ist. Es gibt eine Vielzahl von Unternehmungen, die sich darum bemühen, Sicherheit zu überprüfen und zu beurteilen. Gerade für mittelständische Unternehmen ist das die übliche Situation.
Warum ist Sicherheit so wichtig und wie lässt sie sich erreichen?
Gerade im Bereich Onlineshops sind Bedrohungszenarien in Hülle und Fülle vorhanden. Man kann eine Vielzahl von Maßnahmen ergreifen, um Bedrohungsszenarien abzuwenden, von denen sich ständig neue entwickeln. Das ist zwar teuer aber unabwendbar, weil sonst an anderer Stelle noch viel höhere Schäden entstünden. Sicherheit kostet Geld, viel Sicherheit kostet eventuell zu viel Geld. Hier muss immer eine Abwägung stattfinden zwischen Sicherheit und Kosten.
Wie ernst nehmen Cloud-Anbieter die Sicherheit ihrer Dienste?
Das ist unterschiedlich. Die einen haben sehr gute Angebote und nehmen sie sehr ernst. Andere sind dagegen nachlässiger.
Wie seriös sind Prüforgane für Cloud-Anbieter?
Sie sind nicht geprüft oder zertifiziert, weil es unabhängige Zertifizierer bisher nicht gibt. Also bleibt es ein Stück weit Vertrauenssache, aber vor allem eine Sache der Vertragsgestaltung. Der Nutzer muss vertraglich mit dem Anbieter vereinbaren, was der Dienst umfasst.
Hört sich anspruchsvoll an ...
Vertragsabschlüsse sind schwierig! Ich glaube, es gibt nicht wirklich gute Musterverträge. In Hinblick auf Sicherheit hat das Bundesamt für Sicherheit in der Informationstechnik schon einmal Grundanforderungen formuliert, um Anforderungen auch anschließend in Verträge hineinschreiben zu können.
Sie arbeiten derzeit an einer Hilfestellung für Interessenten von Cloud-Diensten.
Wir werden bis zum Ende des Projektes im März 2015 einen Leitfaden produzieren, mit dem Interessenten zumindest einen Einstieg finden und lernen können, was die Themen Sicherheit und Datenschutz bedeuten. Die Handreichung soll zeigen, was sie dabei gewinnen, wenn sie sich schlau machen und wie sie das in ihrem Umfeld umsetzen können. Wenn wir Orientierungswissen in diesen Leitfaden hineinschreiben, dann können sich die Nutzer sicher sein, dass dies ohne geschäftlichen Hintergrund geschieht, denn wir haben eine neutrale und unabhängige Position, sind weder Betreiber noch Anbieter von Cloud-Technologien.
Nun haben wir viel über die Gefahren der Cloud gesprochen. Warum lohnt sich denn dieser ganze Aufwand gerade für Händler?
Cloud Computing wird in der Zukunft großen Einfluss haben auf die Nutzung von Informations- und Kommunikationstechnologien. Über Cloud Computing haben wir die Möglichkeit, eine komplette Modernisierung der IT-Anwendungen herbeizuführen. Wir sind insbesondere im Mittelstand ja nicht gerade Weltmeister in dem, was unsere Standards in Informations- und Kommunikationstechnologien angeht. Hier ergibt sich die Chance, dass wir einmal flächendeckend eine Kompletterneuerung der Nutzung von IT-Technologien in der Wirtschaft erreichen können.
Interview: Natascha Mörs, iXtenso.com
Themenkanäle: Cloud-Computing
