Mark Großer: Was bedeutet Cybersecurity im Cloud-Umfeld? (1/2)

Die Migration- und Integration von Daten in Cloud-Services ist in vielen Branchen in vollem Gange. Bei der Implementierung zeigt sich oft – die Herangehensweise in Unternehmen ist oftmals noch die Falsche. Welchen Weg sollte man gehen, um Aspekte der Sicherheit und des Datenschutzes im Cloud-Umfeld ordnungsgemäß und nach heutigen Standards zu berücksichtigen? Wir sprachen mit Mark Großer, Managing Consultant und Experte für Security & Compliance bei Detecon. Lesen Sie hier Teil 2 von 2 des Interviews.

Detecon: Viele Unternehmen stellen Überlegungen an, inwiefern Sie Cloud-Dienste in eigene Prozesse einbinden. Welche Ausgangslage sieht man derzeit bei Cloud-Anwendungen in Industrieunternehmen?

Mark Großer: Bei der Anwendung von Clouddiensten beobachten wir eine gewisse Heterogenität in den Industriebranchen. Grundsätzlich muss sich jedes Unternehmen die Frage stellen: Gehe ich in die Cloud – ja oder nein? Wenn ja, in welcher Variante und weshalb? Die Frage müsste erst einmal lauten: Was ist eigentlich der Nutzen davon? Der Cloud-Mythos besagt, dass vor allem Kosteneinsparungen im Vordergrund stehen. Doch viel wichtiger sind die Faktoren Flexibilität, Effizienz, Zukunftsfähigkeit und Innovationsoptionen, auch für neue Geschäftsmodelle. Gleichzeitig müssen Unternehmen bei der Nutzung von Cloud-Lösungen Datensicherheit, Compliance und den Datenschutz einhalten. Wir beobachten, dass die „Schrems II“-Frage ganze Cloud-Projekte zum Stillstand gebracht hat. Werden Daten international verarbeitet – z.B. bei Übermittlung in ein Nicht-EU-Land, so herrscht aktuell Verunsicherung: „Dürfen wir das?“ Dahinter steht die EU-Datenschutzgrundverordnung (EU-DSGVO, englisch GDPR). Sie fordert die Überprüfung der Angemessenheit des Datenschutzniveaus, wenn im „Zielland“ bzw. „Drittland“ nicht die DSGVO gilt. Generell ist dies natürlich möglich, aber Vorsicht mit pauschalen Aussagen. Das wird zukünftig nicht einfacher, im Gegenteil, noch komplexer. Aber: Es ist lösbar – schon jetzt!

Grundsätzlich ist es die Aufgabe eines jeden Unternehmens, eigene Daten und Informationen (Assets) zu schützen – wie in der herkömmlichen „On-Prem“-Welt. Die Situation in der Cloud stellt sich zwar technisch anders dar, sie enthält aber die gleichen, immer noch schützenswerten Informationen.

Die Ausgangslage ist unterschiedlich: Manche Unternehmen nutzen bereits eine oder mehrere Plattformen in einer Multi-Cloud-Umgebung. Andere möchten bewusst nur für spezifische Services weitere Cloud-Lösungen in ihre Landschaft integrieren. Oft stoßen altbewährte On-Prem-Lösungen auch einfach an ihre Leistungsgrenze bzw. Soft- und Hardware sind nicht mehr oder nur teuer zu warten oder – nicht selten – spezielle Kenntnisse sind zum Betrieb erforderlich, die betreffenden Mitarbeiter jedoch absehbar in Rente.

Die Cloudification verläuft also nicht in allen Branchen gleich, sondern schrittweise und unterschiedlich in Tempo und Intensität. Automobilunternehmen etwa sind schon recht weit, viele Versicherungen befinden sich in einer Umstellungswelle und haben bereits Services in die Cloud verlagert. Insgesamt aber ist zu beobachten: Alle beschäftigen sich damit, neue „vertikale“ Kooperationen zwischen Technologieanbietern und Unternehmen aller Branchen entstehen, auch im Hinblick auf die IoT-Welt. Und dennoch: Viele IT-Services und Prozesse werden erst noch für die Cloud-Nutzung strukturiert. 

Ist alles gelöst, wenn ich mir als Unternehmen einen bewährten Cloud-Provider im Zuge meiner Vendor-Strategie zulege? Um was sollte sich noch gekümmert werden?

Leider ist es damit nicht getan. Viele denken, ein Tool löst alles. Ein Kollege von mir sagt dazu: „A fool with a tool is still a fool”. Wer davon ausgeht, durch die Cloud-Anbieter bereits alle wichtigen Aspekte geklärt und mitgeliefert zu bekommen, der kann sich täuschen - vor allem bezüglich der Security- und Privacy-Elemente. Schon bei der Anbahnung oder in Vertragsverhandlungen und Workshops ist dies nicht so klar und eindeutig, wie es scheint. Wenn ich falsche Service-Level-Agreements wähle, kann es tatsächlich zum Horrorszenario kommen: Bei Kündigung droht dann die böse Überraschung, als Datenrücktransfer CDs mit den eigenen Daten – unstrukturiert - zu erhalten. Zugegeben, dies ist plakativ – aber schon vorgekommen.

Welche Prozessfehler begehen Unternehmen oft bei der Integration von Cloud-Diensten?

Viele handeln stark nach der Devise: "Ich passe mein Unternehmen dem Tool an und nicht das Tool dem Unternehmen." Hier stellt sich die Frage: Wer steuert was? Dies bedeutet eine Herausforderung für die Governance in Unternehmen.

Unterschiedlicher Aufwand bei den Einführungsprozessen resultiert zudem natürlich aus kulturellen Differenzen. Im Wettstreit der Systeme räumen wir in Europa im Vergleich zum datengetriebenen, kapitalistisch geprägten USA und dem inzwischen ebenfalls technologisch führenden, aber autoritären, China, dem individuellen Datenschutz den weitaus höchsten Wert ein. Daraus ergibt sich aber, dass Implementierungen von Cloud-Prozessen in den USA oder China vergleichsweise schnell und reibungslos verlaufen, während wir mit guten Vorsätzen, aber eher komplexen europäischen Lösungen und Regularien und dem Aufbau eigener Alternativen wie bei GAIA-X beschäftigt sind. Die Diskussion über Cisco, Huawei und wenige andere verbliebene Anbieter verlief ähnlich – ehemals gab es Siemens und andere Netzwerkausrüster in Europa. Jetzt stehen wir bei der Auswahl von Technikanbietern vor der Wahl der Produkte, aber eigentlich wirkt es wie ein „Stellvertreterkrieg“ der Systeme. Wem wollen wir trauen? Auch und insbesondere der Brexit macht dies – trotz eingeräumter Übergangszeiträume, in denen Großbritannien datenschutzrechtlich nicht als Drittland angesehen wird – nicht leichter.

Hier in Europa rücken Fragen des Rechts, wie etwa nach dem Schrems-II-Urteil der internationale Datentransfer bei Gesundheitsdaten, in den Vordergrund. Wo dürfen diese Daten liegen? Hier steht die Grundrechtsabwägung von Freiheit und Sicherheit gegenüber Effizienz und Usability in der Cloud! Im Zuge der Pandemie stehen sogar Aspekte des (Über-)Lebens und der Gesundheit dem Datenschutz entgegen.

Das Interview führte Gerhard Auer.