Immer mehr Computeranwendungen werden in die Cloud ausgelagert. Auf diese Weise sparen sich Unternehmen unter anderem Service und Wartung einer eigenen IT-Landschaft, man kann jederzeit und von jedem Ort aus auf seine Daten zugreifen und ganz einfach Informationen mit anderen Personen und Organisationen teilen. So können etwa Architekt, Baumeister und Haustechniker von Anfang an in sämtliche relevante Bauunterlagen Einblick nehmen und jederzeit auf allfällige Änderungen oder sich schon im Vorfeld abzeichnende Probleme reagieren. Makler wiederum haben rund um die Uhr via Smartphone oder Tablet Zugang auf alle Daten, die für einen potenziellen Kunden von Interesse sein könnten, und sind damit imstande, eventuell auftauchende Fragen noch vor Ort zu beantworten. Aber die Cloud hat nicht nur Vorteile: Die Auslagerung von Daten in das Internet setzt eine Reihe von Sicherheitsmaßnahmen voraus, um sowohl das eigene Unternehmen wie auch Partner und Kunden zu schützen und nicht wider Willen mit dem Gesetz in Konflikt zu geraten.
Zuerst gilt es, zwischen der „Public Cloud“ und einer „Private Cloud“ zu unterscheiden. Erstere umfasst bekannte Anbieter wie Dropbox, Amazon S3 oder Microsoft OneDrive, die ihren Kunden für einen relativ geringen Beitrag, wenn nicht gar gratis, Speicherplatz im Internet anbieten, den man nach Belieben mit anderen Benutzern teilen kann. Natürlich lassen sich diese Angebote theoretisch auch für berufliche Zwecke nutzen, man muss sich nur immer vor Augen halten, dass es sich kaum nachvollziehen lässt, wo sich die Daten tatsächlich befinden. Wenn die Informationen etwa auf einem Server in den USA gespeichert sind, fallen sie auch unter das amerikanische Recht und der Datenschutz wird dort wesentlich lascher gehandhabt als in Deutschland oder Österreich. Deshalb schreiben die Compliance-Richtlinien eines Unternehmens oftmals vor, dass die Daten nur im Inland gespeichert werden dürfen – die Nutzung einer Public Cloud scheidet damit von vornherein aus.
Auch das Löschen von Daten ist in der öffentlichen Cloud oft problematisch: Man weiß nie, ob die Informationen nicht doch noch irgendwo in einem Backup-Rechenzentrum gespeichert sind und dann vielleicht völlig unvermutet wieder ans Tageslicht kommen. Was schon im persönlichen Umfeld mitunter ausgesprochen lästig ist, kann dort, wo das Löschen von Daten gesetzlich vorgeschrieben ist, zu echten Problemen führen.
Als Alternative bietet sich eine Private Cloud an: Das System funktioniert zwar wie eine normale Cloud-Lösung mit geteilten Zugriffen von außen, freier Skalierbarkeit (zu Spitzenzeiten steht automatisch mehr Rechenleistung zur Verfügung als während einer Flaute) und allem Drum und Dran, die dafür notwendige Infrastruktur liegt aber entweder im Unternehmen selbst oder im Rechenzentrum eines vertrauten IT-Partners. Wenn dieser seine eigenen Rechner betreibt, verringert sich die Gefahr, dass vertrauliche Informationen nach außen geraten, enorm, der Eigentümer der Daten hat mehr Kontrolle darüber, was mit ihnen tatsächlich geschieht.
Da eine Private Cloud naturgemäß wesentlich teurer ist als ein bisschen Speicherplatz auf einer Plattform, die sich tausende bis Millionen Nutzer gleichzeitig teilen, stößt man in der Praxis immer öfter auf so genannte Hybrid Clouds: Sensible oder unternehmenskritische Daten werden im Unternehmen selbst oder eben bei einem Partner gespeichert und verarbeitet, während weniger brisante Informationen, die ohne weiteren Schaden auch von unbefugten Personen eingesehen werden können, auf eine mehr oder weniger anonyme öffentliche Plattform ausgelagert werden.
Die gewissenhafte Aufteilung, welche Daten man in der öffentlichen Cloud speichern kann, welche man einem IT-Partner anvertrauen will und welche auf jeden Fall ausschließlich im eigenen Unternehmen zu halten sind, ist deshalb die allererste Sicherheitsüberlegung, die auf dem Weg von der herkömmlichen IT in die Cloud zu berücksichtigen ist.
Auch wenn man einen absolut vertrauenswürdigen Partner gefunden hat, sind die Sicherheitsrisiken jedoch nicht aus der Welt geschafft: Immerhin kann es jedem noch so gut geführten Betrieb passieren, dass er in die Insolvenz schlittert, und wenn nicht für einen vernünftigen Backup-Plan gesorgt ist, kann eine solche Insolvenz das eigene Unternehmen mit in den Untergang reißen. Daher ist es unumgänglich, für so gut wie jedes erdenkliche Szenario ein Alternativkonzept zu erstellen, welches innerhalb kürzester Zeit auch tatsächlich in die Praxis umgesetzt werden kann.
Und selbst bei den Daten, die in einer Private Cloud im Unternehmen selbst gespeichert sind, gilt es, ein entsprechendes Sicherheitskonzept zu entwickeln und umzusetzen. Dabei steckt der Teufel oftmals im Detail: So gehört es zwar quasi schon zum Standard, regelmäßig ein Backup sämtlicher Daten anzulegen, allerdings wird oft darauf vergessen, zu prüfen, ob das Backup auch wirklich erfolgreich war, und ob sich die Informationen im Ernstfall tatsächlich auch eins zu eins wieder zurückspielen lassen.
Ein wirklich kritisches Sicherheitsrisiko liegt aber in den mobilen Endgeräten, denen gerade in der Immobilienbranche eine tragende Rolle zukommt. Auch wenn dank der Cloud-Technologie auf den Smartphones und Tablets selbst keinerlei Unternehmensdaten gespeichert sind, dient das Handy doch quasi als „Fenster“ zum Rechenzentrum und ein ungesichertes Fenster stellt nun einmal geradezu eine Einladung für Gauner dar. Deshalb ist überall dort, wo von unterwegs aus auf heikle Firmendaten zugegriffen wird, professionelles Mobile Device Management (MDM) unabdingbar. Dazu gehört unter anderem ein so genanntes Virtual Private Network, das einen abgesicherten Datentunnel zwischen dem Endgerät und dem Firmenserver beziehungsweise dem Rechenzentrum darstellt. Aber auch die Möglichkeit, ein gestohlenes oder verloren gegangenes Handy aus der Ferne zu deaktivieren und sämtliche Daten zu löschen, ist im Business-Umfeld von immenser Bedeutung. Wie in allen Sicherheitsfragen gilt es auch hier, schon im Vorfeld ein entsprechendes Konzept zu erarbeiten, in dem die individuellen Anforderungen des Unternehmens bis ins kleinste Detail analysiert und definiert werden, um auch wirklich alle Eventualitäten abzudecken. Eine MDM-Lösung kann firmenintern installiert werden, bei Bedarf aber auch in die Cloud ausgelagert werden – die Mobilfunkbetreiber bieten derartige Lösungen relativ preisgünstig an, allerdings hinterlässt es bei so manchem IT-Profi ein etwas flaues Gefühl, ausgerechnet die Cloud-Sicherheit selbst in die Cloud auszulagern.
Bei allen Cloud-Anwendungen, egal, ob Public oder Private, ist eine eindeutige Authentifikation der Benutzer von essentieller Bedeutung. Die klassische Anmeldung mit Benutzername und Passwort reicht im geschäftskritischen Umfeld heute nicht mehr aus, eine Zwei-Faktor-Authentifizierung erhöht die Sicherheit immens. Hierbei werden zumeist die Faktoren Wissen und Besitz kombiniert: Neben den eigentlichen Zugangsdaten werden beispielsweise noch ein Token oder eine Chipkarte benötigt, um tatsächlich auf die Daten zugreifen zu können. Auch biometrische Sicherheitsvorkehrungen wie Fingerabdruck-Sensor, Handvenen-Scanner oder Iris-Erkennung tragen dazu bei, dass Daten und Cloud-Anwendungen vor unbefugten Zugriffen geschützt sind.
[caption id="attachment_6196" align="aligncenter" width="300"]
(c) Fotolia[/caption] Auch wenn das Auslagern von Informationen in externe Rechenzentren immer mit gewissen Risiken verbunden ist, lassen sich allfällige Gefahren mit einem vernünftigen Sicherheitsplan auf ein Mindestmaß reduzieren, so dass, insgesamt betrachtet, die Vorteile, die die Cloud zu bieten hat, überwiegen. Dabei ist die Sicherheit nicht nur eine Frage der Technik: Mindestens genauso wichtig ist es, dass das Sicherheitsdenken auch fest im Bewusstsein der Mitarbeiter verankert ist und dass sich die Security-Maßnahmen konsequent durch alle Geschäftsbereiche und Prozesse ziehen. Frei nach dem Motto „Sicherheit ist Chefsache“ obliegt die Entwicklung einer Cloud-Strategie daher auch nicht allein der IT-Abteilung, sondern muss, um auch wirklich zu funktionieren, mit der Geschäftsführung und dem Betriebsrat gemeinsam erarbeitet werden.
