Datensicherheit als zentrale Herausforderung für Anbieter und Nutzer von Cloud Computing

Eine aktuelle Studie eines unabhängigen Marktforschungsinstituts im Auftrag von PwC zeigt, dass bei Cloud Computing – aufgrund ungelöster Sicherheitsfragen – weiterhin erhebliche Gefahren von Datenschutzpannen bestehen. Zwei von drei Cloud Computing Anbietern sehen daher in Sicherheitsfragen die größten Herausforderungen für die Zukunft. Kritsch gesehen werden v.a. die internationale Verflechtung der Systeme sowie die mangelnde vertragliche Regelung der Datenübernahme und -rückgabe. Auch eine Optimierung des Compliance-Managements und interner Kontrollsysteme wird weiterhin im Fokus der Aufmerksamkeit stehen.

Im Rahmen der PwC Studie zum Thema Cloud Computing wurden 70% der deutschen Anbieter nach den Herausforderungen der Branche sowie den jeweiligen Lösungsstrategien befragt.  „Aufgrund der großen Ähnlichkeit und der engen Verflechtung des deutschen und österreichischen IT-Marktes zeigt die aktuelle PwC Studie Trends auf, welche auch heimische Anbieter und Kunden betreffen“, erklärt Andreas Plamberger, PwC Österreich-Experte für Cloud Computing. Sowohl in Deutschland als auch in Österreich greifen – v.a. aufgrund der Kostenersparnis – immer mehr Unternehmen auf Cloud Computing zurück. Im Rahmen von Cloud Computing werden abstrahierte IT-Infrastrukturen über ein Netzwerk zur Verfügung gestellt. Statt der ausschließlichen Nutzung eigener Systeme, können Unternehmen so Daten auf externe Infrastruktur auslagern. Dies bringt oft Kostenvorteile mit sich, wobei das Risiko ungewollter externer Zugriffe steigt, da Daten innerhalb von Sekundenbruchteilen zwischen Rechenzentren überall auf dem Globus hin und her wandern können.

„Wer sensible Daten oder wichtige IT-Prozesse in die Cloud auslagert, muss in seinem eigenen Interesse die Sicherheitsvorkehrungen der Provider genau kennen und prüfen. Sonst drohen monetäre, wie auch nichtmonetäre Schäden, die die Kostenersparnis, die Cloud Computing zweifellos bietet, bei weitem überschreiten können“, so Markus Ramoser, Cloud-Assurance Experte bei PwC Österreich.

Datensicherheit noch nicht gegeben

Die Sicherheit der Cloud Computing Angebote ist laut Anbietern der entscheidende Faktor für die Kundenzufriedenheit. Deshalb nutzen die Provider dafür unterschiedliche Instrumente: Im Vordergrund steht bei 67% der Anbieter eine detaillierte Risikoanalyse. Die Zertifizierung der eigenen Informationssicherheit oder Security-Penetration-Tests (simulierte Hackerangriffe) zur Identifizierung von Sicherheitslücken sind für 65% bzw. 57% besonders wichtig. Genannt wurden auch die Anpassung der Sicherheitskonzepte des Kunden und Nutzer Audits.

Darüber hinaus ist Compliance – also die Einhaltung von Standards unternehmerischen Handelns – eine weitere zentrale Herausforderung. Zwar geben 84% der Befragten an, ein Compliance-Management-System bereits installiert zu haben, jedoch messen rund zwei Drittel der Anbieter der Implementierung eines internen Kontrollsystems hohe Bedeutung bei. Daraus lässt sich schließen, dass Compliance-Management noch nicht vollständig auf die besonderen Bedingungen von Cloud Computing angepasst ist. IT-Anbieter setzen daher auf die Identifizierung der Compliance-Anforderungen ihrer Kunden, die Beachtung branchenspezifischer Erfordernisse und Compliance-Nachweise durch unabhängige Dritte.

Globalisierung der Daten erhöht Risiko

Nur etwa jeder zweite Cloud Computing-Anbieter nutzt für seine Dienste Server innerhalb der Landesgrenzen – lediglich 30 Prozent speichern die Daten ausschließlich dort. Bei einigen Anbietern kann daher nicht ausgeschlossen werden, dass die Daten das Land verlassen. Der Standort der Server ist jedoch von großer Bedeutung. „Nach EU-Recht dürfen Unternehmen Daten aus dem Europäischen Wirtschaftsraums nur dann nach außen übermitteln, wenn bei den Empfängern ein entsprechendes Datenschutzniveau existiert“, gibt Andreas Plamberger zu bedenken.

Kritischer Moment: Der Weg in die und aus der Cloud

Besonders riskant sind die Übertragung der Daten in die Cloud und deren Rückführung aus der Cloud. In beiden Fällen muss sichergestellt sein, dass bei der Übermittlung keine Daten verändert werden oder verloren gehen. Nach der Kündigung müssen die zeitnahe Rückgabe und eine anschließende vollständige und unwiderrufliche Löschung der Daten in der Cloud gewährleistet sein. Lediglich zwei Drittel der Anbieter geben an, ihre Kunden bei der Datenübernahme in die Cloud zu unterstützen und nur sechs von zehn Anbietern haben vertraglich geregelt, wie und zu welchem Zeitpunkt die Datenrückgabe aus der Cloud erfolgt. „Wenn die Rückgabe der Daten nicht vertraglich geregelt ist, droht neben einer verspäteten Rückführung der Daten auch das Risiko einer anschließenden Datenschutzverletzung“, warnt Markus Ramoser.

„Ein geschlossenes, abgeschottetes Firmen-Netzwerk ist in punkto Sicherheit kaum zu übertreffen. Wer aber geeignete Schutzmaßnahmen ergreift, der kann getrost IT aus der Steckdose nutzen“, kommentiert Andreas Plamberger. „Entscheidend ist dann allerdings, dass der Eigentümer der Daten in der Cloud nicht den Überblick über seine Daten verliert und sich noch immer für seine Daten verantwortlich fühlt.“

Die Studie „Cloud Computing - Navigation in der Wolke“ finden Sie unter www.pwc.de/de/cloud-computing-studie.

Download Pressemitteilung: pdf download (175 KB)