Drei Fragen an...

Cloud Computing mit sicherer IT-Infrastruktur

Wir befragten Khaled Chaar, Vizepräsident Multi-Cloud bei Cancom, und Yuriy Yuzifovich, Head of Security Innovation Labs bei Alibaba Cloud, zum Hype-Thema Cloud Computing.

  • Server auf Cloud (Wolke)

    Die Datensicherheit in der Cloud ist ein wichtiges Thema für innovative Mittelständler.

  • Yuriy Yuzifovich, Head of Security Innovation Labs bei Alibaba Cloud

    Yuriy Yuzifovich: „Zertifikate belegen, worauf es ankommt: verlässliche und qualitativ hochwertige interne Strukturen sowie eine Mentalität der ständigen Verbesserung.“

  • Khaled Chaar, Vizepräsident Multi-Cloud bei Cancom

    Khaled Chaar: „Wem es nicht gelingt, mit seinem Anbieter die gewünschten vertraglichen Vereinbarungen zu treffen, sollte seinen Cloud-Anbieter wechseln!“

Cloud Computing ist zwar ein Hype-Thema in der IT-Branche, wird aber im deutschen Mittelstand immer noch sehr skeptisch gesehen. Ein Grund für diese Skepsis sind unbeantwortete Fragen nach der Datensicherheit, denn gerade innovative Mittelständler würden sich höchst ungern ihre Betriebsgeheimnisse über die Cloud abluchsen lassen. Beantwortet haben unsere Fragen zwei ausgewiesene Experten für sicheres Cloud Computing. Die Antworten sollen bei der Gestaltung einer sicheren IT-Infrastruktur helfen.

ITM: Bei Cloud-Providern aus dem Ausland stellen sich fast automatisch Fragen nach Datensicherheit und Daten-hoheit. Wie berechtigt sind die Bedenken von Mittelständlern?
Khaled Chaar:
Prinzipiell muss man bei den Begriffen „Datensicherheit“ und „Datenhoheit“ differenzieren. Bei Datensicherheit sprechen wir über das Thema „Security“, bei Datenhoheit geht es um „Privacy“. Die Datensicherheit ist gerade bei den großen Cloud-Providern auf einem extrem hohen Niveau. Und sie tun gut daran: Sollte es hier zu einem Zwischenfall kommen und das Vertrauen der Kunden schwinden, wäre der Schaden enorm. Bei der Datenhoheit bedarf es immer einer individuellen Betrachtung der jeweiligen Workloads – auch in Bezug auf alle beteiligten Partner.

Grundsätzlich geht es bei dieser Frage aber auch um die individuelle Vertragsgestaltung: Wem es nicht gelingt, mit seinem Anbieter die gewünschten vertraglichen Vereinbarungen zu treffen – wenn es z.B. um den Betrieb der Anwendung an einem bestimmten Ort geht –, sollte seinen Cloud-Anbieter wechseln. Von uns als Multi-Cloud-Provider erhalten Unternehmen eine Vielzahl an Cloud-Services unterschiedlichster Provider. Die Bandbreite reicht von Hyperscalern bis zu spezialisierten mittelständischen Anbietern aus der Schweiz, Deutschland oder anderen EU-Staaten. Hinzu kommt unsere eigene Hosted-Private-Cloud aus unseren deutschen Cloud-Rechenzentren. Unter dem Strich gilt: Jeder Kunde sollte die Angebote kritisch vergleichen und dann jenes wählen, das die gestellten Anforderungen am besten abdeckt.

Yuriy Yuzifovich: Datenschutz und -sicherheit haben für Alibaba Cloud überall dort, wo wir tätig sind, oberste Priorität. Wir verpflichten uns zur Einhaltung lokaler Vorschriften und Industriestandards. Auch unser gesamtes „Ökosystem“ baut auf diesem Vertrauen auf. Der Schutz der Privatsphäre unserer Kunden und Verbraucher ist uns dabei besonders wichtig.

Unsere Vorgehensweise „Privacy by Design“ fördert die Privatsphäre und den Datenschutz bereits von Anfang an. All unsere Produkte werden vor der Veröffentlichung einer Sicherheitsüberprüfung und einer Datenschutzbewertung unterzogen, um sicherzustellen, dass Sicherheits- und Datenschutzaspekte in das Produkt integriert sind. Hinzu kommt, dass wir alle relevanten Sicherheitszertifikate erworben haben und auch regelmäßig auditiert werden. So waren wir beispielsweise der weltweit erste Cloud-Service-Provider, der das C5-Testat des BSI mit erweiterten Anforderungen erhalten hat.

Natürlich gibt es theoretisch Alternativen für Mittelständler – aber eigene Rechenzentren sind eben extrem kostenintensiv und damit gerade für kleine und mittelständische Unternehmen nicht abbildbar. Darüber hinaus hat die Cloud den klaren Vorteil der einfachen Skalierbarkeit – sie wächst mit dem Unternehmen.

ITM: Alle Mittelständler in Deutschland müssen bei der Verarbeitung personenbezogener Daten die Datenschutz-Grundverordnung beachten. Wie kann ein Cloud-Provider dabei helfen, dass der Mittelständler DSGVO-konform bleibt?
Yuzifovich:
Clouds mit Leidenschaft für Datenschutz und Sicherheit sind für mittelständische Unternehmen unerlässlich, denn sie können so von vielen Premiumsicherheitsfunktionen profitieren, die ihr Cloud-Anbieter bereitstellt, wie z.B. DDoS- und WAF-Schutz für Websites.

Bei Alibaba Cloud bieten wir z.B. einen kostenlosen grundlegenden DDoS-Schutz, der besonders für alle kleinen und mittleren Unternehmen nützlich ist. Und eine Datenschutzverletzung, wie teuer sie für ein Großunternehmen auch sein mag, kann für ein mittelständisches Unternehmen fatal sein, wenn der Schaden die finanziellen Ressourcen des Unternehmens übersteigt.

Wir richten uns strikt nach der DSGVO und können alle Mittelständler entsprechend unterstützen. Personenbezogene Kundendaten werden nur für die von den Kunden vereinbarten Zwecke verwendet. An dieser Stelle ergreifen wir verschiedene technische Maßnahmen, um sicherzustellen, dass die personenbezogenen Daten der Kunden jederzeit gut geschützt sind. Ein Beispiel hierfür ist unsere eigene Datenschutzplattform, um Daten systematisch zu verwalten und zu pflegen.

Chaar: Die DSGVO-Problematik kann nicht von einzelnen Cloud-Providern gelöst werden. Vielmehr ist in jedem Unternehmen das Management dafür verantwortlich, eine sachgerechte, individuelle Lösung vor dem Hintergrund des eigenen Business-Szenarios und der jeweiligen Workloads zu finden. Im Mittelpunkt stehen dabei die Prozesse, die von dem Unternehmen im Hinblick auf die datenschutzrechtlichen Anforderungen angepasst bzw. sogar erst implementiert werden müssen.

Bei der Unterstützung der Geschäftsprozesse kommt natürlich die Technik ins Spiel. Welche Cloud-Services im Einzelnen bei der Umsetzung der DSGVO-Anforderungen genutzt werden, liegt in den Händen der Entscheider des Unternehmens. Cancom unterstützt hier – angefangen bei der Bestandsaufnahme bis hin zur Ausgestaltung und Umsetzung von Cloud-Sicherheits-Konzepten. Wichtig ist, als Unternehmen möglichst viele Optionen zur Verfügung zu haben. Genau das bietet unser Multi-Cloud-Ansatz: Zur Auswahl stehen sowohl Angebote der Hyperscaler – auch mit vertraglich vereinbarter Nutzung eines deutschen RZ – als auch die Hosted- Private-Cloud aus unseren deutschen Rechenzentren.

ITM: Auf welche Sicherheitsaspekte sollte der IT-Chef bei der Auswahl des Cloud-Providers besonders achten, damit seine Daten auf keinen Fall, sei es aus Versehen oder durch technisches Versagen, wie z.B. jüngst bei Salesforce geschehen, anderen Kunden des Providers zugänglich werden?
Chaar:
Bei diesem Thema ist es wichtig, das jeweilige Daten- und Sicherheitsmodell zu verstehen und sich dessen bewusst zu sein. Abhängig von den Schutzbedarfen und Anforderungen können ggf. unterschiedliche Cloud-Architekturen notwendig sein.

Daher sollte jedes Unterneh-men grundsätzlich genau analysieren, welche Datenschutzanforderungen in einem bestimmten Szenario einzuhalten sind, und auf dieser Basis den am besten passenden Cloud-Service auswählen. Dabei sollte genau abgewogen werden, ob es aus Sicht des Unternehmens relevant ist, wo der Betrieb der Software erfolgt und wie die Vertragsgestaltung auszusehen hat.

Native Multi-Tenant-SaaS-Lösungen bieten beispielsweise völlig andere Bedrohungs- und Risikoprofile als z.B. Private-Cloud-Umgebungen. Unterschiedliche Cloud-Architekturen haben ihre ureigenen Vor- und Nachteile – das Ganze zu pauschalisieren, macht in der Regel keinen Sinn. Wir sind in der Lage, die Schutzbedarfe unserer Kunden differenziert zu betrachten und darauf aufbauend eine optimale Auswahl der Cloud-Lösungen zu treffen.

Yuzifovich: Sicherheitszertifikate geben den IT-Verantwortlichen auf jeden Fall eine verlässliche Entscheidungsgrundlage, dass ein Cloud-Provider seine Services wirklich sicher anbietet und mit der notwendigen Sensibilität im Rahmen der lokalen Vorschriften mit Daten umgeht. In Deutschland ist gerade die C5-Zertifizierung durch das BSI ein wichtiger Indikator. Außerdem sollte darauf geachtet werden, dass beispielsweise entsprechende technische Komponenten wie Authentifizierungs- sowie Autorisierungsprotokolle und ein zuverlässiges Zugangsmanagement vom Cloud-Anbieter bereitgestellt werden. So kann ausgeschlossen werden, dass die Daten durch einen technischen Fehler für nicht autorisierte Personen zugänglich werden.

Zertifikate allein reichen natürlich nicht aus, denn sie können ja selbst nicht aktiv für Schutz sorgen. Sie belegen jedoch sicherlich, worauf es ankommt: verlässliche und qualitativ hochwertige interne Strukturen sowie eine Mentalität der ständigen Verbesserung. Entscheidend und an erster Stelle steht immer die Leidenschaft, die Kunden und ihre Daten zu schützen. 

Bildquelle: Getty Images / iStock / Alibaba Cloud / Cancom

©2020Alle Rechte bei MEDIENHAUS Verlag GmbH

Unsere Website verwendet Cookies, um Ihnen den bestmöglichen Service zu bieten. Durch die weitere Nutzung der Seite stimmen Sie der Verwendung zu. Weitere Infos finden Sie in unserer Datenschutzerklärung.

ok