Cloud: Interview mit Frank Strecker, T-Systems

Die „Deutsche Cloud“ aus hiesiger Sicht

Frank Strecker verantwortet das Cloud-Geschäft bei T-Systems. IT-MITTELSTAND befragte ihn zu den Möglichkeiten und Einschränkungen einer regional begrenzten Cloud.

Frank Strecker, T-Systems

Frank Strecker verantwortet das Cloud-Geschäft bei T-Systems

ITM: Herr Strecker, was halten Sie von der Idee einer deutschen bzw. europäischen Cloud? Inwieweit wäre eine solche Cloud technologisch umsetzbar?
Frank Strecker:
Die Cloud an sich ist international. Ihr großer Vorteil ist ja gerade, dass sie – die entsprechende Infrastruktur vorausgesetzt – von überall her erreichbar ist. Die entscheidende Frage ist allerdings, wo das Cloud-Rechenzentrum steht und welche Datenschutz-Richtlinien dort gelten. Und da haben wir in Deutschland bekanntermaßen ein sehr hohes Niveau. Auf Wunsch garantieren wir unseren Kunden, dass ihre Daten nur in der „deutschen“ Cloud gespeichert und verarbeitet werden. Über besonders abgeschottete Verbindungen ist sie auch von außerhalb Deutschlands erreichbar.

ITM: Warum muss eine innerdeutsche Mail über einen US-Server geroutet werden?
Strecker:
Die Deutsche Telekom hat ja bereits „das Internet der kurzen Wege“ für mehr Sicherheit vorgeschlagen. Damit wollen wir Internetverkehr, bei dem sich Sender und Empfänger im Schengener Raum befinden, in diesen Grenzen halten. Natürlich wird Internetverkehr auch in Zukunft nach Großbritannien und in die USA fließen müssen. Aber eine Email von Köln nach Berlin muss natürlich nicht den Umweg über New York nehmen. Diese nationale Verkehrsführung gibt es in den USA übrigens schon längst.

ITM: In welchem Rahmen sind und waren US-amerikanische Unternehmen und deren deutschen Töchter im Rahmen des Patriot Act verpflichtet, Daten an die US-Geheimdienste weiterzugeben?
Strecker:
Die Telekom und T-Systems gewähren ausländischen Diensten keinen Zugriff auf Daten sowie Telekommunikations- und Internetverkehre in Deutschland. In den Ländern, in denen wir aktiv sind, halten wir uns selbstverständlich an Recht und Gesetz vor Ort. Aber gestatten Sie mir bitte auch den Hinweis: Die vergangenen Wochen haben deutlich vor Augen geführt, dass wir uns bei der Diskussion um Internetsicherheit nicht auf die Aktivitäten ausländischer Geheimdienste beschränken dürfen. Kriminelle spionieren Zugangsdaten millionenfach aus, und auch in vermeintlich sicheren Anwendungen sind Lücken nicht ausgeschlossen. Internetkriminalität ist real und wird nicht wieder verschwinden.

ITM: Anders gefragt: Inwieweit ist die Gesellschaftsform und der Sitz des Unternehmens heute (!) Garant für die Sicherheit der Daten?
Strecker:
Wie gesagt, wir haben in Deutschland sehr hohe Standards für Datenschutz und Datensicherheit. In den Gesprächen mit unseren Kunden stellen wir fest, dass Sicherheitsfragen inzwischen deutlich wichtiger sind. Unser Argument von der Sicherheit der deutschen Cloud überzeugt. Wir bemerken auch ein gestiegenes Interesse amerikanischer Anbieter, unsere deutschen Rechenzentren zu nutzen. Aber eines ist auch klar: 100-prozentige Sicherheit gibt es in unserem vernetzten Wirtschaftssystem nicht.

ITM: Wie können Mittelständler die Sicherheit Ihrer Daten in der Cloud überhaupt kontrollieren? Was können IT-Chefs tun, um ihre Daten und Anwendungen in der Cloud wirksam zu schützen?
Strecker:
Sie sollten ihrem Cloud-Dienstleister genau auf den Zahn fühlen. Welchen Aufwand betreibt er bezüglich Datenschutz und Datensicherheit? Wie ist die Infrastruktur abgesichert? Bei T-Systems etwa stand von Anfang an bei der Entwicklung unserer Cloud-Angebote die Daten- und Ausfallsicherheit im Fokus: Kundendaten fließen über abgeschottete Leitungen, also VPN-Tunnel im Internet. Daten werden in Zwillingsrechenzentren gespiegelt und synchronisiert. So können Kunden auch beim möglichen Ausfall eines Servers ohne Probleme weiterarbeiten. Wir bieten aber auch eine Lösung namens CipherCloud an. Diese ermöglicht es, Daten zu verschlüsseln, bevor sie in die Cloud übertragen werden. Dort kann man sie verschlüsselt verarbeiten. Entschlüsselt werden die Informationen erst wieder beim Kunden.

ITM: Auf welche technologischen und vertraglichen Voraussetzungen muss der Cloud-Nutzer Wert legen, damit die Cloud einigermaßen sicher wird? Inwieweit können Zertifizierungen helfen?
Strecker:
Zertifizierungen bieten natürlich schon einmal eine Orientierung. Entscheidend ist aber ein Gesamtkonzept. Unsere Kunden profitieren von einem hohen IT-Sicherheitsstandard in unseren zertifizierten Rechenzentren. D.h. wir sorgen für einen höchstmöglichen Sicherheitslevel, da dies zu unserem Kerngeschäft gehört. Natürlich kann das zum Teil auch die eigene IT-Abteilung eines Unternehmens leisten. Aber das bindet signifikante finanzielle und personelle Ressourcen. Bei der T-Systems arbeiten allein 600 Experten speziell an der Sicherheitsarchitektur zum Schutz von Infrastruktur und Kundensystemen. Auch bauen wir unsere Sicherheitssysteme kontinuierlich aus, um neue Formen von Hackerangriffen auf breiterer Ebene zu erkennen und ihnen vorzubeugen.

ITM: Was passiert, wenn eine im Unternehmen installierte Software, z.B. ein ERP-System, mit einer Cloud-Software Daten austauscht?
Strecker:
Cloud ist nicht gleich Cloud, wir unterscheiden vereinfacht gesagt zwischen der über das Internet allgemein zugänglichen Public Cloud und der besonders geschützten Private Cloud. Kunden sollten sich genau überlegen, welche Daten und Systeme sie in welcher Cloud verschieben wollen. Denkbar ist zum Beispiel, dass ein Unternehmen unkritische Stücklisten in der Public Cloud pflegt. Sensible Produktionsdaten aber mit einer ERP-Software aus der hochsicheren Private Cloud bearbeitet.

ITM: Welche Schritte muss ein geschädigtes Unternehmen einleiten, wenn sensible Daten entwendet oder publik gemacht wurden?
Strecker:
Wir haben bei einer Befragung für unseren Security Report im vergangenen Jahr  feststellen müssen, dass nur 13 Prozent aller mittleren und großen Unternehmen in Deutschland noch nicht von Hackern angegriffen wurden. Und gehen Sie mal davon aus, dass diese den Angriff wahrscheinlich nicht bemerkt haben. Die Kunst besteht also darin, einen Angreifer rechtzeitig zu bemerken und ihn, wenn er schon im Firmennetz ist, zu isolieren, damit er nicht noch mehr Schaden anrichtet. Die erkannten Lücken müssen natürlich geschlossen werden. Wir plädieren allerdings auch für Transparenz und Austausch von Unternehmen untereinander. Denn Cybersecurity ist eine Aufgabe, die niemand alleine bewältigen kann. Wenn irgendwo ein Sicherheitsleck aufgetreten ist oder eine Schadsoftware eingeschleust wurde, dann hilft das Wissen darum anderen Unternehmen, sich rechtzeitig zu schützen bzw. das Ausbreiten eines Virus‘ einzudämmen. Wir brauchen dafür aber auch eine andere Kultur im Umgang mit Cyber-Angriffen. Ein Unternehmen darf nicht zweimal geschädigt werden, zum einen durch den Verlust von Daten, zum anderen indem es öffentlich an den Pranger gestellt wird.

ITM: Welche Rahmenbedingungen muss die deutsche und europäische Politik schaffen, damit die Cloud sicherer wird?
Strecker:
Um die Nutzung von Cloud Computing und des Internets insgesamt sicherer zu machen, brauchen wir dringend die europäische Datenschutzverordnung. An diese wären auch Unternehmen aus Übersee gebunden, wenn sie ihre Dienste in der EU anbieten möchten. Das Geschäftsmodell unserer Branche – und vor allem wachsende Tätigkeitsfelder wie Cloud-Dienste – hängen vom Vertrauen der Kunden in die digitale Welt ab. Und dieses Vertrauen hat stark gelitten. Wenn es darum geht, Spionage durch befreundete Staaten einzudämmen, ist vor allem die Politik gefragt. Für uns ist es sehr ärgerlich, dass wir immer noch nicht wissen, im welchem Ausmaß ausländische Geheimdienste deutschen Internet- und Telefonverkehr tatsächlich überwachen. Als Spezialist für sichere Cloud-Dienste und IT-Sicherheit entwickeln wir unsere Systeme aber ständig weiter. In der Telekom-Zentrale haben wir gerade ein intelligentes Cyberabwehr-Zentrum in Betrieb genommen. Damit spüren wir immer professioneller agierende Angreifer und Attacken auf IT-Systeme auf. Ziel ist es, Cyberangriffe deutlich früher zu erkennen, als dies bisher möglich war. Wir nutzen das nicht nur für den Schutz unserer Systeme. Die Erkenntnisse fließen auch ein in die Sicherheitsdienste für unsere Kunden.

©2020Alle Rechte bei MEDIENHAUS Verlag GmbH

Unsere Website verwendet Cookies, um Ihnen den bestmöglichen Service zu bieten. Durch die weitere Nutzung der Seite stimmen Sie der Verwendung zu. Weitere Infos finden Sie in unserer Datenschutzerklärung.

ok