Auf einen Blick:
- Sichere Cloudlösungen sind möglich, aber nicht selbstverständlich.
- Den Unterschied zwischen sicheren und weniger sicheren Anbietern, macht der Stellenwert aus, den die IT-Sicherheit beim jeweiligen Dienstleister einnimmt.
- Sichere Anbieter erkennen: Gute Indikatoren für sichere Anbieter sind das IT-Grundschutzzertifikat und die Zertifizierung nach ISO 27001
Nicht nur die Branchensoftware von Handwerkern eignet sich als Ziel von Erpressern und Verschlüsselungstrojanern. Das hat die Ransomware Wannacry im Mai eindrücklich gezeigt: Erfolgreich hat sie die Dienste auch sehr großer Unternehmen angegriffen, etwa der Deutschen Bahn und des Automobilherstellers Renault.
Wenn Viren derartige Erfolge feiern, kann es dann überhaupt sichere Clouddienste geben? Ja, meint Sebastian Kurowski vom Fraunhofer Institut für Arbeitswirtschaft und Organisation (IAO). Unternehmen könnten selbst prüfen, wie ernst ihr gewünschter Softwareanbieter das Thema Sicherheit nimmt. Wie das geht erklärt er hier im Interview.
Gibt es noch sichere Clouddienste?
Sebastian Kurowski: Natürlich, aber das hängt davon ab, welchen Stellenwert IT-Sicherheit beim jeweiligen Anbieter hat. Wir haben beobachtet, dass Entscheidungen, die die IT-Sicherheit betreffen, von vielen Anbietern unsystematisch und ad hoc getroffen werden. Im Fall von Wannacry wurden die Sicherheitslücken in unterstützten Systemen bereits im März geschlossen. Zwar lassen sich unglückliche Zufälle in der IT-Sicherheit nie ganz ausschließen, aber: Eine systematische Betrachtung könnte solche Bedrohungen in vielen Fällen vorab sichtbar machen. Die wird jedoch häufig nicht oder nur unzureichend vorgenommen.
Wie entstehen Lücken bei der IT-Sicherheit?
Kurowski: Das Problem bei der IT-Sicherheit ist oft, dass die Anbieter keine strukturierten Prozesse haben. In einer komplexen IT-Infrastruktur – mit mehreren Servern, vielen angeschlossenen Computern, externen Schnittstellen, Zulieferern und Nutzern – erkennen sie oft nicht schnell genug, ob sie von einer Sicherheitslücke betroffen sind, wenn dieses System nicht systematisch betrachtet wird. Das erhöht natürlich das Risiko eines erfolgreichen Angriffs.
Wie erkenne ich, ob ein Anbieter hohe Sicherheitsstandards hat?
Kurowski: Der Anbieter kann Ihnen ein Qualitätssignal seiner IT-Sicherheit liefern. Das kann einmal die Zertifizierung nach ISO 27001 sein. Sie bestätigt das Vorhandensein eines Informationssicherheits-Managementsystems im Unternehmen. Ein alternativer Nachweis kann auch das IT-Grundschutzzertifikat des Bundesamts für Sicherheit in der Informationstechnik sein. Beide zeigen jedoch nur das Vorhandensein der IT-Sicherheitsprozesse, nicht jedoch deren tatsächliche Durchführung an.
Habe ich noch andere Möglichkeiten, sichere Anbieter zu finden?
Kurowski: Fragen Sie gezielt nach. Was investiert der Anbieter in IT-Sicherheit? Gibt es Backups – und wo werden die aufbewahrt? Wie viele Personen beschäftigen sich mit der IT-Sicherheit? Hat der Anbieter dann nur einen IT-Sicherheitsbeauftragten, der gleichzeitig noch für Kundensupport, IT-Administration verantwortlich ist, ist der Stellenwert der IT-Sicherheit sicher nicht groß genug.
Auch interessant: [embed]http://handwerk.com/handwerkerdaten-verschluesselt-angriff-auf-die-cloud[/embed]