Sind unsere Kundendaten wirklich sicher?

Markus Schaffrin ist Mitglied der Geschäftsleitung im eco – Verband der Internetwirtschaft – und dort verantwortlich für IT-Sicherheit. Er hat mit mehreren erfolgreichen Projekten zur IT-Security den eco als feste Größe auf diesem Themengebiet platziert. Seine Kompetenz wird auch in den Ministerien geschätzt, Schaffrin ist Mitglied im Steuerkreis der Initiative des Bundeswirtschaftsministeriums „IT-Sicherheit in der Wirtschaft“ und in verschiedenen anderen Gremien tätig. Im Gespräch erklärt er, welche Sicherheitsaspekte bei der Cloud-Nutzung besonders relevant sind.

• Cloud-Angebote skalieren häufig besser als eigene IT-Infrastruktur, dafür müssen Datenschutz, Verfügbarkeit und Datenintegrität stärker berücksichtigt werden.
• Wer Daten in die Cloud legt, muss die Aufgabenverteilung klären: Was übernimmt der Anbieter, was wird selbst geleistet.
• Schon vor dem Abschluss eines Vertrages sollte über dessen Beendigung nachgedacht werden: Wie bekommt man Daten von einem Cloud-Anbieter zum anderen.

 

Herr Schaffrin, wie sind Sie zum eco gekommen und wie sehen Ihre Aufgaben aus?

Ich habe bereits in meiner Diplomarbeit elektronische Zahlungssysteme für den E-Commerce untersucht, ein klassisches Thema im Verband – eco stand ja ursprünglich für „electronic commerce“. Es folgten gemeinsame Projekte mit Harald Summa, Hauptgeschäftsführer des eco, woraus schließlich meine Tätigkeit im Verband wurde. Das ist bald 20 Jahre her, heute bin ich Mitglied der Geschäftsleitung und verantwortlich für den Geschäftsbereich Mitglieder Services, habe also mein Ohr dicht an unseren Mitgliedern. Daneben habe ich diverse Sicherheitsprojekte betreut, unter anderem botfrei.de, ein Anti-Botnet-Beratungszentrum und die Initiative-S. Security ist für uns eine Querschnittstechnologie.

 

IT-Leiter werden oft gefragt: „Sind unsere Kundendaten wirklich sicher?“ Insbesondere, wenn das Unternehmen Daten in der Cloud liegen hat. Was antworten Sie denen?

Es kommt darauf an, wo die Daten liegen und was das Kerngeschäft des Unternehmens ist. Ein Server unterm Tisch ist genauso ein Sicherheitsproblem, wie ein unsicherer Cloud-Anbieter. Die Frage kann man nicht so allgemein beantworten.

 

Sind Cloud-Lösungen sinnvolle Alternativen zur eigenen Infrastruktur, wenn es um Sicherheit geht?

Technisch gesehen hat man den Vorteil, dass Cloud-Infrastrukturen besser skalieren, also einfacher mitwachsen. Professionelle Anbieter können dabei gut auf individuelle Bedürfnisse ihrer Kunden eingehen. Entscheidend ist jedoch, was in Verträgen und Vereinbarungen festgehalten ist. Dort muss unter anderem die Verfügbarkeit geregelt werden. Die muss zur Anwendung passen, dazu muss man ins Detail gehen. Die Integrität der Daten ist ein weiterer Punkt. Kann ich sehen, ob Daten verändert wurden, also wer darauf zugegriffen hat? Denn Angreifer verhalten sich nach einem Einbruch oft sehr ruhig, sind jedoch über Monate auf den Servern aktiv. Man braucht Möglichkeiten das zu erkennen. Die Kontrolle muss gesichert sein, denn man will auf keinen Fall über seine IT die Kontrolle verlieren. Es ist also nicht so, dass ein Unternehmen sich über Sicherheit keine Gedanken mehr machen muss, nur weil die Daten in der Cloud liegen. Auch dort müssen die Sicherheitsvorkehrungen ständig an die Veränderungen der Bedrohungslage angepasst werden.

 

Auf welche Sicherheitsaspekte sollten Unternehmen achten, wenn sie Cloud-Angebote vergleichen?

Ein erster großer Unterschied besteht im Herkunftsland des Anbieters: Zum Beispiel unterscheiden sich US-Anbieter von deutschen beziehungsweise europäischen in Bezug auf Datenschutz oder geltendes Recht. Wichtig ist auch, wo das Rechenzentrum angesiedelt ist und ob es auditiert und zertifiziert wurde. Interessenten sollten sich aufzeigen lassen, welche Sicherheitsvorkehrungen vor Ort getroffen wurden. Man darf nicht nur auf den Preis schauen, man muss auch auf das Kleingedruckte achten. Im Schadensfall sagen nämlich viele: Ich dachte, darum kümmert sich mein Provider. Sie haben nicht genau auf die Unterschiede der verschiedenen Angebote geachtet, wussten eventuell nicht, dass sie für den Malware-Schutz selbst verantwortlich sind.

 

Welche weiteren Auswahlkriterien sollten beachtet werden?

Die Verschlüsselung der gespeicherten Daten wäre ein solches Kriterium. Auch, ob sie verschlüsselt übertragen werden. Es sollte auch geklärt werden, wie mit Sicherheitsproblemen umgegangen wird und welche Reaktions- beziehungsweise Benachrichtigungszeiten vereinbart werden können. Der Anbieter muss zum Projekt und zum Unternehmen passen, denn es geht meistens um eine längerfristige Zusammenarbeit. Dann kann die Sicherheit mit wachsenden Anwendungen mithalten. Auch wichtig: Wie sieht ein Exit aus, wenn ich den Anbieter wechseln will. Wenn man dann erst fragt, wie die Daten transferiert werden können, wird es eventuell aufwendig und teuer.

 

Wer denkt bei einem längerfristigen Projekt schon zu Vertragsbeginn an das Ende des Vertrages?

Eben! Aber ein Anbieterwechsel ist gar nicht unwahrscheinlich. Beispielsweise, wenn alle paar Jahre neu ausgeschrieben werden muss, wie es bei großen Unternehmen oder öffentlichen Einrichtungen der Fall ist.
Plötzlich ist ein anderer Anbieter günstiger und dann steht ein Wechsel an, obwohl der vielleicht gar nicht beabsichtigt war. Oder ein technisch wesentlich besseres Angebot kommt auf den Markt. Manchmal finden Anbieterwechsel häufiger statt, als gedacht.

 

Solche Probleme der großen Unternehmen haben kleinere und mittlere Betriebe eher nicht, aber mit welchen Problemen sehen sich KMUs konfrontiert?

Ein KMU hat gewöhnlich nicht viel IT-Personal und -Know-how. Sie müssen stark auf Kosten achten und gehen meistens aus Kostengründen in die Cloud. Zum Beispiel betreiben sie keinen eigenen Mailserver und auch die Website hostet ein externer Anbieter. In KMUs müssen also erst mal Basisthemen bearbeitet werden, sie brauchen einfache Umsetzungen. Aber auch hier müssen obige Fragen geklärt werden. Etwa welche Leistungen selbst zu erbringen sind und worum kümmert sich mein Cloud-Anbieter. Wer macht ein Backup? Wo liegt das? Wie komme ich daran? Es sind oft Mischlösungen möglich. Manche machen ihr Backup lieber selbst, dann liegen die Daten auf einem eigenen NAS, aber auch dort müssen die Daten geschützt werden. Oder es kommt ein zweistufiges Verfahren zum Einsatz, bei dem die Daten zusätzlich in die Cloud gespiegelt werden. Dieses Know-how ist dort allerdings meistens gar nicht vorhanden.
Wir sollten auch Handwerker nicht vergessen, die brauchen viel Support. Auch sie haben eine Webseite, aber Sicherheitskenntnisse fehlen häufig. Der eco hat dafür SIWECOS im Angebot, damit kann man online die Sicherheit der eigenen Webseite überprüfen und erhält hinterer einen Bericht mit vielen Erklärungen, damit Anwender wissen, wie sie eventuelle Probleme beheben können. Damit könnte ein Handwerker anschließend zu seinem Dienstleister gehen.
Das Projekt botfrei.de, das der eco Verband initiiert hat und das nun unser Mitglied eyeo weiterführt, bietet weitere Sicherheitstipps und -Tools, die gerade für kleine und mittelständische Unternehmen sehr hilfreich sein können. Dort kann beispielsweise ein Router-Check durchgeführt werden oder man schaut nach, ob das eigene Passwort geklaut wurde. Wenn ein System bereits infiziert wurde, erfährt man auch, wie man einen Virus wieder entfernen kann. Solche Überprüfungen sollten regelmäßig durchgeführt werden, denn Cybersecurity ist ein Katz und Maus Spiel – das Wettrüsten geht immer weiter.

 

Autor: Uwe Sievers