Montag, 30. Januar 2023

Archiv


Aus allen Wolken gefallen

Internet.- Immer wieder warnen Datenschützer Firmen davor, wichtige Unternehmensdaten auf externe Server im Internet auszulagern – zu unsicher und zu intransparent sei das Verfahren. Der Branchenverband Eurocloud versucht sich nun an einer Ehrenrettung des Cloud-Computings.

Von Sven Töniges | 26.05.2012

    "Da gibt es das schöne Beispiel, Sie fahren mit dem Auto und nehmen ein Risiko in Kauf, einen Unfall haben zu können, bei jeder Fahrt, die Sie antreten. Sie tanken aber kein E10, weil davon ja Ihr Motor kaputt gehen könnte. Also mit dem einen Risiko wissen Sie umzugehen, bei dem anderen haben Sie Bedenken, und da halten Sie sich zurück."

    Bernd Becker hat sich im Laufe des letzten Jahres eine Menge mit Fragen der Risiko-Kommunikation beschäftigt. Als Deutschland-Chef des Cloud-Computing-Branchenverbands Eurocloud vertritt er zwar einen Wirtschaftszweig, der in den vergangenen zwei Jahren einen großen Hype erfahren hat. Doch zugleich hat die Cloud-Branche ein handfestes Image-Problem: Die Wolke, also die Auslagerung von Rechen- und Speicherleistungen in externe Rechenzentren-Netzwerke, diese Technologie wird – insbesondere in Deutschland – weiterhin als Hochrisikotechnik wahrgenommen.

    Die Sorge um die Sicherheit der eigenen Daten in der Wolke treibt vor allem diejenigen um, von denen sich die Branche viel verspricht: Unternehmen jeglicher Größe, so die inzwischen etwas abgeflaute Hoffnung, sollen bald ganze Geschäftsbereiche in die Cloud auslagern. Doch gerade hier sind die Bedenken groß in Sachen Rechtssicherheit und Datenschutz.

    Fast scheint es, als gehe die Branche bereits behutsam auf Distanz zum 'Cloud'-Begriff. Für Bernd Becker geht es auch ohne das Wort, das seinem Branchenverband Eurocloud immerhin den Namen gibt:

    "Die Cloud ist eigentlich nur der Wegbereiter für das, was danach kommt. Ich möchte wetten, dass wir in ein paar Jahren auch gar nicht mehr über das Wort Cloud sprechen. Man nutzt einen Service aus dem Netz, das isses' dann halt."

    Doch ob es allein um eine Frage der Bezeichnung geht, ist fraglich. Die Branche hat offenbar ein grundsätzlicheres Vermittlungsproblem. Georg Rainer Hofmann ist Professor für Datenverarbeitung an der Hochschule Aschaffenburg. Er forscht über die Akzeptanz – beziehungsweise Nicht-Akzeptanz – von technischen Systemen. Nun hat er das Cloud-Computing in den Blick genommen:

    "In unserer Studie schauen wir schlicht und ergreifend, was sind vertrauensbildende Maßnahmen in anderen Branchen? Kunden vertrauen einem technischen System Pkw. Dieser Pkw wird vom Kunden technisch beileibe nicht durchschaut, dass heißt, der Kunde bedient ein technisches System, für das er eigentlich nicht die notwendige Kompetenz besitzt. Was er hier macht: Er transferiert Vertrauen, er transferiert Haftung auf den Pkw-Hersteller; oder im Bankenbereich: Die technischen Features zum Beispiel von einem Geldausgabeautomat – vierstellige PIN-Code... - sind technisch lächerlich, trotzdem vertraut der Kunde."

    Ganz im Gegensatz zu vielen potenziellen Cloud-Kunden vor allem im Mittelstand. Hier, so Hofmann, wurde die Kundenpsychologie bislang falsch eingeschätzt. Zu sehr habe die Branche den Kunden mit technischen Finessen zu beeindrucken versucht. Davon verstehe der landläufige Mittelständler aber nichts – ihn interessiere allein ein klarer Verantwortungstransfer.

    Doch vielleicht sind es am Ende dann doch weniger verkaufspsychologische Kniffe als technische Lösungen, die zur Vertrauensbildung beitragen. Beim neuen Cloud-Kompetenzzentrum des Fraunhofer-Instituts AISEC in Garching will man mit einem "Cloud-Leitstand" für mehr Transparenz sorgen, erklärt Projektleiter Niels Fallenbeck:

    "Im einfachsten Fall kann ich mir das vorstellen, wie eine einfache Webseite, wo man sich einloggt bei seinem Cloud-Provider, und dann sieht man so diverse Metriken, wie viel Systeme habe ich eigentlich gerade, wo liegen diese Systeme, auf einer Weltkarte, wie viel freie Kapazitäten habe ich noch, wer hat in den letzten Stunden von wo auf meine Daten zugegriffen; wie ein Dashboard, so nennen wir das."

    Schon seit Jahren bemüht sich die Cloud-Branche um allerlei Zertifizierungen. Mit dem Cloud-Leitstand, so die Idee beim Fraunhofer-Institut AISEC, ließe sich solches Monitoring gleichsam auf Dauer stellen:

    "So ein fortlaufendes Monitoring kann natürlich Grundlage sein, wo der Provider seinen Kunden sagen kann, vielleicht nicht minutenaktuell, aber: 'Gestern war ich noch compliant zu diesem Standard'. Das ist wieder vertrauensbildend. Also es reicht nicht mehr, wenn der Wirtschaftsprüfer kommt, und alle zwei Jahre sagt, 'jawohl, du hältst den und den Standard ein'. Sondern das muss jetzt sozusagen im laufenden Betrieb für den Kunden erkennbar sein, ob der Cloud-Provider einfach sicher mit den Sachen umgeht."

    Sicher umgehen mit Daten – vor allem Passwörtern, das muss aber eben auch der "Layer Acht", das Individuum am Rechner also. Vor gut zwei Wochen wurde ruchbar, dass mittels Phishing-E-Mails reihenweise die Zugangsdaten von Kunden des beliebten Cloud-Dienstes Dropbox abgefangen wurden. Für den IT-Sicherheitsberater und Anti-Botnet-Experten Thorsten Kraft ein frappanter Vorfall, aber kein Grund, ins Horn der Cloud-Bedenkenträger zu blasen:

    "Cloud ist genauso sicher wie alles andere auch, es ist – zumindest aus Phishing-Sicht - nicht besser, es hat das gleiche Sicherheitsniveau, es ist aber auch nicht unsicherer. Aber es ist definitiv sicherer, Sachen in der Cloud abzulegen, als seine Daten auf einem Rechner abzulegen, den man zu Hause selber betreut, und man kennt sich selber damit nicht aus."

    Zum Themenportal "Risiko Internet"