Breakfast Session mit United Security Providers
21.03.2018, 14:42 Uhr
Sicheres Cloud-Computing: Das müssen Unternehmen beachten
Cloud-Computing ist gerade für KMU ein Wagnis. Doch es gibt Massnahmen, um die Gefahren einzudämmen. Welche dies sind verriet FHNW-Professor Hannes Lubich während der Computerworld-Breakfast-Session in Zürich.
«Mit den SLA und AGB wedeln nützt bei einem gröberen Cloud-Ausfall oder beim Bankrott des Cloud-Providers nichts», meint Hannes Lubich von der FHNW.
(Quelle: Luca Diggelmann / NMGZ)
Ist Cloud-Computing sicher? Hannes Lubich, Professor für Informatik an der Hochschule für Technik der Fachhochschule Nordwestschweiz (FHNW) und seit über 30 Jahren im IT-Security-Umfeld unterwegs, beantwortet die Frage klar mit nein, räumt aber im gleichen Atemzug ein, dass dies seine persönliche Meinung sei. «Die ist etwas gefärbt, da ich immer dann gerufen werde, wenn Firmen Probleme haben mit der Cloud».
Die Probleme beginnen laut Lubich, der im Rahmen der Computerworld-Breakfast-Session, die durch United Security Providers ermöglicht wurde, in Zürich sprach, bei der Definition der vom Cloud-Provider zu erbringenden Dienstleistungen. Diese sind meist in Service Level Agreements (SLA) und in den Allgemeinen Geschäftsbedingungen (AGB) definiert. «Haben Sie diese schon je mal ganz durchgelesen und wenn ja, den komplexen Inhalt auch verstanden?» lautet daher die rhetorische Frage des Professors, die er gleich für seine Person verneint. «Das sind typische Write-only-Dokumente, die geschrieben wurden, damit sie da sind und nicht, damit sie gelesen oder gar verstanden werden», meint Lubich und vergleicht SLAs und AGBs mit der Mao-Bibel. «Die wird auch nicht gelesen, sondern nur an Versammlungen geschwenkt.»
Ein Problem sei somit die unterschiedliche Erwartungshaltung zwischen Cloud-Anbieter und -Anwender. Der Provider versuche all zu oft die Einhaltung der SLA in Performance-Messungen zu dokumentieren, um schlussendlich dem Kunden, der wegen eines nicht funktionierenden Services reklamiert, weiss machen zu können, dass er sich im Rahmen der SLA bewege. «Das interessiert mich in diesem Moment als Kunde aber nicht», wirft Lubich ein. «Ich will dann nur, dass die Cloud funktioniert».
Aber auch die Benutzer von Cloud-Diensten begehen laut Lubich oft den Fehler, nach dem Motto «Aus den Augen aus dem Sinn» zu handeln und die Verantwortung über die IT an den Provider zu delegieren. Dies sei schlicht laut Schweizer Obligationenrecht nicht möglich, wendet er ein. Denn die Verantwortung über die Daten bleibe beim Urheber.
Ausgesetzte KMU
Besonders gefährdet in Sachen Cloud-Computing seien KMU, so Lubich. Denn diese verwendeten oft jene Dienste, welche für Privatanwender konzipiert worden seien. Dabei würden oft sehr sensitive Daten in die Cloud transferiert. «Letztens bin ich zu einer mittelgrossen Firma gerufen worden. Die wunderte sich, warum ihr Produkt plötzlich in China für die Hälfe angeboten werde. Kein Wunder, denn die Mitarbeiter hatten heikle Daten zwischen den Abteilungen via Dropbox geteilt», berichtet Lubich. Gerade bei Grossanbietern sieht Lubich daher besonderes Gefahrenpotenzial. Denn auch die Kriminellen wüssten die Skaleneffekte von Diensten wie Dropbox zu nutzen.
Für das KMU endet das Ganze dann meist sehr bitter, wenn nicht ruinös. «Ein KMU hat nur wenige Geschäftsgeheimnisse, aber die sind essentiell», weiss Lubich. Würden die gestohlen, könne nicht auf ein anderes Geschäftsfeld ausgewichen werden, mit fatalen Folgen für das Unternehmen.