Welche Sicherheit?

Kovu

Stammgast
Mich erstaunt immer wieder wie stark die Vorteile der Cloud beleuchtet, die massiven Nachteile aber ignoriert werden.

Es wird immer betont wie viel Sicherheit die Cloud dem Anwender bringt... begründet wird das dann immer mit ausgeklügelten Backup-Diensten. Schön und gut, das gibt mir in der Cloud die Sicherheit, dass meine Daten erhalten bleiben. Aber wer gibt mir die Sicherheit, dass nie ein Hacker in den Server (auf dem all meine Daten zentralisiert liegen) einbricht und meine sensiblen Daten klaut? Der Schutz meiner Daten ist für mich Sicherheitsrelevanter als Backups es je sein könnten, und keine Firma auf der Welt kann mir garantieren, dass bei ihnen nicht eingebrochen wird. Ausserdem... worin besteht die Schwierigkeit die eigenen Daten zu sichern? Wir in unserem Betrieb sichern unsere Daten seit bald 30 Jahren von Hand, und es ist uns nie ein bedeutender Verlust unterlaufen. Das Argument der Sicherheit ist für mich völlig entkräftet, denn der beste Schutz der Daten ist immer noch nicht physisch mit dem Internet verbunden zu sein. Bestenfalls unterstützt es die Faulheit des Anwenders, seine Daten nicht sichern zu müssen.

Ein weiteres, riesiges Problem der Cloud ist... was geschieht wenn der Internet Provider oder das Cloud Netzwerk selber lahm liegt (wir erinnern uns an den mehrwöchig ausgefallenen Netzwerkdienst von Sony dieses jahr)? Arbeiten wir dann... ganz einfach nicht mehr? Wer trägt die wirtschaftlichen Ausfälle in einem solchen Fall? Solche Vorkommnisse werden ganz speziell KMUs in den ruin treiben, es wird Ausfall-Kosten verursachen die weitaus teurer zu stehen kommen als die Anschaffung von Hardware und Software, speziell wenn man bisher noch selber Programme geschrieben hat oder OpenSource-Lösungen einsetzt.

Zugegeben, die Cloud mag verlockend erscheinen, aber sie birgt massive Risiken in sich. Für uns ist und bleibt die Cloud tabu.
 
Zuletzt bearbeitet:

Claudia Schwyter

Neues Mitglied
Aus meiner Sicht geht es darum, sachlich die Vor- und Nachteile der Cloud anzuschauen. Es ist ein neues Modell, das je nach Situation meinen Bedürfnissen mehr oder weniger entspricht.

Stichwort Sicherheit: Gibt es in unserer Welt überhaupt eine 100%-ige Sicherheit? Ich glaube, ein kleines Restrisiko haben wir in fast jedem Lebensbereich, egal ob es um Einbrecher, Hacker oder Unfälle geht. Und dieses Restrisiko haben wir mit und ohne Cloud.

Stichwort Netz: Die Abhängigkeit vom Netz ist in vielen Betrieben gross. Ich meine, diese Abhängigkeit besteht ebenfalls mit oder ohne Cloud. Oder nicht?
 

Kovu

Stammgast
Für uns besteht absolut keine Abhängigkeit vom Internet. Internet mag ein nützliches Werkzeug sein, ist aber nicht notwendig. Wenn unser Provider den Geist aufgibt bleibt unsere EDV zu 100% Einsatzfähig. Das funktioniert aber nur solange, wie wir eigene Hardware und Software betreiben können. Die Cloud birgt da meiner Meinung nach ein viel zu hohes Risiko, und ihre Andwender gehen viel zu leichtfertig mit diesem Risiko um.
 

Masche

Stammgast
Ich kann eigentlich Kovu nur zustimmen. Die Argumentation von Claudia scheint mir reichlich blauäugig. Mit der gleichen Argumentation könnte man auch von Antivirenprogrammen abraten, denn auch mit solchen Programmen besteht ein Restrisiko. Zu Recht wird von Diensten wie Facebook gewarnt, dort sensible Daten zu hinterlegen, weil jederzeit die Nutzungsbedingungen geändert werden können. Mit Clouds macht man sich aber unter Umständen völlig abhängig von so einem Dienst. Wer garantiert in der heutigen Zeit, dass ein scheinbar seriöser Dienst nicht plötzlich von einer dubiosen Organisation übernommen wird, die viel Geld aber weniger Skrupel hat? Bis man dies merkt, ist es vielleicht schon zu spät und alle sensiblen Geschäftsdaten sind schon in fremden Händen.
 
Zuletzt bearbeitet:

Vanessa Kammermann

Microsoft Schweiz GmbH
Mit Clouds macht man sich aber unter Umständen völlig abhängig von so einem Dienst.

Genau deshalb ist es wichtig, einen grossen Cloud-Provider zu wählen, der völlig transparent arbeitet, dessen Verträge und Technologien auf Standards basieren, die eine volle Datenkontrolle ermöglichen und auch den Provider-Wechsel erleichtern.

Drum prüfe, wer sich bindet: Ein Evaluationsverfahren gibt Auskunft über die entsprechenden Leistungen des Cloud-Anbieters.
 

Masche

Stammgast
Genau deshalb ist es wichtig, einen grossen Cloud-Provider zu wählen... Drum prüfe, wer sich bindet: Ein Evaluationsverfahren gibt Auskunft über die entsprechenden Leistungen des Cloud-Anbieters.
Und wer garantiert, dass ein grosser nächsten Monat noch gross ist? Ein Evaluationsverfahren gibt nur Auskunft über den gegenwärtigen Zustand eines Unternehmens. Sobald meine Daten in der Cloud sind, habe ich faktisch die Kontrolle darüber abgegeben und bin auf Gedeih und Verderb dem dahinter stehenden Unternehmen ausgeliefert. Das würde mir schon etwas Sorgen machen.
 

Vanessa Kammermann

Microsoft Schweiz GmbH
Und wer garantiert, dass ein grosser nächsten Monat noch gross ist? Ein Evaluationsverfahren gibt nur Auskunft über den gegenwärtigen Zustand eines Unternehmens.

Das ist in jeder Branche so. Evaluationverfahren sind Momentaufnahmen. Wobei ich bezweifle, dass Grosse innert Monatsfrist klein werden können - solche Dinge laufen doch etwas langsamer ab.


Sobald meine Daten in der Cloud sind, habe ich faktisch die Kontrolle darüber abgegeben und bin auf Gedeih und Verderb dem dahinter stehenden Unternehmen ausgeliefert. Das würde mir schon etwas Sorgen machen.

Dieser Punkt wird vertraglich sauber geregelt. Die Kontrolle über die Daten verbleibt immer in der Hand des Unternehmens. Man kann das mit einer Schiffsladung vergleichen: Der Cloud-Provider betreibt das Schiff, bringt es von A nach B. Die Container und ihre Inhalte - das ist Sache jeder einzelnen Firma, die ihre Güter von A nach B bringt.

Standardisierung bedeutet in dem Punkt auch: Der Kunde kann das Vertragsverhältnis jederzeit beenden und seine Daten zu einem anderen Provider zügeln - oder ins interne Netzwerk.
 

Nebuk

PCtipp-Moderation
Teammitglied
Reale Güter und digitales Dateien sind doch zwei total verschiedene Waren.* Wenn ich ein Klavier aus Amerika einschiffen lassen möchte, dieses auf ein Schiff lade, dann bin ich mir sicher, dass ich nachher bei der Ankunft in Europa/Schweiz mein Klavier auch bekomme. Ausserdem kann ich sicher sein, dass während dem das Klavier auf dem Schiff war keiner eine (unerlaubte) Kopie/Nachbau angefertigt hat. Falls dies passieren würde, wäre es mir auch eigentlich egal, solange ich das Original besässe.

In der Cloud ist doch das so, dass ich irgendwelche Dokumente (Verträge, Zeugnisse, persönliche Daten, etc.) auf einem Fremden Server platziere. Davon sollte, wenn alles korrekt läuft, auch eine Kopie angelegt werden. Nennen wir es mal Backup. Wie kann ich da sicher sein, dass da kein Unbefugter (zum Beispiel Techniker des Cloud Providers) sich Zutritt zu den Daten verschafft und diese für seine Zwecke missbraucht. (Sagen wir mal Börsenspekulationen). Ich kann da nicht mal selber für Sicherheit sorgen?

Kommen wir nochmals zu den Backups zurück. Ich habe mich nun entschieden, einen anderen Provider auszuwählen, weil dieser einfach mehr bietet. Ich nehme mir also die Daten vom Server und lege sie nun auf dem anderen Server wieder an. Doch, was ist mit den Backups? Habe ich Zugriff darauf? Kann ich diese löschen? Woher weiss ich, dass man diese nicht wieder herstellt und die Daten für böswillige Zwecke verwendet?

Ich kann mir kaum vorstellen, dass da alles so sicher ist, wie wenn ich diese bei mir lokal im Geschäft auf dem Server speichere...


* Digitale Daten lassen sich nicht so gut kontrollieren. Siehe Filme-, Musik-, Spieleindustrie... Bei Physischen (Autos, Geschirr, Möbel, etc.) Objekten hast du das Problem mit den Plagiaten und Patenten, weniger mit Raubkopien.
 

Vanessa Kammermann

Microsoft Schweiz GmbH
In der Cloud ist doch das so, dass ich irgendwelche Dokumente (Verträge, Zeugnisse, persönliche Daten, etc.) auf einem Fremden Server platziere. Davon sollte, wenn alles korrekt läuft, auch eine Kopie angelegt werden. Nennen wir es mal Backup. Wie kann ich da sicher sein, dass da kein Unbefugter (zum Beispiel Techniker des Cloud Providers) sich Zutritt zu den Daten verschafft und diese für seine Zwecke missbraucht. (Sagen wir mal Börsenspekulationen). Ich kann da nicht mal selber für Sicherheit sorgen?

Doch. Sehr wohl: Ein seriöser Cloud-Provider ermöglicht Unternehmen die volle Kontrolle über die Sicherheit ihrer Daten und auch der Backups. Etwa durch die Unterstützung von Sicherheitstechnologien in der Cloud. Dafür ist jedes Unternehmen selbst verantwortlich - kann seine Daten zusätzlich verschlüsseln oder auch nicht.

Zum lassen sich Cloud-Infrastrukturen durch das hochqualifizierte Personal und neueste Technologien besser absichern als in KMU, die vielfach keine oder eine überlastete IT-Abteilung haben. Von der Schwierigkeit ganz zu schweigen, Fachleute zu finden...

Das andere ist ein rechtliches Problem. Nicht zuletzt ist zu beachten, dass kein ICT-Service zu 100 Prozent sicher sein kann. Ob intern oder in der Cloud ist unerheblich. Deshalb ist ein umfassendes Assessment notwendig, welche Daten wie, wann und wo gespeichert werden.

Die Cloud darf nicht unüberlegt genutzt werden; genau deshalb bietet Microsoft heute und in Zukunft Cloud- und Non-Cloud-Software an.
 

Nebuk

PCtipp-Moderation
Teammitglied
Klar zu 100% ist kein Unternehmen sicher. Aber die Cloud stellt doch einfach ein zusätzliches und "weniger berechenbareres" Risiko dar? Wie bereits geschrieben, man hat die Daten einfach nicht mehr selber in der Hand... man hat nur Zugriff darauf.
 

Kovu

Stammgast
Das ist in jeder Branche so. Evaluationverfahren sind Momentaufnahmen. Wobei ich bezweifle, dass Grosse innert Monatsfrist klein werden können - solche Dinge laufen doch etwas langsamer ab.
Und selbst wenn es eine 5-Jahresfrist ist - ein KMU möchte das nur ungern eingehen. Wir betreiben beispielsweise gekaufte Software, die über 10 Jahre alt ist und nicht ersetzt werden kann, weil es die Entwicklerfirma nicht mehr gibt. Auch im Bereich von Maschinensteuerungen sind wir auf eine lange Lebensdauer von Soft- und Hard-ware (sowie auch der daran gebundenen Daten) angewiesen. Man investiert da nicht einfach so mal wieder in neue CNC-Maschinen wie man heutzutage ein iPad kauft und nach ein oder zwei Jahren wegwirft, weil das neue Modell erschienen ist.

Doch. Sehr wohl: Ein seriöser Cloud-Provider ermöglicht Unternehmen die volle Kontrolle über die Sicherheit ihrer Daten und auch der Backups. Etwa durch die Unterstützung von Sicherheitstechnologien in der Cloud. Dafür ist jedes Unternehmen selbst verantwortlich - kann seine Daten zusätzlich verschlüsseln oder auch nicht.
Defakto nützt uns auch eine Verschlüsselung nicht viel, denn, wenn nur schon 1 Mensch durch einen Schlüssel Zugang zu seinen Daten erhält, tut das ein anderer letztenendes auch (mit den entsprechenden Anstrengungen versteht sich). Das Problem an der Cloud ist ja nicht, dass es keine Sicherheitstechnologien gäbe... das Problem an der Cloud ist der physische Anschluss der Daten am Internet. Sony hat dieses Jahr perfekt bewiesen was für eine Realität hinter den im Internet zentralisierten Daten liegt... sie sind jederzeit bequem zugänglich, nicht nur für den Anwender, sondern auch für den Angreifer. Im Unterschied zu unserem Geschäft besteht für den Dieb in der Cloud keine physische Grenze wie eine Mauer. In ein mit Alarmanlage gesichertes Gebäude einzudringen bedeutet ein deutlich höheres Risiko, als wenn man sich bequem vom Bürostuhl aus bedienen kann.

Ausserdem setzt sich unsere Wirtschaft mit der Cloud auch einer neuartigen Kriegsführung aus. Es wird nicht mehr länger nötig sein Wirtschaftsstandorte mit Bomben oder Granaten anzugreifen. Wenn man eine Nation schwächen will legt man einfach ihre Netzwerke lahm... und für Nationen wie China ist der Aufwand Sicherheitslösungen zu knacken keineswegs zu schade, denn der Nutzen den sie daraus ziehen ist gross.
 

Vanessa Kammermann

Microsoft Schweiz GmbH
Wie gesagt: Alles eine Frage des vernünftigen Assessments und der Implementierung der erforderlichen Sicherheitstechnologien.

Daten müssen kategorisiert und je nachdem im internen Netzwerk oder extern in der Cloud platziert werden. Jedes Unternehmen ist selbst dafür verantwortlich, die Cloud sinnvoll und sicher zu nutzen. Für die Sicherheit der Infrastruktur sorgt der Cloud-Provider - die RZs sind auf vielfältige Art auch gegen den physischen Zugang gesichert. Auch hier gibt es Alarmanlagen.

Für die Sicherheit seiner Daten ist das Unternehmen verantwortlich - und dazu gehört auch die Entscheidung, wie die Cloud genutzt wird, um tiefere Kosten und eine grössere Produktivität zu erreichen.

Und notabene sind auch Unternehmen am Internet angeschlossen, mit denselben Risiken, mit denen auch ein Cloud-Provider umgehen muss. Nur sind seine "Waffen" ungleich effektiver, die Ausbildung und Zahl seiner Mitarbeitenden in der Regel besser und grösser.

Es muss beides möglich sein: Intern und Cloud. Es braucht Software, die intern genutzt wird, die aber auch via Cloud bereitgestellt wird. Nur die Kombination macht KMU schlagkräftiger im immer härter werdenden Markt.
 

Kovu

Stammgast
Und notabene sind auch Unternehmen am Internet angeschlossen, mit denselben Risiken, mit denen auch ein Cloud-Provider umgehen muss. Nur sind seine "Waffen" ungleich effektiver, die Ausbildung und Zahl seiner Mitarbeitenden in der Regel besser und grösser.
Der Sicherheit unserer EDV kann kein Cloud-Provider der Welt gerecht werden: denn keiner unserer Geschäftscomputer ist mit dem Internet verbunden. Die Maschinen mit Internetzugang sind strikt vom Firmennetzwerk getrennt. (Das militärische Prinzip: lege deine eigene Leitung, dann hört niemand mit)

Interessanterweise sparen wir dadurch auch Update-/Upgrade-/Sicherheits-Kosten.
 
Zuletzt bearbeitet:

win7expert

Mitglied
Cloud stellt ein realistisches Risiko dar. Egal wie gross der Anbieter ist... Es gibt immer Sicherheitslücken, die ausgenutzt werden können.
 

Kovu

Stammgast
Das ist nicht korrekt. Wenn ich meine Daten selber sicher aufbewahre, habe ich lediglich das Risiko, dass jemand physisch bei mir einbricht und die Daten klaut. Wenn ich die Daten einem Cloudanbieter in die Hände gebe, verdoppelt sich das Risiko mindestens... denn beim Anbieter könnte physisch sowie vom Internet aus eingebrochen werden. Wobei letzters noch einfacher geht als ersteres (welches ich selber schon perfekt absichern kann).
 

gucky62

Stammgast
Hinzu kommt, dass sich der Schaden, wenn die Daten und Systeme in einer Firma selbst liegen, sie auch weiterarbeiten kann, wenn die Internetverbindung ausfällt, bzw. gestört ist. Dann arbeit niemand mehr, an meine Daten komme ich nicht mehr ran und wenn dies einige Tage anhält, kann die Firma dicht machen.
Damit baut man sehr viele zusätzliche Fehlerquellen ein und hat nur noch wenige Möglichkeiten einen "Notbetrieb" improvisieren zu können. Redundante Internetanbindungen sind teuer und vermindern diese Schwachstellen nur ungenügend.

Ebenfalls betrifft ein Datendiebstahl dann diese Firma, und nicht gleich hunderte andere Firmen.
Ebenfalls ist der Zugang zum Internet in vielen Firmen für die PCs explizit beschränkt oder nicht erwünscht. Es wird auch einiges an Netzwerk-Bankbreite nach Aussen benötigt um überhaupt arbeiten zu können. Das kann sich ganz schön summieren.

Gruss Daniel
 

Vanessa Kammermann

Microsoft Schweiz GmbH
Das ist nicht korrekt. Wenn ich meine Daten selber sicher aufbewahre, habe ich lediglich das Risiko, dass jemand physisch bei mir einbricht und die Daten klaut.

Noch einmal: Die Risiken sind für beide Seiten dieselben, sofern man an einem Netz hängt.
Nichts ist 100 Prozent sicher. Insofern müsste man genauer definieren, was "sicher aufbewahen" heisst.

Ich möchte wirklich keine Glaubensfrage daraus machen und betone noch einmal: Es geht um eine sinnvolle Kombination aus Cloud, internem Netzwerk und Offline-Speicherungen oder sogar physischen Archiven. Was genau die richtige Lösung ist, ist doch sehr individuell. Da muss man eine Firma, ihre Daten und ihre Prozesse zuallererst genauer analysieren.
 
Oben