Die größten Missverständnisse der Cloud-Security – Werden wir mit Zertifizierungen und Labeln geblendet?

Keine Aussagekraft über tatsächliche Sicherheitslücken

Dass die Sicherheitsmanagementbeurteilung nur eine Seite der Medaille darstellt, zeigen auch aktuelle Sicherheitsvorfälle ISO-27001-zertifizierter Unternehmen. Für große Kritik unter IT-Experten sorgte etwa im August 2021 die „ProxyShell-Schwachstelle“ von Exchange Servern. Wie heise.de berichtete, wurden innerhalb von 48 Stunden über 1.900 Systeme von Angreifern übernommen. Und das, obwohl ein renommierter Sicherheitsforscher vor solch neuen Angriffsmethoden gewarnt hatte. Die Auswirkungen? Serverausfälle. Ein normiertes Qualitätsmanagement führt dementsprechend nicht zwingend zu zufriedenstellender Ausfallsicherheit.

Qualitätsmanagement hervorragend – Rechtssicherheit mangelhaft?

Rechtssicherheit beim Einsatz einer Cloud Lösung bewahrt Unternehmen vor Abmahnungen, Bußgeldern und einem kostspieligen nachträglichen Umzug zu einem alternativen Anbieter. Unter den Aspekt der Rechtssicherheit fällt beispielsweise die revisionssichere Archivierung von E-Mails, aber vor allem auch Datenschutz nach europäischen Standards. Leider gibt es in diesem klar abgrenzbaren Bereich noch immer kein EU-weit anerkanntes Erkennungszeichen für Cloud-Dienste. Fakt ist, dass auch eine Zertifizierung nach ISO 27001 kein Garant für DSGVO-Konformität des Anbieters darstellt. Auf der sicheren Seite sind Unternehmen, die im Vorhinein abklären, ob es sich bei dem gewünschten Cloud-Anbieter um einen Dienstleister mit Hauptsitz in der EU handelt, der die Daten auch ausschließlich innerhalb der EU speichert und verarbeitet.

Mehr Verständnis für IT-Laien und unabhängige Experten

Neben Kosten, Innovationskraft, Leistungsfähigkeit und Integrierbarkeit, fallen Sicherheitskriterien im Auswahlprozess eines Cloud-Dienstes stark ins Gewicht. Dennoch ist gerade dieser, für Unternehmen geschäftskritische Bereich, von mangelhafter Transparenz und Greifbarkeit geprägt. Vor allem IT-Laien lassen sich dabei leicht in die Irre führen. Vollständige Transparenz wäre jedoch nur mit immensen Kosten und Aufwand durch unabhängige Prüfinstanzen möglich, die alle Sicherheitssäulen betrachten – Stand jetzt, ein Ding der Unmöglichkeit. Unternehmen auf der Suche nach einer neuen Cloud-Lösung sollten sich vor allem Rat von unabhängigen Experten einholen, sich über Inhalte und Aussagekraft von Zertifizierungen und Labeln, vorangegangene Sicherheitsvorfälle der Anbieter, sowie deren Ort der Datenlagerung gründlich informieren. Jedoch muss dem jeweiligen Cloud-Anbieter letzten Endes dennoch ein gewisses Restvertrauen geschenkt werden.