Sie sind hier: HomeTelekommunikation

Cloud-Computing: Data Residency ist kein Garant für IT-Sicherheit

Auch in Zeiten der Cloud hält sich die Vorstellung, dass Datensicherheit und Speicherort in einem kausalen Zusammenhang stehen. Ein Kommentar von Carsten Kestermann von Amazon Web Services.

Computer Internet Server Rechenzentrum Bildquelle: © Fotolia / jijomathai

Die Cloud hat alle Kritiker Lügen gestraft. Schließlich bringen dynamische, flexible IT-Umgebungen den Unternehmen Wettbewerbsvorteile und sind quasi unumgänglich für die Transformation von Geschäftsmodellen. Dabei spielen Aspekte wie Agilität, Elastizität und Skalierbarkeit der Infrastruktur eine signifikante Rolle. Aber auch als Service- und Entwicklungsplattform für neue Anwendungen leistet die Cloud wertvolle Dienste. Hier punkten internationale Cloud-Anbieter, die selbst mit den Anforderungen der Globalisierung groß geworden sind.

Ein Gedanke aber hält sich hartnäckig: Es ist die Vorstellung, dass Datensicherheit und Speicherort in einem kausalen Zusammenhang stehen. Oftmals war früher damit der eigene Serverraum gemeint. Heute denken dabei die meisten an das eigene Land.

Dass jedoch der physikalische Ort von Daten – die Data Residency – per se kein Indikator für mehr Sicherheit sein kann, zeigt sich in der Praxis immer wieder. So ist in Zeiten, in denen neben IT-Systemen sogar Haushaltsgeräte im Netz hängen, das Risiko von Attacken komplett ortsunabhängig. Sobald ein Gerät direkt oder indirekt mit dem Internet verbunden ist, sind Daten einer Gefahr ausgesetzt. Ein Beispiel dafür ist der Petya-Erpressungstrojaner, der im Sommer 2017 Firmen und Krankenhäuser in große Schwierigkeiten brachte, indem das Inhaltsverzeichnis von Festplatten verschlüsselt und Lösegeld für die Datenwiederherstellung gefordert wurde.

Fälle von Datenverlust lassen sich heute oftmals auf menschliche Fehler zurückführen. Wenn Patches für bekannte Exploits nicht oder zu spät aufgespielt werden, spielt es keine Rolle, an welchem Ort das Versäumnis begangen wurde. Auch die Kontrolle über meine Daten hängt primär mit den entsprechenden Policies zusammen, nicht mit dem Speicherort. Gleiches gilt für Fälle von Innentätern: Schon eine Zugriffsberechtigung, die in falsche Hände gerät, kann dazu führen, dass ein Angreifer als autorisierter Benutzer innerhalb eines unternehmenseigenen Netzwerks nach Belieben schalten und walten kann. Die genannten Beispiele zeigen, dass Daten auf eigenen Servern, in eigenen Rechenzentren oder an einem bestimmten Speicherort nicht per se sicher sind. Der Ansatz der großen Anbieter ist, durch umfassende technische Sicherheitsmaßnahmen und Teams, die sich rund um die Uhr kümmern, ein Schutzniveau zu erreichen, das für ein einzelnes Unternehmen mit On-Premises-Infrastruktur nicht denkbar ist. Insofern ist ein bestimmter Speicherort vor diesem Hintergrund an sich nicht sicherer als andere.  

Sind die Daten verschlüsselt beim Cloud-Provider gelagert und erfolgt die Verwaltung der Schlüssel in Eigenregie, spielt der Speicherort  erst recht keine Rolle mehr.

Carsten Kestermann ist Principal Public Policy EMEA bei Amazon Web Services.