Gut geschützt in der „Datenwolke“

VideoFlow/Adobe Stock ©

---

Dank Cloud-Computing können Kleinunternehmen ihre IT-Sicherheit massiv verbessern, ohne sich selbst aufwendige Lösungen anschaffen zu müssen. Worauf sollten sie achten?

Von Josef Stelzer, 11/2023

Papierstapel, Wasserleitungen an der Decke und lückenhafte Zutrittskontrollen: In Verbindung mit dem Serverraum bergen diese Dinge unkalkulierbare Risiken. Denn ein Brand im Computerraum – befeuert durch stark brennbares Material –, ein Wasserschaden wegen eines Rohrbruchs oder Datendiebstahl bedeuten für Betriebe immense Kosten, vom Imageverlust ganz zu schweigen. Mitunter kann das existenzgefährdende Folgen haben. Das gilt erst recht, wenn Sicherungskopien geschäftskritischer Unternehmensdaten vernichtet oder gestohlen werden. Darüber hinaus drohen wachsende Gefahren infolge von Cyberangriffen, etwa durch Hacker oder Schadprogramme, die im schlimmsten Fall ganze IT-Systeme lahmlegen.

IT-Risiko teilweise auslagern

Um diese Gefahren zu minimieren, können und sollten Unternehmen einerseits eigene Sicherheitsvorkehrungen treffen, zum Beispiel ihre Software regelmäßig updaten, aktuelle Virenscanner sowie starke Passwörter verwenden und auf Mehrfaktor-Authentifizierung setzen. „Andererseits können sie Cloudanwendungen nutzen – etwa solche, die von darauf spezialisierten Anbietern betrieben werden, in Eigenregie verwaltete Clouds oder Mischformen aus beidem“, sagt Bernhard Kux, IHK-Referent für Informations- und Kommunikationswirtschaft. „Damit sparen sie eigene Soft- und Hardware ein und lagern obigen Aufgaben und das Risiko für ihre IT sowie den Schutz ihrer damit verknüpften Daten zu einem Teil an einen Dienstleister aus.“

Einige Unternehmen stünden dem Modell des Cloud-Computings skeptisch gegenüber, weiß der Experte. Die eigenen Daten einem Dritten zu überlassen, rufe nach wie vor bei manchen Unbehagen hervor, insbesondere wenn es sich um sensible Daten handelt, die Betriebs- und Geschäftsgeheimnisse beinhalten. „Doch immer häufiger sind Cloud-Anbieter die sicherere Alternative, da hier hohe Kompetenzen im Bereich des Datenschutzes und ausgeklügelte Sicherheitsvorkehrungen vorliegen, sie in den meisten Fällen deutlich mehr in IT-Sicherheit investieren als ein Soloselbstständiger oder ein kleines Unternehmen, das über keine eigene IT-Abteilung verfügt.“

Externe Lösungen

IT-Dienstleister, die mit ihren Rechenzentren die Datenspeicherung und -sicherung übernehmen, können Unternehmern zudem viel Aufwand ersparen, bestätigt Florian Laumer (47), IT-Berater bei der Passion4IT GmbH in Viechtach. Er rät Unternehmen jedoch, bei der Auswahl genau hinzuschauen. „Die Rechenzentren sollten einige Bedingungen erfüllen.“ Dazu gehörten:

• Zertifizierungen wie etwa ISO 27001, die Normen für Anforderungen rund um das Thema Informationssicherheit enthalten. Der Rechenzentrumsbetrieb sollte TÜV-zertifiziert sein
• datenschutzkonforme Speicherung und Übertragung der Daten, möglichst innerhalb Deutschlands
• Ende-zu-Ende-Verschlüsselung der Dateien bei der Übertragung, sodass nur berechtigte Empfänger sie lesen und öffnen können
• definierte Schutzbereiche im Rechenzentrum, in denen nur befugte Personen Zutritt erhalten

Laumer empfiehlt Unternehmen, sich von den Dienstleistern entsprechende Nachweise vorlegen zu lassen, zum Beispiel Zertifikate. „Außerdem sollte der Unternehmer dem Rechenzentrum unbedingt einen Besuch abstatten und die Serverräume und Sicherheitsmaßnahmen selbst in Augenschein nehmen.“ Zudem seien die Vereinbarungen zur Datenspeicherung und -sicherheit vertraglich zu fixieren. Dazu zählt beispielsweise auch ein Vertrag für die Auftragsverarbeitung von personenbezogenen Daten. Laumer betont: „Das Gesamtpaket muss stimmen.“

IHK-Service: Cloudanwendungen und IT-Sicherheit

Die IHK setzt bei der eigenen Auswahl von Onlineanwendungen einen Fragebogen ein, der diese auf Mindestanforderungen zur IT-Sicherheit hinterfragt: Im Idealfall beantwortet der Anbieter der jeweiligen Onlineanwendungen die Fragen rund um die Maßnahmen wie Vertraulichkeit, Integrität, Verfügbarkeit oder Belastbarkeit. Nur Anwendungen, die ein Mindestniveau an IT-Sicherheit erreichen, kommen für den Bedarf infrage. Um Unternehmen die Suche, Begutachtung und Einführung von Onlineanwendungen zu erleichtern, stellt die IHK ihnen das „Muster: Onlineanwendungen & IT-Sicherheit“ hier zur Verfügung.