Risiken aus der Wolke!

„Cloud“-Dienste bieten praktische Möglichkeiten zur Nutzung von Software und Daten. Allerdings gilt es auch, potenzielle Risiken zu beachten. Von der Europäischen Agentur für Netzwerk- und Informationssicherheit European (Enisa) gibt es hierzu nun einen neuen, speziell auf kleine und mittlere Unternehmen zugeschnittenen Sicherheitsratgeber samt Online-Werkzeug.

Wo Licht ist, ist meist auch Schatten – das gilt auch beim sogenannten „Cloud Computing“. Cloud- Nutzung hat in den letzten Jahren zunehmend an Beliebtheit gewonnen, zumal damit eine Reihe von Vorteilen verbunden ist. IT-Ressourcen können so aus dem eigenen Unternehmen „ausgegliedert“ werden. Das kann nicht nur Kosten für Hardware, Software und Wartung sparen helfen, sondern auch die Nutzung von Anwendungen und Daten erleichtern, nicht zuletzt im Hinblick auf deren mobile Verfügbarkeit.

Auf der anderen Seite ist die Verwendung externer Ressourcen – von denen man zudem nicht zwangsläufig weiß, wo genau sie eigentlich stehen – auch mit Risiken verbunden. Gerade im unternehmerischen Umfeld können Probleme der IT aber rasch kritisch werden, sowohl für den Nutzer als auch für den Diensteanbieter.

Sicherheitsratgeber für kleine und mittlere Unternehmen

Ein neuer Sicherheitsratgeber der Europäischen Agentur für Netzwerk- und Informationssicherheit (Enisa) hilft Unternehmen bei diesem Thema hinsichtlich der Risikobewertung. Der „Cloud Security Guide for SMEs“ richtet seinen Fokus dabei speziell auf Klein- und Mittelunternehmen (KMUs).

Die Broschüre identifiziert elf wesentliche Sicherheitsrisiken im Zusammenhang mit Cloud Computing. Dazu zählen unter anderem:

• Schwachstellen in der Softwaresicherheit,
• Netzwerkattacken,
• betrügerische Aktivitäten,
• Verlust von (mobilen) Geräten, damit auch Verlust von auf diesen gespeicherten Zugangsdaten,
• Kompromittierung des Administrations-Interface, indem sich Angreifer Zugang verschaffen,
• Schäden an der IKT-Infrastruktur aufseiten des Nutzers und/oder des Cloud-Providers,
• Überbelastung der Infrastruktur, oder auch
• Fragen, die sich stellen, wenn sich Provider und/oder Datenzentren im Ausland befinden und deshalb ausländisches Recht zur Anwendung kommen kann.

Der Ratgeber enthält einen Fragenkatalog mit sicherheitsrelevanten Fragen für den Cloud-Anbieter, um mögliche Risiken für das eigene Unternehmen aufzudecken. Zugleich werden hilfreiche Antworten mitgeliefert, mit denen einem Risiko begegnet werden kann.

Online-Tool zur Einschätzung von Risiken und Chancen

Zusätzlich zum Ratgeber stellt Enisa als „Umsetzungsunterstützung“ ein Online-Werkzeug zur Verfügung. Mit diesem können KMUs eine grobe Bewertung der Chancen und Risiken der Cloud-Nutzung vornehmen und eine individualisierte Liste mit Sicherheitsfragen erstellen. Letztere kann genutzt werden, um Informationen über die anzuwendenden Sicherheitsmaßnahmen einzuholen.

Der „Cloud Security Guide for SMEs“ steht als (englischsprachiges) PDF-Dokument auf der Website der Enisa zum Herunterladen bereit. Das Online-Werkzeug kann auf einer gesonderten Enisa-Webseite aufgerufen werden.

Versicherungsschutz gegen Cyberrisiken

Neben einer Allgefahren-Versicherung für Computer und sonstige IT-Anlagen bieten einige Versicherer mittlerweile spezielle Versicherungen gegen Cyberrisiken an, die unter anderem auch die Risiken von Cloud-Computing mit abdecken. Beispielsweise lassen sich damit diverse Kosten, die durch einen geglückten Hackerangriff entstehen können, absichern.

Darunter fallen zum Beispiel Ausgaben für die Wiederherstellung beschädigter oder zerstörter Daten, Aufwendungen, um eine Betriebsunterbrechung zu verhindern, aber auch mögliche Kosten für ein notwendiges Krisenmanagement, nachdem Cyberkriminelle geklaute Daten unerlaubt veröffentlicht haben.