Programme und Daten in der „Cloud“ zu nutzen, hat Vorteile, ist aber auch mit Gefahren verbunden. Für Klein- und Mittelunternehmen gibt es nun neue Unterstützung zur Identifizierung und Bewertung von Risiken.

10.8.2015 (kunid) „Cloud“-Dienste bieten praktische Möglichkeiten zur Nutzung von Software und Daten. Allerdings gilt es auch, potenzielle Risiken zu beachten. Von der Europäischen Agentur für Netzwerk- und Informationssicherheit European (Enisa) gibt es hierzu nun einen neuen, speziell auf kleine und mittlere Unternehmen zugeschnittenen Sicherheitsratgeber samt Online-Werkzeug.

Wo Licht ist, ist meist auch Schatten – das gilt auch beim sogenannten „Cloud Computing“. Cloud- Nutzung hat in den letzten Jahren zunehmend an Beliebtheit gewonnen, zumal damit eine Reihe von Vorteilen verbunden ist. IT-Ressourcen können so aus dem eigenen Unternehmen „ausgegliedert“ werden. Das kann nicht nur Kosten für Hardware, Software und Wartung sparen helfen, sondern auch die Nutzung von Anwendungen und Daten erleichtern, nicht zuletzt im Hinblick auf deren mobile Verfügbarkeit.

Auf der anderen Seite ist die Verwendung externer Ressourcen – von denen man zudem nicht zwangsläufig weiß, wo genau sie eigentlich stehen – auch mit Risiken verbunden. Gerade im unternehmerischen Umfeld können Probleme der IT aber rasch kritisch werden, sowohl für den Nutzer als auch für den Diensteanbieter.

Sicherheitsratgeber für kleine und mittlere Unternehmen

Ein neuer Sicherheitsratgeber der Europäischen Agentur für Netzwerk- und Informationssicherheit (Enisa) hilft Unternehmen bei diesem Thema hinsichtlich der Risikobewertung. Der „Cloud Security Guide for SMEs“ richtet seinen Fokus dabei speziell auf Klein- und Mittelunternehmen (KMUs).

Die Broschüre identifiziert elf wesentliche Sicherheitsrisiken im Zusammenhang mit Cloud Computing. Dazu zählen unter anderem:

Schwachstellen in der Softwaresicherheit,
Netzwerkattacken,
betrügerische Aktivitäten,
Verlust von (mobilen) Geräten, damit auch Verlust von auf diesen gespeicherten Zugangsdaten,
Kompromittierung des Administrations-Interface, indem sich Angreifer Zugang verschaffen,
Schäden an der IKT-Infrastruktur aufseiten des Nutzers und/oder des Cloud-Providers,
Überbelastung der Infrastruktur, oder auch
Fragen, die sich stellen, wenn sich Provider und/oder Datenzentren im Ausland befinden und deshalb ausländisches Recht zur Anwendung kommen kann.
Der Ratgeber enthält einen Fragenkatalog mit sicherheitsrelevanten Fragen für den Cloud-Anbieter, um mögliche Risiken für das eigene Unternehmen aufzudecken. Zugleich werden hilfreiche Antworten mitgeliefert, mit denen einem Risiko begegnet werden kann.

Online-Tool zur Einschätzung von Risiken und Chancen

Zusätzlich zum Ratgeber stellt Enisa als „Umsetzungsunterstützung“ ein Online-Werkzeug zur Verfügung. Mit diesem können KMUs eine grobe Bewertung der Chancen und Risiken der Cloud-Nutzung vornehmen und eine individualisierte Liste mit Sicherheitsfragen erstellen. Letztere kann genutzt werden, um Informationen über die anzuwendenden Sicherheitsmaßnahmen einzuholen.

Der „Cloud Security Guide for SMEs“ steht als (englischsprachiges) PDF-Dokument auf der Website der Enisa zum Herunterladen bereit. Das Online-Werkzeug kann auf einer gesonderten Enisa-Webseite aufgerufen werden.

Daten regelmäßig speichern

Bei den meisten Computern kann man im sogenannten BIOS einstellen, dass der Rechner bei Erreichen eines bestimmten Temperaturgrenzwerts (empfohlen werden maximal 60 bis 65 Grad Celsius) automatisch abgeschaltet wird.

Das kann den PC zwar vor Hitzeschäden bewahren. Bei einem automatischen Abschalten gehen jedoch bis dahin nicht gespeicherte Daten verloren. Daher ist es bei Hitze besonders wichtig, die Daten regelmäßig zu speichern.

Eingriffe in das BIOS sind nicht ganz unproblematisch. Fehler können im Extremfall dazu führen, dass der Computer seinen Dienst verweigert. Man sollte daher auch diese Arbeiten lieber Computerfachleuten oder erfahrenen Anwendern überlassen.

Versicherungsschutz gegen Cyberrisiken

Neben einer Allgefahren-Versicherung für Computer und sonstige IT-Anlagen bieten einige Versicherer mittlerweile spezielle Versicherungen gegen Cyberrisiken an, die unter anderem auch die Risiken von Cloud-Computing mit abdecken. Beispielsweise lassen sich damit diverse Kosten, die durch einen geglückten Hackerangriff entstehen können, absichern.

Darunter fallen zum Beispiel Ausgaben für die Wiederherstellung beschädigter oder zerstörter Daten, Aufwendungen, um eine Betriebsunterbrechung zu verhindern, aber auch mögliche Kosten für ein notwendiges Krisenmanagement, nachdem Cyberkriminelle geklaute Daten unerlaubt veröffentlicht haben.