Dieses Szenario zeigt, dass auch die Nutzung von Cloud-Diensten für die betriebliche Nutzung das Feld der Datensicherheit erweitert und verändert. In einem Architekturbüro wurden mehrere Cloud-Services unterschiedlicher Anbieter genutzt. Zum einen wurden Softwareprodukte (Stichwort "Software as a Service (SaaS)"), hauptsächlich Office-Anwendungen, per Cloud Computing genutzt. SaaS-Produkte müssen nicht – wie klassische Softwareprodukte – vom Nutzer selbst auf eigenen Rechnern installiert und betrieben werden, sondern werden online bereitgestellt. Installation, Betrieb und Wartung werden durch den Service-Anbieter übernommen. Dies schien der Firma vorteilhaft, da sich der Aufwand für Back-ups und Softwareupdates reduziert und diese geräteunabhängig erfolgen. Doch war keinem klar, in welchen Zeitabständen diese durchgeführt wurden und auch der telefonische Support des Anbieters war schwer erreichbar.
Zum anderen wurden im Architekturbüro viele verschiedene Clouds genutzt: Bei jedem Auftrag bzw. Projekt eine andere. Die Pläne und Auftragsdaten wurden dann jeweils auf der Cloud abgelegt. Da kamen dann schon mal 6 bis 7 parallel genutzte Clouds zusammen. Das lag zum Teil daran, dass die Auftraggeber bzw. Bauherrn unterschiedliche Plattformen nutzen und dort ihre Dokumente bereitstellen. Zum Teil lag es aber auch daran, dass das Architekturbüro selbst keine Standards für die Nutzung von Clouds festgelegt und sich damit flexibel auf den Auftraggeber eingestellt hatte. Als dann ein Beschäftigter in einer der Clouds versehentlich einen Bebauungsplan überschrieben hat und man nur mit einer Dokumentenversion arbeitet, musste auf die automatisch angelegten Back-ups zugegriffen werden. Diese wurden jedoch vor 10 Tagen zum letzten Mal angelegt und entsprachen bei weitem nicht mehr dem aktuellen Stand. So mussten die Pläne sehr zeitaufwändig (und mit Qualitätseinbußen) wieder auf Stand gebracht werden, was erhebliche Verzögerungen im Projekt und einen unzufriedenen Auftraggeber zur Folge hatte.
Dieses Szenario zeigt, dass
- aufgrund der Auslagerung des Ortes, an dem die Daten liegen, das Risiko für deren Sicherheit nicht mehr vollständig in den Einflussbereich des Unternehmens fällt. Je größer die Streuung von Daten an viele Orte, desto schwieriger wird ein sicherer Umgang;
- der Schutzbedarf für die Daten und Anwendungen in der Cloud in jedem Betrieb, der diese Technologie nutzt, festgelegt werden sollte;
- jeder Betrieb, der Cloud-Technologien nutzt, Kriterien braucht, anhand derer gemessen wird, ob der Anbieter die Anforderungen erfüllt, die vom Betrieb gestellt werden. Kriterien können z. B. sein, wer löschen darf oder eine Bestätigung bzw. Zugriffsrechte für bestimmte Funktionen (weitere Kriterien in Abschn. 4). Dies gilt auch und gerade für Clouds von Kunden und Auftraggebern;
- sämtliche benötigte Leistungen des Cloud-Anbieters festgelegt werden sollten (z. B. Abstände von Back-ups, Support, Funktionen, Datenvolumen, Zugriffsmöglichkeiten oder -beschränkungen);
- der Cloud-Anbieter ein definiertes Vorgehensmodell für alle IT-Prozesse haben sollte, etwa nach ITIL, COBIT, Trusted Cloud Label) bzw. ein anerkanntes Informationssicherheits-Managementsystem (z. B. nach BSI-Standard 100-2 "IT-Grundschutz-Vorgehensweise", ISO 27001 "Informationstechnik – Sicherheitsverfahren – Informationssicherheitsmanagementsysteme – Anforderungen");
- jeder Cloud-Anbieter von sich aus unterschiedliche Sicherheitsstandards hat. Dazu gehört auch, herauszufinden, an welchen Standorten die Informationen verarbeitet und gespeichert werden. Der Gesetzgebung dieses Standorts (innerhalb oder außerhalb der EU) unterliegt auch der Umgang mit den Daten seitens des Anbieters;
- bei der Nutzung verschiedener Anwendungen für die gleiche Funktion Unübersichtlichkeit in der Nutzung entsteht. Hier kommt oftmals der menschliche Faktor ins Spiel mit unsachgemäßem Verhalten und Sicherheits-"Pannen";
- das Rechenzentrum des Service-Anbieters zwar ein höheres Sicherheitsniveau als der Serverraum eines mittleren Unternehmens haben kann, aber dennoch vor Vertragsabschluss sichergestellt sein muss, ob dem tatsächlich so ist, z. B. durch ein Lastenheft;
- die Sifa auch bei laufenden und grundsätzlich gut funktionierenden Systemen diese immer wieder aufmerksam betrachten und überwachen muss, um stets sicherheitsgerechte Zustände gewährleisten zu können. Dazu hätte auch der Umstand der parallel genutzten Clouds und die unsachgemäße Nutzung durch die (von vielen Systemen verunsicherten) Anwender gehört.