Studie: Wer ist bereit für die Cloud?

Sicherheitsfragen bezüglich der Cloud werden sehr unterschiedlich behandelt. Zu diesem Ergebnis und einer überraschenden These kommt eine Studie des Ponemon Instituts.

Wie hoch ist eigentlich der Prozentsatz der Unternehmen oder Organisationen, die ihre sensiblen und vertraulichen Daten in die Cloud transferieren? Und wer soll für den Schutz verantwortlich sein? – Der Cloud-Anbieter, der Cloud-Nutzer, oder beide? Diesen und anderen Fragen rund um das Thema „Verschlüsselung in der Cloud“ widmet sich eine Studie des Ponemon Instituts im Auftrag des Sicherheitsdienstleisters Thales. Die Ergebnisse sind Teil eines größeren Studienprojekts, das unter über Geschäftsführern und IT-Managern in den USA, Großbritannien, Deutschland, Frankreich, Australien, Japan und Brasilien durchgeführt wurde.

Hier ein Überblick auf die interessantesten Ergebnisse:

Rund die Hälfte der Befragten gab an, dass ihre Organisationen bereits sensible und vertrauliche Daten in die Cloud transferieren. Ein weiteres Drittel will sich diesem Trend in den kommenden zwei Jahren anschließen. Mit 56 Prozent zeigen deutsche Unternehmen die größte Bereitschaft, was die Übertragung von Daten in die Cloud betrifft.

39 Prozent der Befragten glaubt, dass die Einführung von Cloud-Diensten negativ auf die Sicherheitspolitik des Unternehmens abfärbt. 44 Prozent befürchten keine Auswirkung; und nur 10 Prozent halten die Nutzung von Cloud-Diensten für ein Zeichen von gesteigertem Sicherheitsverständnis. Die größten Vorbehalte und Datenschutzbedenken gibt es in Frankreich.

Wie aber sieht es mit dem Wissen zum Thema Sicherheit aus?

44 Prozent der Befragten sehen es primär als Aufgabe des Cloud-Anbieters an, für die Datensicherheit in der Cloud zu sorgen. Diese Haltung teilen hauptsächlich Unternehmen, die bereits sensible Daten in die Cloud auslagern. Dagegen sehen 30 Prozent der Befragten die Verantwortung beim Kunden. Mit 74 Prozent wollen die Franzosen den Cloud-Anbieter am stärksten in die Pflicht nehmen. Umgekehrtes Bild in Japan: 48 Prozent der Unternehmen sagen, dass der Kunde selbst für die Sicherheit seiner Daten verantwortlich sein soll.

Über ein Drittel der Befragten (36 Prozent) gab an, keine Ahnung zu haben, was Cloud-Anbieter unternehmen, um die anvertrauten Daten zu schützen. Spitzenreiter ist auch hier Frankreich: 76 Prozent waren nicht in der Lage über die Sicherheitsmaßnahmen Auskunft zu geben.

51 Prozent der Befragten, die die Sicherheitsverantwortung primär beim Provider sehen, vertrauen auch darauf, dass der Anbieter seiner Verpflichtung nachkommen kann. Dagegen haben nur 32 Prozent der Befragten Vertrauen in die eigenen Fähigkeiten zum Datenschutz, obwohl sie die Verantwortung primär in ihrem Unternehmen sehen.

Wie halten es die Unternehmen mit der Verschlüsselung?

38 Prozent setzen auf Verschlüsselung beim Transfer – typischerweise über das Internet – zwischen der Organisation und der Cloud. 35 Prozent halten es für geboten, vor dem Transfer die Daten zu verschlüsseln. Nur 27 Prozent setzen auf die Verschlüsselung innerhalb der Cloud-Umgebung.

Auch in diesem Ergebnis spiegelt sich die generelle Einstellung zur Sicherheit in der Cloud wieder. Wer die primäre Verantwortung beim Provider sieht, ist eher bereit die Daten erst in der Cloud zu verschlüsseln (74 Prozent). Dagegen würden nur 34 Prozent der Unternehmen, die die Daten selbst vor dem Transfer verschlüsseln, primär den Cloud-Provider zur Sicherheit verpflichten.

36 Prozent der Unternehmen geben an, die Verwaltung der Schlüssel zu übernehmen. 22 Prozent würden die Verantwortung an den Cloud-Anbieter abgeben. Weitere 22 Prozent halten es für sinnvoll, die Verwaltung der Schlüssel einem unabhängigen Dritten zu übergeben. Auch hier gibt es länderspezifische Unterschiede. Deutsche Unternehmen sind am wenigsten bereit, die Kontrolle über die Schlüssel dem Cloud-Provider anzuvertrauen. Kein Problem haben mit der Übertragung der Schlüssel Australier und Brasilianer.

Ist die Bereitschaft für die Cloud messbar?

Die Macher der Studie kommen zu der Annahme, dass Organisationen, die ein hohes Sicherheitsverständnis haben, eher gewillt und in der Lage sind, die Vorteile der Cloud zu nutzen. Dieses Ergebnis scheint zunächst ein Widerspruch zu der weit verbreiteten Meinung zu sein, dass gerade sicherheitsbewusste Firmen eher skeptisch der Cloud gegenüber stehen.

Untermauert wird die Erkenntnis von dem sogenannten Security Effectiveness Score (SES), den das Ponemon Institut entwickelt hat. Er bewertet Organisationen nach ihren Möglichkeiten, die richtige Balance zwischen Effektivität und Effizienz zu finden. Ein günstige Punktzahl (maximal +2) zeigt an, dass eine Organisation einerseits effektiv investiert, also in Technologie und Personal keine Ressourcen verschwendet, andererseits aber die sicherheitspolitischen Ziele effizient verwirklicht. Auch hier zeigen sich länderspezifische Unterschiede: Demnach erhält Deutschland einen SES von 1,19, gefolgt von Japan (0,77), den USA (0,64), Großbritannien (0,45) und Australien (0,25). Einen negativen SES weisen Frankreich (-0,02) und Brasilien (-0,48) auf.