Die vorliegenden Ergebnisse des IT-Cloud-Index Mittelstand zum kürzlich veröffentlichten Spionageskandal „PRISM“ und die Konsequenzen, die Unternehmen im deutschen Mittelstand bezüglich der Planung und oder Nutzung von Cloud Services daraus ziehen, offenbart eine erste Zwischenbilanz. Während die Unternehmen, die bereits Cloud Lösungen im Einsatz haben, auch weiterhin auf Cloud Services setzen werden, wurden die Kontra-Argumente der „Cloud-Skeptiker“ weiter gestärkt.
Vorteile für nationale Anbieter
Dabei spielt allerdings die aktuelle Spionagewut vieler Länder eine weitaus weniger große Rolle als vermutet. Die Vorabanalyse der Unternehmen, welche Daten sinnvoll für ein Cloud Modell sind und welche Daten nach wie vor der klassischen Speicherung im Unternehmen vorbehalten werden sollen, rückt dabei immer stärker in den Vordergrund. PRISM könnte zudem dem deutschen Markt zu unverhofften Gewinnen verhelfen und eine nachhaltige Etablierung deutscher Anbieter im europäischen Cloud-Sektor hervorrufen.
PRISM vs. Cloud? – Die Cloud lebt weiter!
Das Cloud-Nutzungsverhalten und inwiefern Unternehmen die Cloud-Technologie als strategische Komponente einsetzten, stehen seit Beginn dieser Langzeiterhebung vor zwei Jahren im direkten Konflikt mit den Themen Datensicherheit und Datenschutz. Seit vor einigen Wochen der US-Geheimdienstmitarbeiter Edward Snowden Teile des NSA-Spionageprogramm „PRISM“ offengelegt hat, stehen diese Themen stärker denn je im Fokus potenzieller Anwender von Cloud Services bzw. der Anwenderunternehmen. Die Vermutung, dass neben privaten Diensten, wie sozialen Netzwerken, auch Business-Lösungen aus der Cloud überwacht werden, ist als realistisch anzusehen und manifestiert die Frage, wie sicher die Daten in einer Cloud sind.
Die rasant entstandene Empörung über die Aktivitäten des amerikanischen oder auch des britischen Geheimdienstes stehen jedoch im Kontrast zu den Informationen, die der breiten Öffentlichkeit schon seit Jahren bekannt sind. Breits im Jahr 2001 wurde die Existenz des Spionagenetzes „Echelon“, umgesetzt von den USA, Großbritannien, Australien, Neuseelands und Kanada, durch das europäische Parlament bekanntgegeben. Echelon überwacht private und geschäftliche Telefongespräche, Faxverbindungen und Internet-Daten und wertet diese vollautomatisch nach festgelegten Kriterien aus. Dementsprechend ist PRISM eine Neuauflage dieses älteren Spionageprogramms mit den Möglichkeiten der Technologien von heute. Der von den USA als direkte Antwort auf die Terroranschläge vom 11. September 2001 ins Leben gerufene „Patriot Act“ zeigte zudem ganz offiziell, dass unter anderem der potentielle Zugriff von US-Behörden auf Cloud-Daten amerikanischer Unternehmen schon lange möglich ist.
Vorsicht bei Cloud-Daten?
Reaktionen, die Cloud Computing aufgrund des Bekanntwerdens zu einer Art „PRISM Cloud“ um etikettieren wollen, wirken daher wenig glaubwürdig und bilden zudem nicht die Mehrheitsmeinung der Unternehmen im deutschen Mittelstand ab. 61 Prozent der befragten Unternehmen, die Cloud Computing bereits im Einsatz haben, gaben in unserer Langzeitstudie an, dass sie keine Konsequenzen wegen der Veröffentlichungen der PRISM-Aktivitäten ziehen werden. Die Vorteile von Cloud Computing überwiegen die durch PRISM initiierten Bedenken. Jedes vierte Unternehmen der Befragung gab darüber hinaus an, genau abzuwägen, welche Daten letztendlich in die Cloud gegeben werden können und welche nicht, da diese bei Veröffentlichung einen elementaren Schaden für das Unternehmen hervorrufen würden. 19 Prozent der Cloud nutzenden Unternehmen möchten zukünftig ausschließlich auf die nach wie vor präferierte Cloud Variante, der Private Cloud setzen, um größtmögliche Sicherheit für Ihre Daten zu gewährleisten. Dem im Einklang steht mit 17 Prozent der Wunsch nach Cloud-Anbietern, deren Cloud-Services auf deutschen Rechenzentren basieren.
Negative Auswirkungen von PRISM auf den Durchdringungsgrad von Cloud-Lösungen im deutschen Mittelstand werden vor allem bei Unternehmen deutlich, die noch nicht von der Cloud-Technologie für Ihr Unternehmen überzeugt waren. Die Bekanntmachung der Spionageaktivitäten bestätigt diese Unternehmen in ihrer ablehnenden Haltung gegenüber Cloud-Services. So lehnen es nach wie vor 38 Prozent der befragten Unternehmen ab, zukünftig Cloud-Services für Ihre Belange einzusetzen und nennen als Multiplikator für ihre Ablehnung PRISM. Auffallend in dieser Befragungswelle ist jedoch das Ergebnis, dass fast jedes zweite Unternehmen Cloud-Lösungen völlig unabhängig vom Spionageskandal nicht einsetzen möchte, da der Bedarf für das Unternehmen schlichtweg nicht vorhanden sei. Dieses Ergebnis zeigt, dass der überwiegende Teil der befragten Unternehmen die Cloud- Technologie nicht grundsätzlich im direkten Zusammenhang mit Spionageprogrammen sieht und Cloud-Services allein deshalb schon ablehnt.
Kein Ende für die Cloud
Die Antwort, was Anwenderunternehmen für Konsequenzen aus dem Spionageskandal ziehen sollten, haben 28 Prozent der befragten Unternehmen, die Cloud Services bereits nutzen, schon erkannt. Nach wie vor gilt es vor dem Einsatz von Cloud-Lösungen abzuwägen, welche Daten ein Höchstmaß an Sicherheit benötigen und welche Daten geringeren Sicherheitsstandards unterliegen können. Nach der detaillierten Analyse der Gefährdungspotentiale können die Unternehmen mit einem seriösen und zuverlässigen Cloud-Partner ein hybrides Cloud-Modell entwickeln um die Vorteile einer Private- und einer Public-Cloud zu nutzen. Höhere Priorität als bisher sollte auch auf die End-to-End-Sicherheitsmaßnahmen gelegt werden, bei denen der Schutz der Informationen und nicht von Systemen oder Netzen im Fokus steht. Nach Umsetzungen dieser Anforderungen sollte ein gesundes Mittelmaß zwischen den bestehenden Risiken, den Umsetzungskosten und des zu erwartenden Mehrwerts durch die fokussierte Cloud-Leistung erkennbar sein. Die vollständige Ablehnung von Cloud-Lösungen aufgrund eines bekannt gewordenen Spionageskandals würde im Umkehrschluss bedeuten, dass interne IT-Netze sicher seien und nicht von Spionageangriffen betroffen sind. Dem ist allerdings nicht so, wie die Enthüllungen des Tempora-Projektes des britischen Geheimdienstes offenbaren. So werden gezielt Internetknotenpunkte und transatlantische Datenverbindungen angezapft und somit die Datenströme aus internen Unternehmensnetzwerken, verstärkt durch die zunehmende Vielfältigkeit der Kommunikationswege wie Mobile Computing, kontrolliert.
Den wirklich großen Schaden bezogen auf PRISM und Cloud Computing dürfte bei den amerikanischen Cloud-Anbietern liegen, deren Cloud-Geschäft auch in Deutschland beheimatet ist. Eine der wichtigsten Komponenten bei Cloud-Lösungen, nämlich das Vertrauen in den Anbieter und dessen Sicherheit zu gewährleisten, dürfte nachhaltig gestört sein. Hier besteht nun eine erhöhte Chance der deutschen Cloud-Anbieter, sich noch stärker als zuvor im europäischen Markt zu positionieren. Cloud Services „made in germany“, also in deutschen Rechenzentren beheimatet und mit End-to-End Verschlüsselung bereitgestellt, dürften demnach gute Argumente für eine langfristige Partnerschaft mit Anwenderunternehmen darstellen. Die bekannten Vorteile des Cloud-Computing-Modells, bestehenden aus SaaS, IaaS und Paas, haben sich auch durch PRISM nicht verändert und werden demnach weiter ein fester Bestandteil in der IT-Landschaft sein.