iX 1/2019
S. 52
Titel
Informationsschutz
Aufmacherbild

Wählen zwischen Abteilungsserver und Cloud

Entscheidungsfragen

Nicht alles ist schlecht an der Cloud, denn sie spart nicht nur Geld und Ressourcen. Andererseits ist der Schutz der dort gelagerten Daten noch immer ein brisantes Thema. Wie also sich entscheiden? Einige Argumente.

Es gibt für Unternehmen viele Gründe, ihre Daten auf einem Server in den eigenen vier Wänden zu lagern. Der mangelnde Ausbau der Breitbandanschlüsse ist einer, aber auch die Sorge, dass Daten in der Cloud in fremde Hände gelangen können. Was sicherer ist, Onlinedienste oder eigene Datenspeicherung, erörtert dieser Artikel.

Von der physischen Gefährdung der Hardware durch Feuer, Wasser und Luft bis hin zu Hackerangriffen über die DSL-Leitung ist ein Abteilungsserver den gleichen Gefahren ausgesetzt wie ein Server bei einem der großen Cloud-Anbieter oder bei einer Firma mit Dutzenden Rechenzentren. Für kleinere Unternehmen ist ein solcher Server oft das Nest, in dem sämtliche Eier liegen. Daher ist es gerade für sie überlebenswichtig, die auf diesem Server lagernden Daten zu schützen und über Notfallpläne parat zu haben für den Fall, dass dieser Server nicht zur Verfügung steht.

Die Qual der Wahl – machen oder machen lassen?

Viele Unternehmen scheuen noch den Gang in die Cloud, wie man heute sagt. Also die Computer nicht mehr selbst zu betreiben, sondern Dienste von Anbietern über das Internet zu nutzen. Die Sorgen sind oftmals berechtigt. Sobald die Daten auf einem Server oder bei einem Dienst in der Cloud liegen, sind sie von überall erreichbar und jeder Angreifer mit einem Internetanschluss kann versuchen, an sie zu gelangen. Dabei vergisst man gerne, dass natürlich jeder Computer, den wir üblicherweise nutzen, mit dem Internet verbunden ist.

Wer seine Server selbst betreibt, hat sie im eigenen Netz und kann zumindest versuchen, sie vor Angriffen aus dem Internet zu schützen. Besonders für die hier im Fokus stehenden Abteilungsserver ist dies eine valide Strategie. Immerhin muss ein Angreifer zuerst in das Netzwerk eindringen und kann erst dann den Server angreifen. Dass dies letztlich aber nicht unbedingt eine große Hürde ist, sollte jedem klar sein, der die Nachrichten verfolgt. Wenn selbst Großbanken und Bundesbehörden Opfer solcher Angriffe werden, kann dies auch einer kleinen Firma jederzeit passieren.

Sobald der Abteilungsserver auch Dienste über das Internet anbietet, weil etwa ein Dateiaustausch über Nextcloud gewünscht wird oder die Mails auch vom Handy abrufbar sein sollen, sieht das Bedrohungsszenario allerdings komplett anders aus. Jetzt ist der Abteilungsserver genauso aus dem Internet angreifbar wie jeder andere Server in der Cloud.

Der bedeutende Unterschied ist hier, dass die Anbieter von Diensten zumeist erheblich mehr in die Absicherung der Server und Daten investieren als eine kleine oder mittelständische Firma, geschweige denn eine Privatperson. Ganze Abteilungen beschäftigen sich mit der Absicherung und Überwachung der Systeme. Der Überwachung kommt dabei ein besonderes Augenmerk zu, denn niemand kann hundertprozentig verhindern, dass es einen Einbruch gibt. Es zu bemerken, ist die Kunst. Oft bleiben Einbrüche monate- oder gar jahrelang unentdeckt. Eine durchschnittliche Zeitspanne sind sieben Monate, zumindest gemäß Studien über Einbrüche und deren Aufklärung. Wobei auch hier zu beachten ist, dass diese Zahlen nur die Fälle berücksichtigen, in denen der Einbruch überhaupt entdeckt wurde.

Zwei Risiken gibt es allerdings bei der Nutzung von Cloud-Diensten, die bei einem Abteilungsserver nicht existieren. Das erste ist, durch Zufall zum Opfer zu werden: Ein Einbruch in einen Cloud-Dienst, der eigentlich einem anderen Kunden gilt, kann auch die Daten aller weiteren Kunden exponieren. Auch sind die Cloud-Dienste ein sehr viel lohnenderes Ziel, da hier nicht nur die Daten einer Firma lagern, sondern von vielen gleichzeitig. Der zusätzliche Aufwand für die Absicherung wird also durch die stärkere Motivation der Angreifer teilweise wieder ausgeglichen.

Kommentieren