Die Cloud-First Realität – Lohnt sich ein Wechsel für KRITIS-Betreiber?

Die Migration in die Cloud ist seit den letzten Jahren einer der zentralen Trends, wenn es um Datenverarbeitung und -verwaltung geht. SharePoint Online Angebote erfreuen sich einer großen Beliebtheit – die noch weiter steigt. Resultat ist eine regelrechte Cloud-First-Euphorie, der sich Unternehmen weltweit anschließen. Doch der Wechsel von SharePoint On-Premise auf Online-Nutzung sollte trotz aller Begeisterung sorgfältig durchdacht werden.
Besonders im KRITIS Bereich, in dem eine geschützte Datensicherung besondere Relevanz hat, ist die Frage in den Raum zu stellen, ob sich ein Wechsel tatsächlich lohnt, oder ob die Neuerungen im Moment noch mehr Risiken als Chancen mit sich bringen.

Was ist KRITIS und warum müssen KRITIS Betreiber so sehr auf IT-Sicherheit achten?

Bei der genaueren Betrachtung kritischer Infrastrukturen KRITIS wird schnell klar, warum die Suche nach einem sicheren und funktionalen Ort zur Datenspeicherung hier priorisiert werden muss. Zusammengefasst bezeichnet dieser Begriff Strukturen, die den Grundstein für die Gesellschaft und das Gemeinwesen eines Landes bilden.

Allgemein können sie in zwei Gruppen unterteilt werden:

Infrastrukturen für sozioökonomische
Dienstleistungen, z.B.

Transport- und Verkehrssysteme
Wasserversorgung
Energieversorgung

Technische Infrastrukturen, z.B.

Gesundheitswesen
Ernährungsstrukturen
Parlament, Regierung und öffentliche Verwaltung
Banken und Versicherungen
Medien

Kritische Infrastrukturen sind wesentlich für die alltägliche Versorgung der Menschen mit Gütern, Informationen oder Dienstleistungen – werden sie auf irgendeine Art und Weise eingeschränkt hat dies oft weitreichende Folgen. Deshalb ist es auch der Anspruch des Gesetzgebers, sie optimal zu schützen und ihre Resistenz gegen äußere sowie innere Einflüsse stetig zu steigern. Zahlreiche Programme und Verordnungen regeln die Sicherheit der KRITIS. In Deutschland sind Unternehmen, Betreiber solcher Infrastrukturen verpflichtet, ein ISMS nach ISO 20071 einführen. Die Einhaltung der festgehaltenen Standards wird vom Bundesamt für Sicherheit und Informationstechnik beaufsichtigt. Anbieter müssen beispielsweise

ihre Sicherheitsmaßnahmen am neuesten Stand der Technik ausrichten
Bericht über gravierende Störungen und Ausfälle erstatten
immer über einen oder mehrere Kontaktwege erreichbar sein
die Angemessenheit ihrer Strategien regelmäßig nachweisen

Gerade wegen ihrer zentralen Bedeutung ist der Schutz der Daten und Funktionsweisen kritischer Infrastrukturen zentral. Dies betrifft besonders die Informationstechnologie, von der KRITIS vermehrt abhängig ist. Denn immer öfter werden IT-Systeme eingesetzt, die zentrale Strukturen steuern und überwachen.

Diese müssen sowohl gegen externen Missbrauch durch Angreifer als auch gegen interne Bedrohungen durch unsachgemäße Nutzung durch Mitarbeiter oder Administratoren gewappnet sein. Genau dieser Punkt steht im Mittelpunkt, wenn KRITIS Betreiber Pro und Contra einer Cloud Migration ihrer Daten abwägen. Der Grund? Die Sicherheit wird bei Online-Speichersystemen trotz vieler Vorteile als größte Schwachstelle gesehen.

Sicherheitsprobleme der Cloud

Die Sorge ist dabei nicht ganz unberechtigt. Denn obwohl in zahlreichen Branchen bereits ein Großteil der Unternehmen einen – zumindest teilweisen – Wechsel auf Online-Dienste vollzogen hat, geben laut einer Studie rund 53% der befragten Firmen an, dass die Schutzmechanismen der SharePoint Cloud nicht im Einklang mit zeitgemäßen Entwicklungen stehen. Besonders bei der Implementierung neuer Features kommt es oft zu einer Schwächung der Sicherheitssysteme.

Der Cloud Speicher ist dann einem erhöhten Missbrauchsrisiko ausgesetzt, das durch ein überfordertes IT-Team und riskantes Nutzerverhalten oft weiter verstärkt wird.

Angesichts der erhöhten Komplexität der Cloud Nutzung sehen sich IT Teams nicht in der Lage adäquate Sicherheitsmaßnahmen umzusetzen
Oftmals kommt es zur unsachgemäßen Speicherung sensibler Daten in der Cloud
Oversharing von Informationen schwächen den Schutz von online gespeicherten Daten
Unzureichendes Passwortmanagement von Anwendern stellt ein schwer kalkulierbares Sicherheitsrisiko dar.

Besonders in Bezug auf Sicherheit und Datenschutz ist die Cloud Euphorie also kritisch zu beurteilen. Doch wie verhalten sich diese Faktoren zu den Vorteilen der Online-Datenspeicherung? Ein Vergleich der Chancen und Risiken:

Chancen und Risiken der Cloud Nutzung

Besonders in Bezug auf Professionalität des Service liegen Cloud-Dienste in der Gegenüberstellung zu SharePoint On-Premise Angeboten vorne. Anbieter von Online-Diensten beschäftigen in der Regel Spezialisten, die bei der Implementierung von Sicherungsmaßnahmen sowie bei der allgemeinen Wartung mehr Expertise mit sich bringen als unternehmensinterne IT Mitarbeiter.

Bei einer engen Zusammenarbeit mit den Cloud-Betreibern lässt sich also der Herausforderung des Schutzes von Daten mitunter professioneller begegnen als dies bei SharePoint On-Premise möglich ist.

Gleichzeitig können Unternehmen durch den Wechsel zu Online-Diensten eine zentrale externe Bedrohung verringern: Besonders bei kritischen Infrastrukturen stehen nicht nur die gespeicherten Daten, sondern die Orte der Speicherung selbst – die Rechenzentren – im Mittelpunkt. Sie müssen vor externen Bedrohungen so gut wie möglich geschützt werden. Mit der Nutzung der Cloud wird dies wesentlich erleichtert: hier werden verschiedene Zentren an unterschiedlichen Standorten eingesetzt und so die Georedundanz wesentlich erhöht.

Zudem führt die Anbindung an einen unternehmensexternen Anbieter beim Wechsel in die Cloud zu einer Standardisierung von Plattformen und Software, was besonders auf lange Sicht zu einer Reduktion der Komplexität von Workflows und zur besseren Vernetzung führt.

Während die Vernetzung mit einem anderen Betreiber also entscheidende Vorteile mit sich bringen kann, ist sie gleichzeitig mit Risiken verbunden, die neben dem Aspekt der Datensicherheit zu den gravierendsten bei der Cloud Nutzung gehören. An vorderster Stelle steht hier der Verlust der Autonomie: Unternehmen, die auf Online-Dienste vertrauen, erhöhen ihre Abhängigkeit von Internet- und Cloud-Anbietern. Dies kann zum Problem werden, weil

die Betreiber mancher Online-Dienste eine fragwürdige Reputation aufweisen
Unklarheiten über die Professionalität des Personals bestehen können
die Kontrolle von Prozessen an eine unternehmensexterne Stelle abgegeben wird
bekannte Anbieter oftmals zum Ziel externer Angriffe werden
Informationen aus dem unternehmensinternen Netz in andere Räume übertragen werden, womit sich mitunter die Rechtslage verändert
bei Public Cloud Services die Gefahr der Datenexposition besteht

Auch eine Verfügbarkeit, die den Anforderungen eines KRITIS Betriebes nicht entsprechen kann, sowie unflexible Strukturen können Folgen einer Anbindung an einen externen Cloud-Betreiber sein.

Die Kostenfrage

Die Kostenfrage ist bei der Betrachtung von Chancen und Problemen einer Cloud Migration noch einmal besonders hervorzuheben. Oftmals wird sie als Argument für Online-Services genannt. Bei deren Gebrauch sollen

nur die Nutzungskosten bezahlt werden
im Vergleich zu lokalen Servern geringere Investitionskosten anfallen
keine Infrastruktur-Vorhaltekosten veranschlagt werden
bekannte Anbieter oftmals zum Ziel externer Angriffe werden
Informationen aus dem unternehmensinternen Netz in andere Räume übertragen werden, womit sich mitunter die Rechtslage verändert
bei Public Cloud Services die Gefahr der Datenexposition besteht

Der Betrieb von Plattformen und Anwendungen der Cloud scheint so günstiger als Datenspeicherung On-Premises.

Dieser Eindruck täuscht jedoch oftmals. Besonders das ‚Pay-As-You-Use’ Modell der Cloud erweist sich auf lange Sicht nicht so kostensparend wie es zuerst den Eindruck hat. Je nach Situation der einzelnen Unternehmen ist hier der Betrieb eigener SharePoint Server oftmals günstiger – vor allem, wenn der tägliche Workload eine hohe Rechenleistung in Anspruch nimmt. Auch andere Anwendungen der Online-Dienste sowie die Ablösung bestehender Systeme sind oft mit höheren Ausgaben verbunden, als zunächst erwartet wird.

Insgesamt lassen sich Kosteneinsparungen weder als Pro noch als Contra für den Wechsel in die Cloud anführen – zu komplex und individuell ist der Kostenvergleich. Letztlich entscheidet hier die individuelle Situation.

Cloud-Migration muss ein sorgfältig durchdachter Schritt sein

Eine Migration in die Cloud ist und bleibt in vielen Fällen eine individuelle Entscheidung. Indem

wichtige Daten auf verschiedene Rechenzentren verteilt werden
eine Zusammenarbeit mit Anbietern stattfindet, die IT und Sicherheitsexperten bereitstellen können
Plattformen und Softwares standardisiert werden
es zu einer insgesamt besseren Vernetzung unternehmensinterner Daten kommt

bieten Online-Dienste entscheidende Vorteile. Gleichzeitig ist ein Wechsel besonders in Hinblick auf

Datenexposition
Professionalität des Betreibers
Übertragung unternehmensinterner Informationen in andere (Rechts-)Räume

kritisch zu beurteilen. Für KRITIS Betreiber ist hier besonders die Frage in den Raum zu stellen, welche Sicherheitsrisiken mit der Online-Datensicherung verbunden sind.

Überforderung von IT Fachpersonal, internes Missmanagement, sowie externe Angriffe sollten so weit wie möglich vermieden werden – Punkte, in denen die Cloud oftmals noch hinter On-Premise Angeboten zurücktritt. Gerade wenn es um kritische Infrastrukturen geht sollte deshalb beim Abwägen eines Wechsels zu Online-Diensten weniger die Frage im Raum stehen, wie am besten mit Trends Schritt gehalten werden kann, sondern vielmehr ob dieser Wechsel in Bezug auf IT-Sicherheit tatsächlichen Mehrwert und erhöhtes Datenschutzpotenzial bietet.

Quam on SharePoint On-Premise: Hier geht's zum Angebot!

Quam ist sowohl mit SharePoint 2016 als auch 2019 kompatibel und lässt sich mühelos in Ihre bestehende Umgebung einbinden. Füllen Sie bei Interesse gerne das untenstehende Formular aus, um sich mit uns in Verbindung zu setzen: