Pressemitteilung von Fabian Mahr

Cloud Sicherheit - aktuelle BSI-Meldung

---

---

Verbreitete Mängel in Sachen Cloud Sicherheit? Kürzlich meldete das Bundesamt für Sicherheit in der Informationstechnik ( BSI (https://www.bsi.bund.de/DE/Presse/Pressemitteilungen/Presse2017/Cloud_unsicher_16032017.html)), dass über 20.000 der in Deutschland betriebenen Clouds kritische Sicherheitslücken aufweisen. Betroffen sind laut BSI unter anderem die "Cloud-Anwendungen großer und mittelständischer Unternehmen, öffentlicher und kommunaler Einrichtungen, von Energieversorgern, Krankenhäusern, Ärzten, Rechtsanwälten und privater Nutzer."

Dazu Fabian Mahr, Geschäftsführer von Mahr EDV (https://www.mahr-edv.de/), ein mittelständisches IT-Dienstleistungsunternehmen, das selbst Cloud Services anbietet, im Kurzinterview:

Frage: Herr Mahr, die aktuelle Meldung des BSI hat unter Cloud-Nutzern für nicht unerhebliche Irritationen gesorgt und scheint Wasser auf die Mühlen derer zu sein, die in der Cloud ohnehin ein prinzipielles Sicherheitsrisiko sehen. Ist da etwas dran?

Cloud Sicherheit lässt sich prinzipiell gewährleisten

Mahr: Die Warnung bezieht sich auf Sicherheitslücken, die durch Updates der verwendeten Softwarelösungen behoben werden können. Es ist allgemein bekannt, dass Updates aller verwendeten Softwarelösungen regelmäßig erfolgen müssen, um ein Minimum an Sicherheit zu bieten. Dafür sollten Betreiber von Cloud-Lösungen Verfahren einsetzen, die u.a. automatisiert für regelmäßige Updates sorgen und kontrollieren, ob die Updates auch erfolgreich waren. Mahr EDV löst dies mit dem Mahr EDV Update Management in Verbindung mit dem Mahr EDV Monitoring. Beide Lösungen kommen nicht nur für unsere eigenen Cloud Systeme, sondern ebenso für die unterschiedlichsten Varianten unserer Kunden bei diesen vor Ort erfolgreich zum Einsatz. Cloud Sicherheit lässt sich also durchaus gewährleisten.

Frage: Bezüglich jener Kunden, die ihre Clouds in Eigenverantwortung betreiben und beispielsweise ownCloud oder Nextcloud nutzen, bemängelt das BSI, dass, obwohl die Provider angehalten sind, ihre Kunden entsprechend zu informieren, bisher lediglich ein Fünftel der Betroffenen reagiert habe.

Risiken eigenverantwortlich betriebener Clouds

Mahr: Natürlich sollten die Provider informieren. Das tun die meisten unserer Erfahrung nach auch. Interessant wird es jedoch vielmehr, und so verstehe ich die Warnung insbesondere, wenn der Kunde auf einen Provider verzichtet, weil er das Geld für diesen sparen will. Viele Lösungen kann man sich einfach irgendwie selbst installieren und wenn dies vermeintlich gelang, erfolgt oftmals ohne weitere Prüfung der produktive Einsatz. Wer eigenverantwortlich für sein Unternehmen eine Lösung betreibt, sollte auch entsprechend fachkundig sein. Dies schließt die regelmäßige Fortbildung und aktive Lektüre von Sicherheitsnachrichten ein. Natürlich ist es sowohl für fachunkundige Mitarbeiter als auch für Privatanwender schwierig, mit der Informationsfülle Schritt zu halten und die sich stetig erweiternden Anforderungen zu erfüllen. Aber ganz ehrlich: Wer würde einen Mitarbeiter seines Sekretariats zum Vertreter in einem wichtigen Gerichtsverfahren bestimmen? Dafür sucht man sich einen fachkundigen Anwalt. Ebenso sollte man es auch mit allen Bereichen der IT halten.

Frage: Was sollten Firmen unternehmen, die nach so einer Meldung verunsichert sind?

Tipps für Verunsicherte

Mahr: Bezüglich der ownCloud bzw. Nextcloud bieten die Webseiten https://scan.owncloud.com bzw. https://scan.nextcloud.com Basis-Sicherheitschecks kostenlos an. Jedoch stellen diese lediglich grundsätzliche Prüfungen dar. Gerade als Unternehmen kommt man nicht umhin, einen IT Experten bzw. Computerservice (https://www.mahr-edv.de/computerservice-berlin) zu beauftragen, der nicht nur über die entsprechende Expertise verfügt, sondern auch bei seinen eigenen Fehlern, die bei aller Sorgsamkeit schließlich nie gänzlich auszuschließen sind, entsprechend haftet bzw. versichert ist. Firmen- & Pressekontakt