TeleTrusT hilft bei der Suche nach sicheren Cloud-Services

Der Bundesverband IT-Sicherheit hat die sichere Nutzung von Cloud-Services für E-Mail, Datenspeicherung und CRM am Beispiel der eigenen Verbandsgeschäftsstelle untersucht. Die Studie soll als Referenz für kleine Unternehmen dienen, die über den Einsatz von Cloud-Services nachdenken.

Weil kleine und mittelständische Unternehmen in der Regel keine besonderen Konditionen oder spezielle Service Level Agreements (SLA) mit Cloud-Anbietern aushandeln können, ist es für sie besonders wichtig, die Bedingungen der Standardangebote zu prüfen. Dabei soll ihnen die Studie »Sichere Nutzung von Cloud-Anwendungen« (PDF) helfen, für die der TeleTrusT – Bundesverband IT-Sicherheit e.V. verschiedene Services untersucht und seine Erfahrungen in einer Art Praxisleitfaden zusammengefasst hat.

Am Beispiel der eigenen Verbandsgeschäftsstelle hat der TeleTrusT zunächst Ist- und Soll-Zustand definiert und geht dabei insbesondere auf die Sicherheitsanforderungen sowie rechtliche und vertragliche Anforderungen ein, die ein Cloud-Service erfüllen muss. Daneben werden natürlich auch die benötigten Funktionen definiert und Kostengrenzen festgelegt – die Migration in die Cloud soll nicht mehr als 1000 Euro kosten und monatlich nicht mit mehr als 180 Euro zu Buche schlagen.

Für den Bereich »E-Mail« wurden die Angebote 1&1 Mailexchange und Outlook Exchange, antispameurope Secure E-Mail, QualityExchange von Quality Hosting und Simple ASP Hosted Exchange Premium untersucht. Dabei zeigte sich dem TeleTrusT zufolge, dass vor allem zusätzliche Features und Komfortfunktionen preistreibend wirken, sich erhöhte Sicherheit dagegen kaum auf den Preis auswirkt. Das höchste Sicherheitsniveau attestiert der Verband den Produkten von Quality Hosting und antispameurope. »Die Entscheidung für eine dieser beiden Lösungen kann abhängig vom Bedarf nach zusätzlichen Features in Relation zum Preis getroffen werden«, lautet das Fazit.

Für die »Datenablage« nahm man Strato HiDrive Pro 10, CloudSafe 11, Online Backup 12 der Deutschen Telekom und Online-Dateiablage 13 von Unicloud UG unter die Lupe. Das ernüchternde Ergebnis des TeleTrusT: »Keines der untersuchten Cloud-Angebote erfüllt vollständig die Anforderungen hinsichtlich Sicherheit und Verfügbarkeit der Daten.« Werde ein Cloud-Speicher benötigt, biete CloudSafe ein höheres Sicherheitsniveau als die anderen Dienste. Das HiDrive von Strato könne beispielsweise nur in Verbindung mit der Verschlüsselungslösung TrueCrypt das geforderte Sicherheitsniveau erreichen – das erschwere jedoch den Zugriff und reduziere den Komfort der Nutzung. Allerdings spiegele sich die höhere Sicherheit von CloudSafe im höheren Preis pro Gigabyte wieder, so der TeleTrusT.

Als CRM-Lösungen aus der Cloud befanden sich TecArt-CRM Mobile und CAS PIA auf dem Prüfstand. Bei beiden sind dem TeleTrusT zufolge Kontakt-, Termin- und Dokumentenverwaltung im Grundpreis enthalten, ebenso Adressüberprüfung und Dubletten-Erkennung. Davon abgesehen gäbe es größere Unterschiede bei den Synchronisationsfunktionen für Mobilgeräte, den Exportmöglichkeiten, Backups sowie bei Vertragslaufzeiten, Zertifizierungen und Kosten. Beide würden jedoch die funktionalen Anforderungen weitgehend erfüllen, ebenso die Anforderungen hinsichtlich Integrität und Vertraulichkeit. Als Schwachpunkt hat man die Verfügbarkeit ausgemacht, da CAS nur 99 Prozent und TecArt nur 98 Prozent garantiert, was Ausfallzeiten von 21 bzw. 42 Stunden pro Quartal entspricht. »Mit Blick auf den Preis beider Lösungen in Relation zu den angebotenen Features wird mit den o.a. Einschränkungen der Einsatz von CAS PIA empfohlen«, so der TeleTrusT.

Insgesamt, so urteilt der Verband, würden Cloud-Angebote hinsichtlich Funktionalität mehr bieten als intern betriebene Lösungen zu vergleichbaren Kosten. Die Untersuchung habe jedoch gezeigt, dass sich die Cloud-Anbieter schwer tun, konkrete Aussagen zur Sicherheit und Verfügbarkeit ihrer Services zu treffen. »Ob ein Cloud-Angebot die Anforderungen einer Organisation besser erfüllt als eine intern betriebene Lösung, sollte deshalb im Einzelfall geprüft werden«, lautet denn auch die Empfehlung. Denn die Verantwortung für den Datenschutz bleibt beim Unternehmen; der TeleTrusT warnt: »Diese Verantwortung kann keine Organisation auf einen Cloud-Anbieter übertragen. Das Bundesdatenschutzgesetz (BDSG) verpflichtet Organisationen zur sorgfältigen Auswahl des Cloud-Providers sowie zur Überprüfung der von ihm durchgeführten Datenschutzmaßnahmen.«

Anzeige

Ähnliche Artikel


TAGS: , , , , , ,

Kommentare sind geschlossen.