Microsoft pusht derzeit sein geplantes Update für die hauseigene Office-Suite und rückt dabei gezielt die dazugehörige Cloud-Variante in Position. Allen wirtschaftlichen und betrieblichen Vorteilen zum Trotz: Unternehmen sind beim Umstieg auf diese Cloud-basierten Unternehmensanwendungen besonders vorsichtig. Und gerade jetzt werben Telekom und Trend Micro mit neuen Applikationen für mehr Sicherheit bei Nutzung von Office 365 aus dem Hause Microsoft. Passt das?

Dokumente online bearbeiten, speichern und mit anderen Kollegen teilen – Cloud-Computing sei dank. Was für viele Startups selbstverständlich ist, bereitet dem Mittelstand hierzulande Kopfzerbrechen. Auch weil speziell die jungen Mitarbeiter diese Tools seit Jahren nutzen, auch privat. Und es sind Unternehmen wie Google, Microsoft und Apple, die uns „Office in der Cloud“ anbieten; US-Unternehmen, die gezwungen sind, mit der NSA und anderen staatlichen Behörden zusammenzuarbeiten.

Trend Micro und Telekom suggerieren die sichere Cloud

Angeblich verfügt „Microsoft Office 365“ bereits über eine Palette integrierter Sicherheitsfunktionen, die das Unternehmen Trend Micro nun um zwei Lösungen ergänzt. Während Unternehmen mit „Cloud App Security“ unbefugten Zugriff auf sensible Daten erkennen sollen, sorgt „Cloud App Encryption“ nach eigenen Angaben für die Verschlüsselung, die inzwischen allgemein als Grundvoraussetzung für Cloud-Computing angesehen wird. Dabei setzt das japanische Unternehmen auf eine direkte Integration in Office 365 – inklusive den Anwendungen Outlook, SharePoint und OneDrive. Glaubt man dem Unternehmen, nutzt beispielsweise die Security-App eine sogenannte Sandbox-Malware-Erkennung, um das Risiko von Datenschutzverletzungen zu mindern. Sie überwacht das tatsächliche Verhalten verdächtiger Dateien in mehreren virtuellen Sandbox-Umgebungen mit mehreren Betriebssystemen und erkennt auch verborgene Malware in Dokumenten mittels Exploit-Erkennung.

Trend Micros Cloud-App-Encryption arbeitet ebenfalls Cloud-basiert. So verspricht die Software die Kontrolle über die Unternehmensdaten, dank AES-256-Bit-Verschlüsselung zu behalten. Die Verschlüsselungscodes sollen getrennt von den gespeicherten Informationen an einem Speicherort aufbewahrt, auf den der Cloud-Anbieter keinen Zugriff hat. Wo sich dieser Speicherort allerdings befindet, verrät das Unternehmen nicht. Über genaue Kosten ist noch nichts bekannt.

Satire? Telekom überprüft angeblich Rechenzentren in den USA

Dass Verschlüsselung speziell beim Cloud-Computing ein Thema ist, hat auch die Telekom begriffen. So beruht das neue Verschlüsselungsangebot der T Systems-Tochter Multimedia Solutions auf einer Lösung von CipherCloud, einem von der Telekom unterstützten Start-up-Unternehmen. 2014 hatten beide bereits eine Lösung vorgestellt, mit der sich das Kunden-Management-System Salesforce verschlüsselt nutzen lässt. Nun soll es auch Office-365-Anwendungen verschlüsseln. In der Praxis wird das CipherCloud-Gateway in die Netzinfrastruktur des Kunden integriert und verschlüsselt Daten beim Einsatz von Office 365 sowohl auf dem Weg in die Cloud als auch in der Cloud selbst. Auf der diesjährigen CeBIT in Hannover sprach man ebenfalls von AES-256-kodierten Daten. Dass aber beispielsweise Salesforce sowie Microsoft US-Unternehmen sind, wurde nicht erwähnt.

Seit Tagen teste ich das Office 365 privat und bin tatsächlich begeistert. Beruflich jedoch darf ich das Tool nicht nutzen. Zum einen arbeiten wir mit sicherheitsrelevanten Kundendaten und dürfen allein deshalb schon nicht die Kommunikation mit sensiblen Daten außerhalb der Firma führen; zum anderen liegen die Daten nicht lokal vor Ort – ein absolutes Muss für sensible Informationen. Die Telekom weist sogar ausdrücklich darauf hin, dass der Hosting-Standort außerhalb der EU und der Schweiz liegt. Was sich dabei wie eine Satire liest: Auf die Frage, wer den Service betreibt und wer letztendlich Zugriff auf besagte Daten hat, antwortet die Telekom: „Der Betrieb der Software und der IT-Infrastruktur erfolgt durch den Partner (Microsoft). Es folgt eine regelmäßige Überprüfung der Sicherheitsstandards durch die Deutsche Telekom.“ „Diese Aussage ist allerdings keine Versicherung und so herzlich wenig wert, auch weil US-Unternehmen dem Patriot Act unterliegen und dazu verpflichtet sind, auf Anfrage Daten von Servern in der EU an amerikanische Behörden weiterzugeben“, weiß Informatiker und Kollege Ulrich Sommer, Leiter Administration bei Dr. Thomas + Partner. „Ein entscheidender Grund, warum wir dieses Paket bei uns, auch wenn es gut funktioniert, so nie einsetzen würden – es sei denn, Microsoft erlaubt es, die Office-Suite lokal auf unsere eigenen Server zu installieren.“ Zu einer ähnlichen Aussage kommt auch der IT-Kompass 2014, in dem speziell die IT ein „kritisches“ Auge auf die Cloud-Dienste wirft.

Sommer ist mit seiner Einschätzung nicht alleine. Ende 2014 zeigte eine Studie von Canopy, dass in Deutschland satte 58 Prozent der Befragten Datenschutz-Bedenken äußerten, 56 Prozent fürchten gar um den Datenschutz selbst. Dennoch, die CIOs deutscher Unternehmen sind sich der Gefahren für Wachstum und Wettbewerbsfähigkeit bewusst, wenn die IT nicht einen flexibleren und agileren Ansatz entwickelt. Laut der Studie rechnen 21 Prozent mit reduzierter Produktivität der Mitarbeiter und 36 Prozent mit größeren Zeitspannen bei Produkteinführungen. Die Zukunft könnte so, da sind sich 24 Prozent sicher, ein mangelndes Angebot an neuen Kundenservice-Varianten bringen – inklusive den Einschränkungen bei der Markteinführung neuer Produkte und Services.

Masterkey und der Fokus auf Microsoft, Apple, Amazon oder Google

Die Skepsis bleibt also; und das, obwohl Microsoft selbst über das eigene Trustcenter verspricht, keinerlei Datenanalysen vorzunehmen, keinerlei Weitergabe von Daten sowie die Verschlüsselung des allgemeinen Datentransfers und der Daten selbst (Master-Key bleibt allerdings bei Microsoft). In Sachen Mobilität hat meines Erachtens zwar die Nase vorn, auch weil ich speziell das Surface Pro 3 als mobiles Arbeitstier sehe, dennoch:

„Vertrauen ist ein entscheidender Faktor, den Kunden von ihrem Dienstleister fordern – sie müssen darauf vertrauen können, dass ihre Kunden- und Mitarbeiterdaten sicher sind. Unsere Branche muss Unternehmen helfen, Hürden zu überwinden – besonders hinsichtlich der kritischen Rolle, die Cloud-Technologien dabei spielen, Umsatzwachstum, Innovation und Attraktivität für Bewerber voranzutreiben“, kommentiert Dirk Münchow, Vice President Sales, Central & Eastern Europe bei Canopy die nur dezent kommunizierten Zahlen.

Fazit: Wie die FH-Düsseldorf feststellt, speichert Microsoft unsere Daten von Office 365 auf Server-Farmen in Europa. Ist somit „höchsten“ Sicherheitsstandards verpflichtet. Dennoch, für Unternehmen bleibt ein fader Beigeschmack und somit die anhaltende Skepsis angebracht. Denn sämtliche sensible Unternehmensdaten können auf Anfrage von NSA und anderen staatlichen Behörden abgerufen werden – dabei steht das jeweilige Unternehmen nicht einmal im Fokus, egal ob Microsoft, Apple, Amazon oder Google. Der Standort, wo das Unternehmen beheimatet ist, ist entscheidend. Und dank des Patriot Act können die Firmen sich nicht einmal dagegen wehren. Daher ist Vorsicht nicht die schlechteste Verteidigung. Sobald mit Kundendaten und andere sensiblen Informationen gearbeitet wird: Finger weg. Privat gesehen, muss jeder für sich entscheiden, wie sensibel und privat er/sie seine/ihre Daten halten möchte.