Cloud-Services stehen für ein bahnbrechendes IT-Konzept, das eine höhere Flexibilität und Skalierung zu besseren Preiskonditionen verspricht. Damit erhält die Unternehmens-IT zwangsläufig einen immer offeneren Charakter. Die einst scharfe Grenzziehung zwischen innen und außen ist mehr und mehr in Auflösung begriffen. Konsequenterweise nimmt die IT-Sicherheit eine prominente Rolle ein, wenn in Unternehmen der Einsatz von Cloud Computing diskutiert wird. Das ist einerseits richtig, denn mit den unterschiedlichen Cloud-Szenarien gewinnt das Thema Sicherheit neue Facetten. Andererseits wird die Diskussion in der Regel zu einseitig mit Fokus auf die Vertrauenswürdigkeit des Cloud-Providers geführt. Dabei vernachlässigen die Unternehmen gerne, dass die eigenen Mitarbeiter eine große Schwachstelle für die Sicherheit sind: zum einen mit krimineller Energie, wie die vielen Meldungen über Datendiebstähle vor Augen führen, zum anderen durch Schludrigkeit, indem man einfachste Sicherheitsregeln ignoriert. Die Security-Regel Nummer eins lautet daher: Unternehmen müssen dem Thema Sicherheit die gebotene Aufmerksamkeit und Sorgfalt entgegenbringen – unabhängig davon, ob sie IT-Leistungen aus interner oder externer Quelle beziehen. Was bedeutet dies für das Cloud Computing? Grundsätzlich drohen beim Bezug von IT-Leistungen aus der „Wolke“ die identischen Sicherheitsrisiken und Angriffsszenarien, mit denen sich Unternehmen bereits in traditionellen IT-Infrastrukturen befassen müssen. Im Vergleich zum herkömmlichen Betrieb liegt die Verantwortung allerdings nicht mehr ausschließlich bei der eigenen IT-Organisation. Je nach Liefermodell oder Service-Konzept teilen sich Unternehmen die Kontrolle nun mit dem Cloud-(Service-)Provider oder geben sie gar zum überwiegenden Teil ab. Im Fall einer Public oder Hybrid Cloud kommen die Risiken einer gemeinsam genutzten Infrastruktur hinzu. Auch kann die Cloud sehr undurchsichtig sein. Mitunter haben Unternehmen geringen oder überhaupt keinen Einblick, wie und wo der Service bereitgestellt wird und wer ihn kontrolliert. Es ist gut möglich, dass ein Service aus einem Mashup mehrerer Dienste von mehreren Anbietern besteht, die zudem physisch in verschiedenen Rechenzentren an unterschiedlichen Standorten gehostet werden. Eine enorme Herausforderung für Unternehmen beim Wechsel zum Cloud Computing besteht im Verlust der direkten Kontrolle. Denn traditionellerweise gehen Prozeduren zur Risikovorsorge vom physischen Zugriff auf Anwendungen und Systeme aus. In der Cloud löst sich mit der Virtualisierungstechnik das „Meine Server, meine Speicher, meine Anwendungen“-Gebahren jedoch auf.