Textversion
Wer bietet Was Markt SaaS Cloud Services Fachartikel White Papers Specials Success Stories Schwerpunkte Literatur Lexikon und Glossar Schulungen Webinare Test-Downloads & Test-Accounts RSS-Presseschau Archiv-Meldungen
Startseite Cloud Cloud Computing-Hintergrund

Cloud


Cloud-Applikationen / -Lösungen Cloud Computing-Entwicklung Cloud Computing-Equipment Cloud Computing-Hintergrund Cloud Computing-Management Cloud Computing-Services Cloud Computing-Testumgebungen

Events / Veranstaltungen Marktübersichten Newsletter Datenschutzerklärung Mediadaten Schulungen Stellenanzeigen Wichtiger Hinweis zu Rechtsthemen Geschäftsbedingungen Impressum Links RSS: SaaS-Magazin.de-News Feed abonnieren SaaS-Magazin für Mobile Devices Sitemap

Sicherheit und Datenschutz beim Cloud Computing


Die Cloud ist intransparent und damit unkontrollierbar: Öffentliche Clouds werden von Outsourcing-Nehmern auch ohne ausdrückliche Information des Auftraggebers eingesetzt
Clouds können ein Sicherheitsrisiko darstellen wegen der außerhalb des Unternehmens fehlenden Durchsetzungsmöglichkeit unternehmenseigener Sicherheitspolitiken, -strategien und -verfahren

Anzeige

(08.12.10) - Die Gesellschaft für Informatik e.V. (GI) hat zehn Thesen zu Sicherheit und Datenschutz beim Cloud Computing vorgestellt. Beim "Cloud Computing" werden viele vernetzte Rechner gemeinsam genutzt.

"Cloud Computing ist in aller Munde und wird heute in vielfältigen Umgebungen eingesetzt. Deshalb ist es sehr wichtig, Risiken zu kennen und Handreichungen für einen verantwortungsvollen Einsatz von Clouds zu definieren", sagte GI-Präsident Stefan Jähnichen. Die GI habe deshalb folgende zehn Thesen aufgestellt, die die Herausforderungen Identity Management, Access Control und Integrity Control, Logging und Auditing, Risk Management und rechtlicher Compliance aus technischer und juristischer Sicht beschreiben.

Cloud Computing (früher: Grid-Computing und Utility Computing) bezeichnet preiswerte zentral und dynamisch organisierte große (verteilte und virtualisierte) Cluster von IT-Systemen (shared infrastructures, Server-Farmen): Hardware, Speicher- und Netzkapazitäten, Plattformen (Datenbanken und Run-Time-Environment) und Anwendungen (verteilte Nutzung von Software: Hosted Applications).

Lesen Sie zum Thema "IT-Sicherheit" auch: IT SecCity.de (www.itseccity.de)

Öffentliche Clouds werden sind in Deutschland und/oder, im Ausland oder an nicht (näher) spezifizierten Orten und auch off-shore angesiedelt; jedenfalls kann der Anwender nicht erkennen, an welchem Ort des weltweiten Internets seine Daten gespeichert oder verarbeitet werden. Die Cloud ist intransparent und damit unkontrollierbar: Öffentliche Clouds werden von Outsourcing-Nehmern auch ohne ausdrückliche Information des Auftraggebers eingesetzt. Wir alle benutzen Clouds, wenn wir z.B. mit Suchmaschinen, Software-as-a-Service (SaaS), webbasierten Maildiensten, Social Communities und Kalendern im Internet arbeiten.

Lesen Sie zum Thema "Compliance" auch: Compliance-Magazin.de (www.compliancemagazin.de)

Die folgenden Herausforderungen hinsichtlich Identity Management, Access Control und Integrity Control, Logging und Auditing, Risk Management und rechtlicher Compliance müssen also gelöst werden:

1. Clouds können ein Sicherheitsrisiko darstellen wegen der außerhalb des Unternehmens fehlenden Durchsetzungsmöglichkeit unternehmenseigener Sicherheitspolitiken, -strategien und -verfahren sowie Sicherheitsmaßnahmen und ihrer Kontrollierbarkeit. Das Gesamt-Sicherheitsniveau beim Cloud Computing kann naturgemäß nicht höher sein als das Sicherheitsniveau innerhalb des Unternehmens - durch die unverzichtbare Vor- und Nach-Verarbeitung im Unternehmen.

2. Daher lassen bereits heute Unternehmen nur ausgewählte Daten in öffentlichen Clouds verarbeiten und verarbeiten wertvolle Daten ausschließlich in privaten Clouds (in-house).

3. Private Clouds unterscheiden sich unter Sicherheitsaspekten nicht von den herkömmlichen unternehmenseigenen IT-Systemen, weil sie der unternehmenseigenen Sicherheitspolitik unterliegen und vollständig kontrolliert werden können. Entsprechendes gilt für rechtliche Vorgaben für die innerbetriebliche Informationsverarbeitung.

4. Bei der Nutzung öffentlicher Clouds (und auch hybrider) sind nationale Gesetze und branchenspezifische Selbstregulierungsmaßnahmen einzuhalten (Compliance); daraus folgt für einige Branchen, dass Clouds gar nicht genutzt werden dürfen. Risikomanagement (z. B. aus § 91 Abs. 2 AktG) und Sicherheitskonzepte sind bei der Nutzung von Clouds anzupassen. Einschränkungen ergeben sich insbesondere aus dem Datenschutzrecht, das die Übermittlung personenbezogener Daten in Staaten außerhalb der EU nur sehr eingeschränkt zulässt und auch innerhalb der EU Pflichten für die Auftragsdatenverarbeitung festsetzt, die nur eine eingeschränkte Nutzung öffentlicher Clouds erlauben.

5. Der Transport der zu verarbeitenden Daten zu öffentlichen Clouds erfolgt über das völlig unsichere Internet und kann nur äußerst aufwändig abgesichert werden.

6. Daten können zur Erhöhung der Vertraulichkeit in der Cloud verschlüsselt gespeichert werden; allerdings können Daten nicht verschlüsselt verarbeitet werden, dazu müssen sie in der Cloud erst wieder entschlüsselt werden – können dann allerdings in öffentlichen Clouds von Dritten ausgelesen werden. Alle eingesetzten Standard- und/oder Individualprogramme zum Transport zu Clouds und zur Verwaltung von Clouds (Virtualisierung, Lastausgleich, geografische Verteilung, Sicherungs- und Sicherheitsmaßnahmen etc.) und auch Verschlüsselungsprogramme und Protokolle sind nicht fehlerfrei; sie können vielmehr kritische (aus dem Internet ausnutzbare) Sicherheitslücken enthalten, die (unbekannten) Dritten ein Auslesen oder Abhören der Daten erlauben.

7. Sicherheitsrelevante Vorfälle müssen sorgfältig untersucht werden können (Forensik). Dies wird allerdings durch die geografische Verteilung der sehr vielen genutzten IT-Systeme schwierig bis unmöglich. Die Beschlagnahme lokalisierter Daten(träger) durch Ermittlungsbehörden verursacht Probleme, weil entweder der auf Virtualisierung und Mehrmandantenfähigkeit basierende Cloud Computing-Betrieb gestört wird oder die Alternative eines (potentiell manipulierten) Snapshots der Daten aus der Cloud nur verminderten Beweiswert vor Gericht hat.

8. Cloud-Betreiber können ihre Dienste einstellen - z.B. bei wirtschaftlichen Schwierigkeiten. Auch in solchen Fällen muss nicht nur vertraglich sondern auch technisch die volle Kontrolle durch den Anwender erhalten bleiben: Das so genannte "vendor-lock-in" könnte etwa durch branchenübergreifende Standards verhindert werden. Unentgeltliche Cloud-basierte Dienste werden häufig ohne jegliche Garantie angeboten, so dass die verarbeiten Daten besonders hohen Risiken ausgesetzt sind. Verträge bevorzugen zudem derzeit die Cloud Computing-Anbieter und berücksichtigen nicht in angemessener Form die Interessen der Cloud Computing-Nutzer.

9. Bei vertraglichen Vereinbarungen besteht häufig eine Diskrepanz zur technischen Durchsetzung (z.B. technische Unmöglichkeit der Datenlöschung bei Vertragsende oder besonderen Ereignissen wie Insolvenz).

10. Zur Beherrschung der Risiken durch gemeinsame Nutzung von Hard- und Software (Internet, Infrastruktur, Software und Verfahren) gleichzeitig mit unbekannten Dritten muss Cloud Computing dem Wert der verarbeiteten Daten entsprechend abgesichert werden. Öffentliche Clouds müssen wie Kritische Infrastrukturen behandelt werden, sofern sie allgemein und weitverbreitet genutzt werden sollen. Dabei sind auch kartellrechtliche Aspekte wie die "Essential-facilities-Doktrin" zu beachten.

Insgesamt ergeben sich stark erhöhte Anforderungen an die Absicherung unternehmenseigener und auch privater Datenverarbeitung bei Cloud Computing und zwar hinsichtlich Vertraulichkeit, Integrität, Verbindlichkeit (z.B. Authentifizierung Berechtigter) und Verfügbarkeit der verarbeiteten Daten und genutzten IT-Systeme, ferner auch stark erhöhte Anforderungen an die rechtliche Absicherung. (Gesellschaft für Informatik: ra)

Lesen Sie auch:
Gestaltung einer sicheren Cloud Computing-Umgebung
Cloud Computing und der Datenschutz

Gesellschaft für Informatik: Steckbrief

Der Informationsanbieter hat seinen Kontakt leider noch nicht freigeschaltet.

Anzeigen


Meldungen: Hintergrund

Risiken und Vorteile von Cloud Computing Die Cloud ("Wolke"). Bei diesem Namen denkt man unweigerlich an undurchsichtigen Nebel, der niemals greifbar ist. Auch Cloud Computing kann ähnlich mysteriös auf den Betrachter wirken. Bevor man sich diesem für viele teilweise noch unbekannten Bereich der IT nähert, sollte man zunächst den Rummel, der darum veranstaltet wird, von der Wirklichkeit trennen. Emerson Network Power hat einige weit verbreitete Annahmen über Cloud Computing unter die Lupe genommen und präsentiert jetzt die Ergebnisse dieser Untersuchung.

Mit Drei-Punkte-Plan zum Cloud Computing Rund 2,4 Millionen neue Arbeitsplätze bis 2015 und 760 Milliarden Euro Umsatz in Europa - glaubt man den Auguren des Centre for Economics and Business Research, stehen der IT-Branche mit Cloud Computing goldene Zeiten bevor. Tatsächlich wirft die Nutzung der Cloud viele Fragen auf: Wer hat Zugriff auf die abgespeicherten Informationen? Wie lässt sich der Zugang kontrollieren? Denn bei aller Euphorie über Einsparungen und Flexibilität ist klar: Der Umstieg auf Cloud Computing sollte gut vorbereitet und die IT-Infrastruktur entsprechend angepasst sein.

SaaS: Kostenlos oder kostenpflichtig auf Mietbasis Auch wenn heut fast jeder von Cloud Computing redet: Nur wenige private Nutzer wissen, mit dem Begriff, der den Beginn einer neuen Ära im Internet-Zeitalter zu markieren scheint, etwas anzufangen. Dabei ist in Deutschland schon nahezu jeder Internet-Nutzer mit so genannten Cloud Computing-Anwendungen oder Cloud Computing-Services in Kontakt gekommen. "Und zwar schon lange bevor sich der Begriff Cloud Computing überhaupt durchgesetzt hat", berichtet Christian Heutger, Geschäftsführer des Internet Security-Spezialisten PSW Group.

Was ist neu an Cloud Computing? Cloud Computing ist in aller Munde und kaum einer anderen IT-Technologie diagnostiziert die Marktforschung ein vergleichbares Wachstumspotential. Aber ist Cloud Computing wirklich eine neue Ära und revolutioniert die Bereitstellung von IT-Services? Und ist Cloud Computing schon beim Mittelstand angekommen? Unsere Meinung ist: ja.

Wenn die Cloud die sicherste Lösung ist Auch wenn der "Cloud" vielerorts noch wenig Vertrauen entgegengebracht wird: Es gibt durchaus Fälle, in denen die Zusammenarbeit via Cloud nicht nur eine praktikable, sondern auch die sicherste Lösung ist. Und zwar schon länger, als es den Begriff "Cloud" gibt. Die Unternehmensberatung microfin kennt Beispiele aus der Praxis - etwa bei der Zusammenarbeit von Mitarbeitern im und außerhalb des Unternehmens.

Definitionen von Cloud-Services Public Cloud beschreibt eine "öffentlich zugängliche" IT-Umgebung, die von einer beliebigen Anzahl Personen und Unternehmen genutzt werden kann. Das heißt, IT-Systeme werden im hohen Maße gemeinsam für verschiedene Anwender eingesetzt, Netzwerke sind nicht separiert und der Anwender weiß nicht, wo zum Beispiel seine Daten gespeichert sind. Eine Public Cloud bietet potenziell die besten wirtschaftlichen Größenvorteile, aber auch geringe Datensicherheit und spezifische Verfügbarkeit.

Zugriff auf Cloud Computing-Services Covisint, Sicherheits- und Cloud Computing-Spezialistin in der Automobilindustrie und Tochter von Compuware, plädierte anlässlich der Automobilwoche-Konferenz 2011 für sichere Netzwerk-Plattformen beim vernetzten Fahrzeug. Informations- und Kommunikations-Netzwerke seien erst dann sicher, wenn sie über ein robustes und flexibles Identitätsmanagement verfügen sowie eine einfache und geschützte Kommunikation zwischen Fahrzeugherstellern, -händlern und -besitzern zulassen. Außerdem sei der unkomplizierte Zugriff auf Cloud Computing-Services sowie die Unterstützung jeder denkbaren Strategie zur Internetanbindung entscheidend.

Cloud Data Management Interface (CDMI) Die Cloud Storage Initiative (CSI) der SNIA Europe meldet die zunehmende Akzeptanz und Verbreitung der von ihr entwickelten unabhängigen Managementschnittstelle für Cloud Storage "CDMI". Der Storage-Fachverband stellte das "Cloud Data Management Interface" (CDMI) offiziell vor einem Jahr vor; mittlerweile entwickeln verschiedene Zertifizierungs- und Entwicklungsgremien Referenzimplementierungen auf Basis von CDMI.

Vier Argumente für Enterprise Cloud Vielen Unternehmen bietet Cloud Computing zu wenig Sicherheit. Easynet will zeigen, wie man mit einer Enterprise Cloud die Vorteile des Cloud Computing auch in unternehmenskritischen Umgebungen nutzen kann.

Gewachsene IT und Cloud kombinieren Experten bescheinigen der Cloud das Potential, die IT-Landschaft nachhaltig zu verändern; deutsche Unternehmen zeigen sich beim Einstieg in die Wolke aber noch zurückhaltend. Viele SAP-Anwender fragen sich, was mit ihren millionenschweren SAP-Installationen geschieht, sollten sie sämtliche Applikationen aus dem Netz beziehen. Die Lösung: Der Weg in die Cloud führt über die private Cloud.

Druckbare Version

Cloud Sourcing: Vom Prinzip her bereits bekannt Gestaltung einer sicheren Cloud Computing-Umgebung