Textversion
Wer bietet Was? Markt SaaS Cloud Services Fachbeiträge White Papers Specials Success Stories Schwerpunkte Literatur Lexikon und Glossar Webinare Test-Downloads RSS-Presseschau Schulungen Archiv-Meldungen
Startseite Fachbeiträge Grundlagen

Fachbeiträge


Grundlagen Hintergrund

Marktübersichten Datenschutzerklärung Mediadaten Events / Veranstaltungen Schulungen Stellenanzeigen Wichtiger Hinweis zu Rechtsthemen Geschäftsbedingungen Impressum Links Newsletter RSS: SaaS-Magazin.de-News Feed abonnieren SaaS-Magazin für Mobile Devices Sitemap

Sicherheit und Cloud Computing


Den Vorteilen beim Cloud Computing stehen neue Herausforderungen bezüglich der Sicherheit entgegen
Welche Risiken beim Public Cloud Computing besonders zu beachten sind

Anzeige

Dr. Thomas Störtkuhl, Hans Wagner, Secaron AG

(28.04.10) - Gerade für CxOs erscheint Cloud Computing attraktiv, da es Möglichkeiten bietet kostengünstig die Anforderungen an die IT zu erfüllen. Diese Möglichkeiten eröffnen sich hier, weil die IT Anforderungen von der IT Infrastruktur entkoppelt werden. Diese Entkopplung ermöglicht zudem eine Flexibilisierung, da genau die IT Ressourcen, die benötigt werden, angefordert werden können. Weiter können Geschäftsprozesse auch schneller IT basiert eingeführt werden, da IT Ressourcen nicht erst beschafft werden müssen, sondern über das Cloud Computing bereits zur Verfügung stehen. Durch Service-basierte Abrechnungsmodelle ergeben sich zusätzlich Potentiale zur Reduktion der Kosten.

Cloud Computing bietet also vielversprechende Lösungen an. Den Vorteilen stehen aber auch neue Herausforderungen bzgl. Sicherheit entgegen. Die durch Cloud Computing neu entstehenden Risiken müssen analysiert, bewertet und gegebenenfalls reduziert bzw. vermieden werden. Im Folgenden werden Risiken des Cloud Computing aufgezeigt und Lösungen zur Reduktion der Risiken beschrieben. Hierbei wird unter Cloud Computing ein stark flexibilisierter und standardisierter Service verstanden, der ein verteiltes Computing gemäß Bedarf ("Computing as-a-Service") aufgrund von definierten Service Level Agreements ermöglicht. Cloud Computing kann dabei durch ein Unternehmen selbst ermöglicht werden (Private Cloud), durch einen Dienstleister angeboten werden (Public Cloud) oder im Mischbetrieb von Public und Private Cloud realisiert werden.

Lesen Sie zum Thema "IT-Security" auch: IT SecCity.de (www.itseccity.de)

Risikobetrachtung
Für die Betrachtung der Risiken beschränken wir uns hier auf das Thema Public Cloud. Dann liegt ein Outsourcing-Fall vor, bei dem folgende Charakteristiken beachtet werden müssen, die die besonders zu beachtenden Risiken beinhalten:

• Lokalisierung der Daten nicht möglich
Eine Lokalisierung der Daten ist auf einfache Weise und insbesondere für den Dateneigentümer nicht mehr möglich. Noch kritischer: es ist nicht klar, in welchen Ländern, Rechenzentren, auf welchen Servern und mit welcher Software Daten gespeichert und verarbeitet werden. Insbesondere verschiedene Datenschutzgesetze können dazu führen, dass personenbezogene Daten nicht in einer Public Cloud verarbeitet werden dürfen.

• Zugriffskontrolle auf Daten sehr schwierig
Aufgrund des Distributed Computing kann eine angemessene Zugriffskontrolle auf Daten nur schwer realisiert werden. Generell bestehen keine Möglichkeiten bei unterschiedlichen Kulturen und bei unterschiedlicher Rechtsprechung Zugriffskontrollen durchgängig durchzusetzen. Zu beachten ist insbesondere auch, dass nach Beendigung des Auftrags die verarbeiteten Daten und alle Zwischenergebnisse in der Public Cloud gelöscht werden müssen. Hier ist überhaupt nicht klar, wie dies technisch gewährleistet werden kann. Auch das Thema Mandantentrennung muss hier adressiert werden.

• Insolvenz des Providers
Hier muss beachtet werden, dass die Insolvenz eines Providers nicht bedeutet, dass alle Rechenzentren, die der Provider für Cloud Computing verwendet hat, ebenfalls insolvent sind. Rechenzentren werden zudem bei Insolvenz mit großer Wahrscheinlichkeit an andere Provider verkauft werden. In all diesen Fällen ist nicht klar, wie die Daten vor unberechtigtem Zugriff geschützt werden können.

• Beschlagnahmung von Hardware
Zum Beispiel kann eine Beschlagnahmung von Hardware in allen Ländern erfolgen in denen der Provider Computing-Ressourcen betreibt. Die Beschlagnahmung kann aus vielerlei Gründen erfolgen, die nicht durch den Auftraggeber verantwortet werden. Sehr wohl können sich aber Daten des Auftraggebers auf beschlagnahmten Servern befinden. Zudem können Logdaten auf Servern und Routern Schlussfolgerungen über die Geschäftstätigkeit des Auftragnehmers ermöglichen und zwar auch dann, wenn keine sonstigen Geschäftsdaten vorliegen.

• Handel mit Ressourcen wird denkbar
Zurzeit ist noch nicht ersichtlich, inwieweit Provider von Cloud Computing einen Handel mit ihren Ressourcen untereinander aufbauen werden. Eine "Ressourcenbörse" wie sie in Abbildung 1 angedeutet ist, ist sogar denkbar. Auf dieser Börse werden Ressourcen zu einem bestimmten Preis angeboten. In Leistungsspitzen würde sich zum Beispiel der Preis für CPU-Stunde erhöhen und auf der Börse entsprechend gehandelt werden. Welche Konsequenzen dies für die Sicherheit der Daten hat, ist noch vollkommen unklar.

Ressourcenbörse denkbar:

Handel mit Ressourcen im Bereich des Cloud Computing, Bild: Secaron


• Problematik mit Subunternehmer
Ein weiteres Problem stellt die Auftragsabgabe an Subunternehmer dar. Der Provider kann ja nach Belieben für gewisse Leistungen Subunternehmer verpflichten. In einer Public Cloud bleibt auch diese Komplexität dem Benutzer vollkommen verborgen (uns soll ja im Sinne der Philosophie des Cloud Computing verborgen bleiben).

• Erpressungsversuche
Die Gefahr von Erpressungsversuchen steigt, da der Personenkreis, der die Ressourcen der Cloud administriert unüberschaubar groß ist. Zu beachten ist hier, dass das eingesetzte Personal im Allgemeinen über unterschiedliches Ausbildungsniveau und Sicherheitsbewusstsein verfügt. Auch sind die Motivationslagen der Mitarbeiter in vielen Ländern nicht kalkulierbar.

Cloud Computing Sicherheit umsetzen
Es gibt eine Vielzahl von technischen und organisatorischen Maßnahmen, die zur Reduktion der oben genannten Risiken beitragen. Hierzu zählen vertragliche Regelungen und SLAs (Service Level Agreement), technische Maßnahmen wie Verschlüsselung der Daten in Datenbanken und bei Kommunikation (z.B. Ver- und Entschlüsselung von vertraulichen Daten nur am Client), ausreichende Authentisierung (z.B. 2-Faktor-Authentisierung) mit einer rigiden Beschränkung der Zugriffsrechte nach dem Need-to-Know Prinzip, Entwicklung von Notfallplänen etc.

Üblicherweise haben jedoch die Dienstleister für Cloud Computing Standard-Verträge und SLAs definiert, die als nicht verhandelbar gelten. Veränderungen dieser SLAs (wenn überhaupt möglich) werden zu deutlich höheren Preisen für die angebotenen Services führen. Hilfreich ist aber nach einem definierten Verfahren ein Cloud Computing Vorhaben um zusetzten. Dieses Vorgehen sollte mindestens folgende Aspekte berücksichtigen:

• Das Management hat eine Strategie für Cloud Computing entwickelt, in der insbesondere definiert ist, für welche Geschäftsbereiche oder -prozesse Cloud Computing angezielt wird oder nicht erlaubt werden kann. Zudem wird erläutert, welche Risiken abzusichern sind oder auf keinen Fall eingegangen werden dürfen.

• Das Vorgehen definiert klar die Phasen "Planung, Vertragsgestaltung, Migration und Betrieb"und alle notwendigen Verantwortlichkeiten. In der Planungsphase werden insbesondere die Sicherheitsanforderungen ermittelt und die möglichen Dienstleister nach einem definierten Kriterienkatalog ausgewählt. Die Sicherheitsanforderungen fließen in die Verträge und Sicherheitskonzepte ein. Die Verträge bzw. SLAs definieren messbare Kennzahlen, die die Überwachung auch der Sicherheit ermöglichen.
Gemäß den Sicherheitskonzepten, die zu Beginn der Migrationsphase zusammen mit dem Dienstleister entwickelt werden, erfolgt die Umsetzung des Cloud Computing Vorhabens und der anschließende Betrieb der Cloud. Die Sicherheitskonzepte müssen dabei ständig aktuell gehalten werden.

• Alle Verantwortlichen wie Management, Rechtsabteilung, Betriebsrat, Datenschutzbeauftragter, Sicherheitsbeauftragter und Fachabteilungen werden von Anfang einbezogen.

• Für das Cloud Computing-Vorhaben ist ein Sicherheitsbeauftragter benannt, der auch während des Betriebs der Cloud zuständig bleibt.

• Die Verträge räumen dem Auftragnehmer alle notwendigen Auditrechte ein, um seinen Pflichten gegenüber Kunden und Behörden gerecht werden zu können. Insbesondere wird Dienstleister auf Vertraulichkeit auch über das Vertragsverhältnis hinaus verpflichtet. Weiter wird auch die Beendigung des Cloud Computing Betriebs oder der Wechsel zu einem anderen Dienstleister geregelt. Ganz wichtig ist hier zu klären, wie denn die Löschung von Daten und die Übergabe von Daten gewährleistet werden kann.

Betrieb der Cloud planen:

Prozess zur Umsetzung eines Cloud Computing-Vorhabens, Bild: Secaron


Fazit
Das Cloud Computing eröffnet auf der einen Seite eine Reihe von Chancen wie Kostenreduzierung, Einkauf von Sicherheit auf hohem Niveau (standardisierte Prozesse: Change Prozess wird mit hohem Reifegrad durchlaufen und gemanaged; moderne Technologien: Web Application Firewall etc. werden eingesetzt), Billing genau nach abgerufener Leistung, Erleichterung des Wechsels zwischen Anbietern und neue Disaster Recovery Ansätze.

Auf der anderen Seite bestehen ganze neue Risiken, die bisher nicht bedacht werden mussten, die man jedoch unbedingt in den Griff bekommen muss. Dabei muss berücksichtigt werden, dass der Schutz der Daten (gerade im Bereich Vertraulichkeit) oder die Einhaltung rechtlicher Vorgaben (siehe unterschiedlicher Datenschutz in den Ländern, Archivierungsregeln etc.) mit herkömmlichen Mitteln nicht gewährleistet werden kann. Hier müssen z.B. kryptographische Methoden eingesetzt werden, die häufig den Einsatz von standardisierten Applikationen erschweren.

Ganz wesentlich sind aber vertragliche Regelungen, die den Dienstleister zu einem Betrieb der Cloud gemäß den Sicherheits- und Compliance-Anforderungen des Unternehmens zwingen. Legt man jedoch Anforderungen vertraglich fest, die über die Standard SLAs des Dienstleisters hinausgehen, ist wiederum mit deutlich höheren Kosten zu rechnen. Ob Cloud Computing wirklich zu einer Kostenreduktion führt, hängt deshalb maßgeblich davon ab, mit welchen Risiken Geschäftsprozesse mittels Cloud Computing unterstützt werden können. (Secaron: ra)

Autoren:
Dr. Thomas Störtkuhl und Hans Wagner, Consultants der Secaron AG. Als Unternehmensberatung in allen Fragen der Informationssicherheit setzt das Unternehmen höchste Priorität darauf, mit ihren Kunden ein adäquates, wirtschaftlich sinnvolles Sicherheits-Niveau festzulegen. Die Secaron AG hilft sowohl bei der Umsetzung organisatorischer, als auch technischer Maßnahmen, um die Geschäftsprozesse der Kunden sicher ablaufen zu lassen.

Secaron: Kontakt und Steckbrief

Der Informationsanbieter hat seinen Kontakt leider noch nicht freigeschaltet.

Anzeigen


Meldungen: Grundlagen

Durch Outsourcing zum Vorsprung Die weltweite Wirtschafts- und Finanzkrise hat zahlreiche Unternehmen schwer gebeutelt. Das Thema Outsourcing rückt dadurch nicht neu auf die Agenda, allerdings werden die Entscheidungen für oder gegen ein solches Projekt schneller getroffen. Hier lauern aber Gefahren, die es abzuwenden gilt.

Der sichere Pfad in die Cloud Dieser Artikel versucht einen Prozess zur sicheren Migration in eine Public Cloud zu beschreiben. Das vorgestellte funktionsunabhängige Vorgehen soll eine Kontrolle der Risiken und Compliance-Anforderungen und damit ein angemessenes Sicherheitsniveau gewährleisten. Zudem werden die besonderen Risiken, die mit dem Outsourcing in eine Public Cloud verbunden sind, aufgezeigt. In diesem Zusammenhang wird Cloud Computing als ein Outsourcing-Vorhaben mit folgenden Besonderheiten betrachtet: >> die Provider und die "Standorte" der Cloud sind anonym weltweit verteilt; >> die Ressourcen können on-demand sofort zur Verfügung gestellt werden.

PEP-Technologie für die Cloud Für Firmen, die ihren IT-Aufwand verringern möchten, stellt Cloud Computing eine attraktive Möglichkeit dar, die jedoch auch viele Herausforderungen birgt. Einige Führungskräfte befürchten, dass sie die Kontrolle über hochgeladene Anwendungen und Daten verlieren und sehen zudem die Sicherheit der Daten gefährdet. Um diesen Befürchtungen begegnen zu können, ist es daher unabdingbar, dass IT-Verantwortliche die Cloud betreffende Aktivitäten einer strengen Kontrolle und Aufsicht unterziehen. Die "Cloud Governance", eine logische Fortentwicklung von Strategien der SOA-Governance (Service-orientierte Architektur = SOA), bietet ein Mittel, die Kontrolle über interne und externe Anwendungen und Daten zu behalten. Sie bietet zudem eine vereinheitlichte und anwendungsbezogene Sicht der IT im Datenzentrum sowie in der Cloud.

Auslagerung des Application Management Wachstum der IT-Landschaft über Jahre hinweg, partielle Anpassung der IT an die Geschäftsanforderungen oder länderspezifische Systeme - meist ist die IT in Unternehmen ein bunter Flickenteppich. Diese Heterogenität und die ständig neuen technischen Innovationen stellen Application Management-Dienstleister vor Herausforderungen. Unternehmen selbst können sie kaum bewältigen und nutzen externe Application Management Services (AMS), die weltweit und mit Expertenwissen bereit gestellt werden.

Finanzprozesse "as a Service" Jedes Jahr werden in Europa laut den Analysten von Billentis rund 30 Milliarden Rechnungen verschickt. Für Unternehmen stellen Rechnungseingang sowie -ausgang damit einen erheblichen Kostenpunkt dar - wie groß dieser tatsächlich ist, ist den wenigsten Entscheidern im Unternehmen bekannt. Dennoch behandeln Unternehmen den Rechnungsprozess oftmals stiefmütterlich und binden in ihm zu viele Ressourcen. Bei zunehmender Konkurrenz im Markt und sinkenden Margen ist so eine Einstellung Teilprozessen gegenüber nicht beizubehalten. Jeder Prozess im Unternehmen muss durchleuchtet werden und auf seine Effizienz hin überprüft werden. Zunächst mögen für die dann nötige Prozessoptimierung weitere Kosten anfallen, doch langfristig lohnt sich ein solches Unterfangen.

IT-Sicherheit und Cloud Computing Cloud Computing ist sowohl in Unternehmen als auch privat inzwischen zum Standard bei der Bereitstellung von IT-Diensten geworden. Mehr als 50 Prozent der im Rahmen der Global Information Security Workforce Study befragten IT-Sicherheitsspezialisten unterhalten nach eigenen Angaben Clouds und über 40 Prozent arbeiten mit Software-as-a-Service (SaaS).

Alles über SaaS für Helpdesks Kleine und mittlere Unternehmen, die Software-as-a-Service (SaaS) zur Automatisierung ihrer IT-Helpdesks und der IT-Infrastruktur einsetzten, berichten von bedeutenden Einsparungen. Die Gründe für den Umstieg von herkömmlicher Software auf SaaS sind höhere Effizienz, Skalierbarkeit, Zuverlässigkeit/Verfügbarkeit, minimale Start-up-Kosten, eine niedrige monatliche Abogebühr und automatische Updates.

Fünf Schritte zur effektiven Cloud Im Unternehmen wird rege die Architektur von Cloud Computing-Lösung diskutiert. Dem Verantwortlichen ist klar, dass eine "Provisioning Engine", ein "Self Service-Portal" sowie ein Mechanismus zur Abbestellung von Services benötigt werden. Dennoch bleiben of einige wichtige Fragen noch offen. Wer nutzt die Cloud? Welche Services werden überhaupt benötigt - und mit welchen Optionen? Wie interagiert die Cloud mit den bestehenden Systemen? All diese Themen bedürfen der gründlichen Planung.

Nutzen einer Managed-VPS-Lösung Viele Unternehmen, die ihre Website nicht mehr selbst betreiben wollen, nutzen das Hosting-Angebot eines Internetdienstleisters. Dabei entscheiden sie sich vielfach für eine Dedicated-Server-Variante. Eine solche Lösung ist aber für viele Anwender völlig überdimensioniert und zudem zu teuer. Eine performante Alternative hierzu sind gemanagte virtuelle Server, sogenannte VPS (Virtual Private Server). Sie bieten die Vorteile einer Dedicated-Hosting-Variante, sind aber deutlich kostengünstiger.

Vier Strategien für die Cloud Das Konzept des Cloud Computing weicht maßgeblich vom herkömmlichen Modell der IT-Servicebereitstellung ab. Services sind dabei nicht mehr an bestimmte Hardware-Silos gebunden. Stattdessen sind virtualisierte Ressourcen wie Server, Netzwerkgeräte und Speicher von der Hardware unabhängig. Diese bewegen sich frei innerhalb der Infrastruktur und stellen Services unabhängig von Zeit und Ort bereit.

Druckbare Version

Mittelstands-IT auf Crashkurs Datenschutz und Outsourcing