- Anzeige -


Sie sind hier: Startseite » Fachartikel » Grundlagen

Sicherheit und Cloud Computing


Den Vorteilen beim Cloud Computing stehen neue Herausforderungen bezüglich der Sicherheit entgegen
Welche Risiken beim Public Cloud Computing besonders zu beachten sind


Dr. Thomas Störtkuhl, Hans Wagner, Secaron AG

(28.04.10) - Gerade für CxOs erscheint Cloud Computing attraktiv, da es Möglichkeiten bietet kostengünstig die Anforderungen an die IT zu erfüllen. Diese Möglichkeiten eröffnen sich hier, weil die IT Anforderungen von der IT Infrastruktur entkoppelt werden. Diese Entkopplung ermöglicht zudem eine Flexibilisierung, da genau die IT Ressourcen, die benötigt werden, angefordert werden können. Weiter können Geschäftsprozesse auch schneller IT basiert eingeführt werden, da IT Ressourcen nicht erst beschafft werden müssen, sondern über das Cloud Computing bereits zur Verfügung stehen. Durch Service-basierte Abrechnungsmodelle ergeben sich zusätzlich Potentiale zur Reduktion der Kosten.

Cloud Computing bietet also vielversprechende Lösungen an. Den Vorteilen stehen aber auch neue Herausforderungen bzgl. Sicherheit entgegen. Die durch Cloud Computing neu entstehenden Risiken müssen analysiert, bewertet und gegebenenfalls reduziert bzw. vermieden werden. Im Folgenden werden Risiken des Cloud Computing aufgezeigt und Lösungen zur Reduktion der Risiken beschrieben. Hierbei wird unter Cloud Computing ein stark flexibilisierter und standardisierter Service verstanden, der ein verteiltes Computing gemäß Bedarf ("Computing as-a-Service") aufgrund von definierten Service Level Agreements ermöglicht. Cloud Computing kann dabei durch ein Unternehmen selbst ermöglicht werden (Private Cloud), durch einen Dienstleister angeboten werden (Public Cloud) oder im Mischbetrieb von Public und Private Cloud realisiert werden.

Lesen Sie zum Thema "IT-Security" auch: IT SecCity.de (www.itseccity.de)

Risikobetrachtung
Für die Betrachtung der Risiken beschränken wir uns hier auf das Thema Public Cloud. Dann liegt ein Outsourcing-Fall vor, bei dem folgende Charakteristiken beachtet werden müssen, die die besonders zu beachtenden Risiken beinhalten:

• Lokalisierung der Daten nicht möglich
Eine Lokalisierung der Daten ist auf einfache Weise und insbesondere für den Dateneigentümer nicht mehr möglich. Noch kritischer: es ist nicht klar, in welchen Ländern, Rechenzentren, auf welchen Servern und mit welcher Software Daten gespeichert und verarbeitet werden. Insbesondere verschiedene Datenschutzgesetze können dazu führen, dass personenbezogene Daten nicht in einer Public Cloud verarbeitet werden dürfen.

• Zugriffskontrolle auf Daten sehr schwierig
Aufgrund des Distributed Computing kann eine angemessene Zugriffskontrolle auf Daten nur schwer realisiert werden. Generell bestehen keine Möglichkeiten bei unterschiedlichen Kulturen und bei unterschiedlicher Rechtsprechung Zugriffskontrollen durchgängig durchzusetzen. Zu beachten ist insbesondere auch, dass nach Beendigung des Auftrags die verarbeiteten Daten und alle Zwischenergebnisse in der Public Cloud gelöscht werden müssen. Hier ist überhaupt nicht klar, wie dies technisch gewährleistet werden kann. Auch das Thema Mandantentrennung muss hier adressiert werden.

• Insolvenz des Providers
Hier muss beachtet werden, dass die Insolvenz eines Providers nicht bedeutet, dass alle Rechenzentren, die der Provider für Cloud Computing verwendet hat, ebenfalls insolvent sind. Rechenzentren werden zudem bei Insolvenz mit großer Wahrscheinlichkeit an andere Provider verkauft werden. In all diesen Fällen ist nicht klar, wie die Daten vor unberechtigtem Zugriff geschützt werden können.

• Beschlagnahmung von Hardware
Zum Beispiel kann eine Beschlagnahmung von Hardware in allen Ländern erfolgen in denen der Provider Computing-Ressourcen betreibt. Die Beschlagnahmung kann aus vielerlei Gründen erfolgen, die nicht durch den Auftraggeber verantwortet werden. Sehr wohl können sich aber Daten des Auftraggebers auf beschlagnahmten Servern befinden. Zudem können Logdaten auf Servern und Routern Schlussfolgerungen über die Geschäftstätigkeit des Auftragnehmers ermöglichen und zwar auch dann, wenn keine sonstigen Geschäftsdaten vorliegen.

• Handel mit Ressourcen wird denkbar
Zurzeit ist noch nicht ersichtlich, inwieweit Provider von Cloud Computing einen Handel mit ihren Ressourcen untereinander aufbauen werden. Eine "Ressourcenbörse" wie sie in Abbildung 1 angedeutet ist, ist sogar denkbar. Auf dieser Börse werden Ressourcen zu einem bestimmten Preis angeboten. In Leistungsspitzen würde sich zum Beispiel der Preis für CPU-Stunde erhöhen und auf der Börse entsprechend gehandelt werden. Welche Konsequenzen dies für die Sicherheit der Daten hat, ist noch vollkommen unklar.

Ressourcenbörse denkbar:
Ressourcenbörse denkbar: Handel mit Ressourcen im Bereich des Cloud Computing, Bild: Secaron


• Problematik mit Subunternehmer
Ein weiteres Problem stellt die Auftragsabgabe an Subunternehmer dar. Der Provider kann ja nach Belieben für gewisse Leistungen Subunternehmer verpflichten. In einer Public Cloud bleibt auch diese Komplexität dem Benutzer vollkommen verborgen (uns soll ja im Sinne der Philosophie des Cloud Computing verborgen bleiben).

• Erpressungsversuche
Die Gefahr von Erpressungsversuchen steigt, da der Personenkreis, der die Ressourcen der Cloud administriert unüberschaubar groß ist. Zu beachten ist hier, dass das eingesetzte Personal im Allgemeinen über unterschiedliches Ausbildungsniveau und Sicherheitsbewusstsein verfügt. Auch sind die Motivationslagen der Mitarbeiter in vielen Ländern nicht kalkulierbar.

Cloud Computing Sicherheit umsetzen
Es gibt eine Vielzahl von technischen und organisatorischen Maßnahmen, die zur Reduktion der oben genannten Risiken beitragen. Hierzu zählen vertragliche Regelungen und SLAs (Service Level Agreement), technische Maßnahmen wie Verschlüsselung der Daten in Datenbanken und bei Kommunikation (z.B. Ver- und Entschlüsselung von vertraulichen Daten nur am Client), ausreichende Authentisierung (z.B. 2-Faktor-Authentisierung) mit einer rigiden Beschränkung der Zugriffsrechte nach dem Need-to-Know Prinzip, Entwicklung von Notfallplänen etc.

Üblicherweise haben jedoch die Dienstleister für Cloud Computing Standard-Verträge und SLAs definiert, die als nicht verhandelbar gelten. Veränderungen dieser SLAs (wenn überhaupt möglich) werden zu deutlich höheren Preisen für die angebotenen Services führen. Hilfreich ist aber nach einem definierten Verfahren ein Cloud Computing Vorhaben um zusetzten. Dieses Vorgehen sollte mindestens folgende Aspekte berücksichtigen:

• Das Management hat eine Strategie für Cloud Computing entwickelt, in der insbesondere definiert ist, für welche Geschäftsbereiche oder -prozesse Cloud Computing angezielt wird oder nicht erlaubt werden kann. Zudem wird erläutert, welche Risiken abzusichern sind oder auf keinen Fall eingegangen werden dürfen.

• Das Vorgehen definiert klar die Phasen "Planung, Vertragsgestaltung, Migration und Betrieb"und alle notwendigen Verantwortlichkeiten. In der Planungsphase werden insbesondere die Sicherheitsanforderungen ermittelt und die möglichen Dienstleister nach einem definierten Kriterienkatalog ausgewählt. Die Sicherheitsanforderungen fließen in die Verträge und Sicherheitskonzepte ein. Die Verträge bzw. SLAs definieren messbare Kennzahlen, die die Überwachung auch der Sicherheit ermöglichen.
Gemäß den Sicherheitskonzepten, die zu Beginn der Migrationsphase zusammen mit dem Dienstleister entwickelt werden, erfolgt die Umsetzung des Cloud Computing Vorhabens und der anschließende Betrieb der Cloud. Die Sicherheitskonzepte müssen dabei ständig aktuell gehalten werden.

• Alle Verantwortlichen wie Management, Rechtsabteilung, Betriebsrat, Datenschutzbeauftragter, Sicherheitsbeauftragter und Fachabteilungen werden von Anfang einbezogen.

• Für das Cloud Computing-Vorhaben ist ein Sicherheitsbeauftragter benannt, der auch während des Betriebs der Cloud zuständig bleibt.

• Die Verträge räumen dem Auftragnehmer alle notwendigen Auditrechte ein, um seinen Pflichten gegenüber Kunden und Behörden gerecht werden zu können. Insbesondere wird Dienstleister auf Vertraulichkeit auch über das Vertragsverhältnis hinaus verpflichtet. Weiter wird auch die Beendigung des Cloud Computing Betriebs oder der Wechsel zu einem anderen Dienstleister geregelt. Ganz wichtig ist hier zu klären, wie denn die Löschung von Daten und die Übergabe von Daten gewährleistet werden kann.

Betrieb der Cloud planen:
Betrieb der Cloud planen: Prozess zur Umsetzung eines Cloud Computing-Vorhabens, Bild: Secaron


Fazit
Das Cloud Computing eröffnet auf der einen Seite eine Reihe von Chancen wie Kostenreduzierung, Einkauf von Sicherheit auf hohem Niveau (standardisierte Prozesse: Change Prozess wird mit hohem Reifegrad durchlaufen und gemanaged; moderne Technologien: Web Application Firewall etc. werden eingesetzt), Billing genau nach abgerufener Leistung, Erleichterung des Wechsels zwischen Anbietern und neue Disaster Recovery Ansätze.

Auf der anderen Seite bestehen ganze neue Risiken, die bisher nicht bedacht werden mussten, die man jedoch unbedingt in den Griff bekommen muss. Dabei muss berücksichtigt werden, dass der Schutz der Daten (gerade im Bereich Vertraulichkeit) oder die Einhaltung rechtlicher Vorgaben (siehe unterschiedlicher Datenschutz in den Ländern, Archivierungsregeln etc.) mit herkömmlichen Mitteln nicht gewährleistet werden kann. Hier müssen z.B. kryptographische Methoden eingesetzt werden, die häufig den Einsatz von standardisierten Applikationen erschweren.

Ganz wesentlich sind aber vertragliche Regelungen, die den Dienstleister zu einem Betrieb der Cloud gemäß den Sicherheits- und Compliance-Anforderungen des Unternehmens zwingen. Legt man jedoch Anforderungen vertraglich fest, die über die Standard SLAs des Dienstleisters hinausgehen, ist wiederum mit deutlich höheren Kosten zu rechnen. Ob Cloud Computing wirklich zu einer Kostenreduktion führt, hängt deshalb maßgeblich davon ab, mit welchen Risiken Geschäftsprozesse mittels Cloud Computing unterstützt werden können. (Secaron: ra)

Autoren:
Dr. Thomas Störtkuhl und Hans Wagner, Consultants der Secaron AG. Als Unternehmensberatung in allen Fragen der Informationssicherheit setzt das Unternehmen höchste Priorität darauf, mit ihren Kunden ein adäquates, wirtschaftlich sinnvolles Sicherheits-Niveau festzulegen. Die Secaron AG hilft sowohl bei der Umsetzung organisatorischer, als auch technischer Maßnahmen, um die Geschäftsprozesse der Kunden sicher ablaufen zu lassen.

Secaron: Kontakt und Steckbrief

Der Informationsanbieter hat seinen Kontakt leider noch nicht freigeschaltet.

- Anzeigen -





Kostenloser Compliance-Newsletter
Ihr Compliance-Magazin.de-Newsletter hier >>>>>>



Meldungen: Grundlagen

  • Überlegt zum Sprung in die Wolke ansetzen

    Bis 2025 wird die Cloud-Nutzung so fest im Geschäftsalltag verankert sein, dass es Wichtigeres gibt, als über die Cloud zu reden. Diese Prognose teilt ein Fünftel der deutschen IT-Entscheider in einer aktuellen Umfrage, die der amerikanische Softwareanbieter Citrix durchgeführt hat. Noch besteht viel Redebedarf. Zum Beispiel, ob sich eine Private, Hybrid oder Multi-Cloud am besten eignet. Das hängt vom Branchenumfeld, den Geschäftsaktivitäten, Geschäftszielen, IT-Anforderungen und -Budget sowie dem IT-Know-how der Belegschaft ab. So kann es den weltweiten Vertrieb einer Firma verbessern, wenn allen Vertriebsmitarbeitern ein Reporting-Tool zur Verfügung steht. In dem Fall ist es sinnvoll, diesen Workload in der Cloud zu betreiben. Einrichten lässt sich zudem ein On-Premises-Arbeiten, in dem die Vertriebsprofis die eigentlichen Reports lokal erstellen und im jeweiligen Rechenzentrum am Standort ablegen.

  • Patienten engmaschiger überwachen

    Das Internet der Dinge (Internet of Things, IoT) entwickelt sich mehr und mehr zur nächsten industriellen Revolution. Zahlreiche Branchen "springen" auf "den Zug auf". Die Gesundheitsbranche bildet hier keine Ausnahme. Innovationen bei medizinischen Geräten, Medikamenten, Patientenüberwachung und vielem mehr sprießen wie die sprichwörtlichen Pilze aus dem Boden. Intelligente Technologien arbeiten effizient und genau, und das kann im wahrsten Sinne des Wortes lebensrettend sein.

  • Neue Datenverkehrsmuster im Entstehen

    Der rasante technologische Wandel und die damit verbundene Disruption von Geschäftsmodellen führen dazu, dass multinationale Konzerne in ihren wichtigsten Märkten zunehmend agiler auftreten müssen. Jedoch fällt es ihnen aufgrund des expansiven Wachstums ihrer IT-Ökosysteme schwer, wirklich agil zu operieren - insbesondere dann, wenn sie durch eine veraltete IT-Infrastruktur ausgebremst werden. Cloud-Deployments und die massive Zunahme von Anwendungen und Endgeräten erhöhen den Druck auf die Verantwortlichen, die IT-Landschaft zu modernisieren.

  • Kontrolle über SaaS-Anwendungen behalten

    Wer Software-Ausgaben unter Kontrolle bringen will, braucht ein intelligentes Software Management. Daran hat auch Software-as-a-Service (SaaS) nichts geändert. Ganz im Gegenteil: Schatten-IT und Shelfware zählen zu den größten Kostenfallen bei Cloud-basierten Anwendungen. Durchschnittlich kommen in Unternehmen 15x mehr SaaS-Anwendungen zum Einsatz als auf offizieller Seite bekannt ist. Der Grund für die Schatten-IT ist leicht nachzuvollziehen: Für Mitarbeiter ist es sehr einfach Anwendungen über die Cloud zu abonnieren. Kreditkarte und E-Mail-Adresse reichen Public Cloud-Anbietern wie Amazon Web Services (AWS) und Microsoft Azure aus, um in wenigen Schritten ein Konto anzulegen und je nach Bedarf SaaS-Anwendungen zu beziehen - in vielen Fällen ohne Absprache mitder IT oder dem Einkauf.

  • In die Cloud - aber sicher

    Dr. Chris Brennan, Regional Director DACH, Eastern Europe, Russia and Israel von Skybox Security erläutert, wie die Migration in die Cloud und dabei zu berücksichtigende Sicherheitsaspekte in Einklang gebracht werden können. Unternehmen setzen vermehrt auf Cloud Computing-Umgebungen. Einer der Vorteile dabei ist, dass die Cloud eine hohe Skalierbarkeit und Agilität aufweist. Wenn dabei aber die Sicherheitsrisiken vernachlässigt werden, die dieser Schritt mit sich bringt, kann daraus ein großer Nachteil erwachsen. Ein gängiger Fehler dabei ist, dass viele Entscheider denken, dass der Cloud Security Provider (CSP) mehr Verantwortung für die Sicherheit trägt, als er tatsächlich tut.

  • Das lebende Unternehmen

    Der menschliche Körper ist ein bemerkenswerter Organismus. Ohne hier zu tief in Anatomie und Physiologie des Menschen einzutauchen, gibt es zahlreiche Bereiche, in denen sich der Mensch und die Datenverarbeitung eines Unternehmens stark ähneln. Zwar sind die Systeme des Menschen nicht digital sondern organisch, das Gesamtsystem Mensch funktioniert jedoch ganz ähnlich wie eine Organisation - eine große Anzahl an Informationssystemen laufen parallel und transportieren eine Fülle von Informationen zu jedem Organ. Wenig überraschend, ist der Mensch der IT in Sachen Datenverarbeitung nach vielen Millionen Jahren Evolution um einiges voraus. So funktioniert die Datenverarbeitung des Menschen in den meisten Fällen nicht nur in Echtzeit, sondern auch komplett automatisiert. Hier können Unternehmen ansetzen, um vom Menschen zu lernen und ihre IT in Zeiten der Digitalisierung leistungsfähiger zu machen.

  • Security und Leistung in der Cloud vereinen

    Moderne Anwendungen müssen skalieren und performant sein. Um diese Anforderungen zu erreichen, werden viele Implementierungen auf Public Cloud-Plattformen wie Amazon Web Services (AWS), Microsoft Azure und Google Cloud Platform (GCP) gehostet, was für Elastizität und Geschwindigkeit sorgt. Und die Cloud-Nutzung boomt, mittlerweile setzen zwei von drei Unternehmen in Deutschland Cloud Computing ein, so das Ergebnis einer repräsentativen Umfrage von Bitkom Research im Auftrag der KPMG. Vorteile wie hohe Flexibilität, Effizienzsteigerung der Betriebsabläufe und verbrauchsabhängige Abrechnung von Services liegen auf der Hand.

  • Es ist an der Zeit, die Cloud zu dezentralisieren

    Heute beheimatet die Erde 206 souveräne Staaten. Souveränität ist, wie uns das Lexikon erklärt, das "volle Recht und die Macht eines Regierungsorgans über sich selbst, ohne Einmischung von außen". In gewisser Weise hat die in den frühen 2000er Jahren eingeführte Public Cloud die Souveränität vieler Staaten in Frage gestellt: Sie zentralisierte Daten- und Cloud Computing-Services auf sehr effiziente Weise, um Kunden in jeder Ecke der Welt zu bedienen - eine Welt ohne Grenzen. Verbraucher und Unternehmen begrüßten das befreiende Konzept, das sich schnell weiterentwickelte.

  • Cloud-Sicherheit & Shared Responsibility-Modell

    Viele Unternehmen setzen auf eine Kombination verschiedener Backup-Lösungen, häufig über mehrere Standorte hinweg. Im Krisenfall macht es solch eine Strategie jedoch oft schwierig, Dateien zeitnah wiederherzustellen. Dagegen bieten Cloud-integrierte Lösungen einfaches Testen der Disaster-Recovery-Strategie und im Notfall die rasche Rückkehr zum Normalbetrieb. Daten sind für Unternehmen heute wertvolle Rohstoffe und müssen besser gesichert werden als je zuvor. Gerade in Zeiten weltweiter Ransomware-Attacken ist eine profunde Backup- und Disaster Recovery-Strategie daher unabdingbar geworden, um im Krisenfall sofort reagieren zu können und die Geschäftskontinuität zu sichern. Doch bei der Disaster Recovery geht es nicht nur um Ransomware-Bedrohungen und Advanced Threats, sondern ebenso um die Wiederherstellung nach Hardware-Ausfällen von IT-Komponenten wie Servern und Storage-Systemen, aufgrund menschlicher Fehler oder einer Naturkatastrophe.

  • Wächter des Cloud-Datenschatzes

    Im Zuge der Digitalisierung wächst die Datenmenge, die Unternehmen täglich verarbeiten, stetig an. Dies spiegelt sich auch in der gestiegenen Nutzung von Cloud Computing-Anwendungen in den vergangenen Jahren wider. Unternehmensdaten sind rund um die Uhr überall zugänglich, ermöglichen effiziente Arbeitsabläufe und - zumindest auf den ersten Blick - etwas weniger Verwaltungsaufwand für die IT-Abteilung. Dieser Effekt relativiert sich jedoch, wenn man die Cloud Computing-Nutzung unter dem Aspekt der Sicherheit betrachtet. Die damit einhergehenden Risiken und neuen Bedrohungen erfordern fortschrittliche Sicherheitstechnologien, um den Schutz von Unternehmensdaten gewährleisten zu können.