- Anzeige -


Sie sind hier: Startseite » Fachartikel » Grundlagen

Sicherheit und Cloud Computing


Den Vorteilen beim Cloud Computing stehen neue Herausforderungen bezüglich der Sicherheit entgegen
Welche Risiken beim Public Cloud Computing besonders zu beachten sind


Dr. Thomas Störtkuhl, Hans Wagner, Secaron AG

(28.04.10) - Gerade für CxOs erscheint Cloud Computing attraktiv, da es Möglichkeiten bietet kostengünstig die Anforderungen an die IT zu erfüllen. Diese Möglichkeiten eröffnen sich hier, weil die IT Anforderungen von der IT Infrastruktur entkoppelt werden. Diese Entkopplung ermöglicht zudem eine Flexibilisierung, da genau die IT Ressourcen, die benötigt werden, angefordert werden können. Weiter können Geschäftsprozesse auch schneller IT basiert eingeführt werden, da IT Ressourcen nicht erst beschafft werden müssen, sondern über das Cloud Computing bereits zur Verfügung stehen. Durch Service-basierte Abrechnungsmodelle ergeben sich zusätzlich Potentiale zur Reduktion der Kosten.

Cloud Computing bietet also vielversprechende Lösungen an. Den Vorteilen stehen aber auch neue Herausforderungen bzgl. Sicherheit entgegen. Die durch Cloud Computing neu entstehenden Risiken müssen analysiert, bewertet und gegebenenfalls reduziert bzw. vermieden werden. Im Folgenden werden Risiken des Cloud Computing aufgezeigt und Lösungen zur Reduktion der Risiken beschrieben. Hierbei wird unter Cloud Computing ein stark flexibilisierter und standardisierter Service verstanden, der ein verteiltes Computing gemäß Bedarf ("Computing as-a-Service") aufgrund von definierten Service Level Agreements ermöglicht. Cloud Computing kann dabei durch ein Unternehmen selbst ermöglicht werden (Private Cloud), durch einen Dienstleister angeboten werden (Public Cloud) oder im Mischbetrieb von Public und Private Cloud realisiert werden.

Lesen Sie zum Thema "IT-Security" auch: IT SecCity.de (www.itseccity.de)

Risikobetrachtung
Für die Betrachtung der Risiken beschränken wir uns hier auf das Thema Public Cloud. Dann liegt ein Outsourcing-Fall vor, bei dem folgende Charakteristiken beachtet werden müssen, die die besonders zu beachtenden Risiken beinhalten:

• Lokalisierung der Daten nicht möglich
Eine Lokalisierung der Daten ist auf einfache Weise und insbesondere für den Dateneigentümer nicht mehr möglich. Noch kritischer: es ist nicht klar, in welchen Ländern, Rechenzentren, auf welchen Servern und mit welcher Software Daten gespeichert und verarbeitet werden. Insbesondere verschiedene Datenschutzgesetze können dazu führen, dass personenbezogene Daten nicht in einer Public Cloud verarbeitet werden dürfen.

• Zugriffskontrolle auf Daten sehr schwierig
Aufgrund des Distributed Computing kann eine angemessene Zugriffskontrolle auf Daten nur schwer realisiert werden. Generell bestehen keine Möglichkeiten bei unterschiedlichen Kulturen und bei unterschiedlicher Rechtsprechung Zugriffskontrollen durchgängig durchzusetzen. Zu beachten ist insbesondere auch, dass nach Beendigung des Auftrags die verarbeiteten Daten und alle Zwischenergebnisse in der Public Cloud gelöscht werden müssen. Hier ist überhaupt nicht klar, wie dies technisch gewährleistet werden kann. Auch das Thema Mandantentrennung muss hier adressiert werden.

• Insolvenz des Providers
Hier muss beachtet werden, dass die Insolvenz eines Providers nicht bedeutet, dass alle Rechenzentren, die der Provider für Cloud Computing verwendet hat, ebenfalls insolvent sind. Rechenzentren werden zudem bei Insolvenz mit großer Wahrscheinlichkeit an andere Provider verkauft werden. In all diesen Fällen ist nicht klar, wie die Daten vor unberechtigtem Zugriff geschützt werden können.

• Beschlagnahmung von Hardware
Zum Beispiel kann eine Beschlagnahmung von Hardware in allen Ländern erfolgen in denen der Provider Computing-Ressourcen betreibt. Die Beschlagnahmung kann aus vielerlei Gründen erfolgen, die nicht durch den Auftraggeber verantwortet werden. Sehr wohl können sich aber Daten des Auftraggebers auf beschlagnahmten Servern befinden. Zudem können Logdaten auf Servern und Routern Schlussfolgerungen über die Geschäftstätigkeit des Auftragnehmers ermöglichen und zwar auch dann, wenn keine sonstigen Geschäftsdaten vorliegen.

• Handel mit Ressourcen wird denkbar
Zurzeit ist noch nicht ersichtlich, inwieweit Provider von Cloud Computing einen Handel mit ihren Ressourcen untereinander aufbauen werden. Eine "Ressourcenbörse" wie sie in Abbildung 1 angedeutet ist, ist sogar denkbar. Auf dieser Börse werden Ressourcen zu einem bestimmten Preis angeboten. In Leistungsspitzen würde sich zum Beispiel der Preis für CPU-Stunde erhöhen und auf der Börse entsprechend gehandelt werden. Welche Konsequenzen dies für die Sicherheit der Daten hat, ist noch vollkommen unklar.

Ressourcenbörse denkbar:
Ressourcenbörse denkbar: Handel mit Ressourcen im Bereich des Cloud Computing, Bild: Secaron


• Problematik mit Subunternehmer
Ein weiteres Problem stellt die Auftragsabgabe an Subunternehmer dar. Der Provider kann ja nach Belieben für gewisse Leistungen Subunternehmer verpflichten. In einer Public Cloud bleibt auch diese Komplexität dem Benutzer vollkommen verborgen (uns soll ja im Sinne der Philosophie des Cloud Computing verborgen bleiben).

• Erpressungsversuche
Die Gefahr von Erpressungsversuchen steigt, da der Personenkreis, der die Ressourcen der Cloud administriert unüberschaubar groß ist. Zu beachten ist hier, dass das eingesetzte Personal im Allgemeinen über unterschiedliches Ausbildungsniveau und Sicherheitsbewusstsein verfügt. Auch sind die Motivationslagen der Mitarbeiter in vielen Ländern nicht kalkulierbar.

Cloud Computing Sicherheit umsetzen
Es gibt eine Vielzahl von technischen und organisatorischen Maßnahmen, die zur Reduktion der oben genannten Risiken beitragen. Hierzu zählen vertragliche Regelungen und SLAs (Service Level Agreement), technische Maßnahmen wie Verschlüsselung der Daten in Datenbanken und bei Kommunikation (z.B. Ver- und Entschlüsselung von vertraulichen Daten nur am Client), ausreichende Authentisierung (z.B. 2-Faktor-Authentisierung) mit einer rigiden Beschränkung der Zugriffsrechte nach dem Need-to-Know Prinzip, Entwicklung von Notfallplänen etc.

Üblicherweise haben jedoch die Dienstleister für Cloud Computing Standard-Verträge und SLAs definiert, die als nicht verhandelbar gelten. Veränderungen dieser SLAs (wenn überhaupt möglich) werden zu deutlich höheren Preisen für die angebotenen Services führen. Hilfreich ist aber nach einem definierten Verfahren ein Cloud Computing Vorhaben um zusetzten. Dieses Vorgehen sollte mindestens folgende Aspekte berücksichtigen:

• Das Management hat eine Strategie für Cloud Computing entwickelt, in der insbesondere definiert ist, für welche Geschäftsbereiche oder -prozesse Cloud Computing angezielt wird oder nicht erlaubt werden kann. Zudem wird erläutert, welche Risiken abzusichern sind oder auf keinen Fall eingegangen werden dürfen.

• Das Vorgehen definiert klar die Phasen "Planung, Vertragsgestaltung, Migration und Betrieb"und alle notwendigen Verantwortlichkeiten. In der Planungsphase werden insbesondere die Sicherheitsanforderungen ermittelt und die möglichen Dienstleister nach einem definierten Kriterienkatalog ausgewählt. Die Sicherheitsanforderungen fließen in die Verträge und Sicherheitskonzepte ein. Die Verträge bzw. SLAs definieren messbare Kennzahlen, die die Überwachung auch der Sicherheit ermöglichen.
Gemäß den Sicherheitskonzepten, die zu Beginn der Migrationsphase zusammen mit dem Dienstleister entwickelt werden, erfolgt die Umsetzung des Cloud Computing Vorhabens und der anschließende Betrieb der Cloud. Die Sicherheitskonzepte müssen dabei ständig aktuell gehalten werden.

• Alle Verantwortlichen wie Management, Rechtsabteilung, Betriebsrat, Datenschutzbeauftragter, Sicherheitsbeauftragter und Fachabteilungen werden von Anfang einbezogen.

• Für das Cloud Computing-Vorhaben ist ein Sicherheitsbeauftragter benannt, der auch während des Betriebs der Cloud zuständig bleibt.

• Die Verträge räumen dem Auftragnehmer alle notwendigen Auditrechte ein, um seinen Pflichten gegenüber Kunden und Behörden gerecht werden zu können. Insbesondere wird Dienstleister auf Vertraulichkeit auch über das Vertragsverhältnis hinaus verpflichtet. Weiter wird auch die Beendigung des Cloud Computing Betriebs oder der Wechsel zu einem anderen Dienstleister geregelt. Ganz wichtig ist hier zu klären, wie denn die Löschung von Daten und die Übergabe von Daten gewährleistet werden kann.

Betrieb der Cloud planen:
Betrieb der Cloud planen: Prozess zur Umsetzung eines Cloud Computing-Vorhabens, Bild: Secaron


Fazit
Das Cloud Computing eröffnet auf der einen Seite eine Reihe von Chancen wie Kostenreduzierung, Einkauf von Sicherheit auf hohem Niveau (standardisierte Prozesse: Change Prozess wird mit hohem Reifegrad durchlaufen und gemanaged; moderne Technologien: Web Application Firewall etc. werden eingesetzt), Billing genau nach abgerufener Leistung, Erleichterung des Wechsels zwischen Anbietern und neue Disaster Recovery Ansätze.

Auf der anderen Seite bestehen ganze neue Risiken, die bisher nicht bedacht werden mussten, die man jedoch unbedingt in den Griff bekommen muss. Dabei muss berücksichtigt werden, dass der Schutz der Daten (gerade im Bereich Vertraulichkeit) oder die Einhaltung rechtlicher Vorgaben (siehe unterschiedlicher Datenschutz in den Ländern, Archivierungsregeln etc.) mit herkömmlichen Mitteln nicht gewährleistet werden kann. Hier müssen z.B. kryptographische Methoden eingesetzt werden, die häufig den Einsatz von standardisierten Applikationen erschweren.

Ganz wesentlich sind aber vertragliche Regelungen, die den Dienstleister zu einem Betrieb der Cloud gemäß den Sicherheits- und Compliance-Anforderungen des Unternehmens zwingen. Legt man jedoch Anforderungen vertraglich fest, die über die Standard SLAs des Dienstleisters hinausgehen, ist wiederum mit deutlich höheren Kosten zu rechnen. Ob Cloud Computing wirklich zu einer Kostenreduktion führt, hängt deshalb maßgeblich davon ab, mit welchen Risiken Geschäftsprozesse mittels Cloud Computing unterstützt werden können. (Secaron: ra)

Autoren:
Dr. Thomas Störtkuhl und Hans Wagner, Consultants der Secaron AG. Als Unternehmensberatung in allen Fragen der Informationssicherheit setzt das Unternehmen höchste Priorität darauf, mit ihren Kunden ein adäquates, wirtschaftlich sinnvolles Sicherheits-Niveau festzulegen. Die Secaron AG hilft sowohl bei der Umsetzung organisatorischer, als auch technischer Maßnahmen, um die Geschäftsprozesse der Kunden sicher ablaufen zu lassen.

Secaron: Kontakt und Steckbrief

Der Informationsanbieter hat seinen Kontakt leider noch nicht freigeschaltet.

- Anzeigen -





Kostenloser Compliance-Newsletter
Ihr Compliance-Magazin.de-Newsletter hier >>>>>>



Meldungen: Grundlagen

  • Automatisierte Speicherrichtlinien & Daten-GPS

    Die Globalisierung hat die Welt schrumpfen lassen. Nicht nur Reisende ziehen heute rund um den Globus, auch Daten sind dank Cloud Computing äußerst mobil und werden von Unternehmen aus den unterschiedlichsten Gründen zwischen Rechenzentren verschoben. Wir Menschen fühlen uns im eigenen Zuhause am sichersten. Auch für Unternehmensdaten gilt, dass das Risiko sie bei der Migration über Ländergrenzen hinweg zu verlieren, natürlich steigt. Als Mensch ist es heute mittels GPS sehr einfach, einen Standort zu bestimmen. Damit auch Unternehmen immer genau wissen, wo ihre Daten physisch gespeichert sind, bieten sich dank automatisierten Speicherrichtlinien und einem Daten-GPS neue Methoden, den exakten Standort von Daten festzulegen.

  • Mit SaaS & HaaS die IT-Abteilung entlasten

    In vielen Unternehmen stehen CIOs vor der Aufgabe, mit einer sich rasch entwickelnden IT-Welt Schritt halten zu müssen. Hinzu kommt, geeignetes Personal mit dem entsprechenden Know-how zu finden und sich stets gegen zunehmende Sicherheitsrisiken zu wappnen. Diese Herausforderungen beanspruchen zeitliche und finanzielle Ressourcen in der IT-Abteilung, die Unternehmen an anderer Stelle dringender bräuchten. Im Rahmen von Managed Services wie Software-as-a-Service (SaaS) und Hardware-as-a-Service (HaaS) werden Standardaufgaben an externe Dienstleister ausgelagert. Das schafft Freiräume und entlastet die IT-Abteilung. Welche Fragen sind relevant, um zu erkennen, ob auch das eigene Unternehmen von Managed Services profitieren kann.

  • Die Zukunft des File Sharing

    Um den Austausch von Forschungsdaten zwischen verschiedenen Teams am CERN zu ermöglichen, erfand Tim Berners-Lee in den achtziger Jahren, als Nebenprodukt sozusagen, das Internet. Heute ist das Internet die tragende Säule der weltweiten Kommunikation und aus unserem digitalen Leben nicht mehr wegzudenken. Überraschenderweise hat sich seit den frühen Tagen des Internets kaum etwas verändert: Nach wie vor werden für die Übermittlung von Dateien Protokolle aus den Anfangstagen des Internets genutzt. Zum damaligen Zeitpunkt war jedoch eine Welt, in der Datenmengen exponentiell wachsen, Hacker an allerlei Daten interessiert sind und Organisationen in denen zehntausende Mitarbeiter täglich millionenfach Dateien teilen, noch nicht vorstellbar. Worauf sollten Unternehmen also achten, wenn sie eine zukunftssichere File Sharing-Lösung nutzen möchten? Und welche neuen Technologien halten Einzug um Filesharing sicherer, komfortabler und schneller zu machen?

  • File Sharing im Unternehmen: Strategie gesucht

    Um Daten auszutauschen setzen die meisten Unternehmen noch immer auf die gute alte E-Mail, auch wenn diese Technologie offensichtlich nicht mehr auf dem neuesten Stand der Technik ist. Auch das ebenso veraltete FTP ist noch weit verbreitet, wenn es darum geht größere Dateien zu übermitteln. Den IT-Alptraum perfekt machen, intern oft nicht überwachte, File-Sharing-Dienste in der Cloud a la Dropbox & Co. Um striktere Compliance-Vorgaben zu erfüllen und die offensichtlich nicht gegebene Datensicherheit für ihr Unternehmen zu gewährleisten suchen IT-Verantwortliche suchen händeringend nach eine umfassenden Strategie um die genannten, unzuverlässigen Werkzeuge zu ersetzen und somit die Kontrolle über ihre sensiblen Daten zurückzugewinnen.

  • Privacy Shield und die Folgen

    Am 1. August 2016 trat das neue Privacy Shield-Abkommen in Kraft, das für Kunden und Anbieter von Cloud Computing-Services wieder Rechtssicherheit bieten und den transatlantischen Datenfluss wiederherstellen soll. Ob Privacy Shield die Nutzer besser schützen wird als der Vorgänger Safe Harbor wird von vielen Experten jedoch bezweifelt. Auch Subhashini Simha von Thru zweifelt das Abkommen an. Ihre Einschätzung der Folgen von Privacy Shield für Unternehmen hat sie in diesem Artikel zusammengefasst. Demnach benötigen Unternehmen zukünftig mehr denn je Flexibilität ihre Daten im Notfall auch im eigenen Rechenzentrum zu hosten und sie bei sich ändernder Rechtslage aus anderen Regionen abzuziehen.

  • Herausforderungen im Wissensmanagement

    Der Erfolg eines Projekts hängt von vielen Faktoren ab: Unterstützung durch das Top-Management, entsprechende Organisationsstrukturen sowie qualifizierte Mitarbeiter. Zudem spielt Wissen eine wichtige Rolle im Projektmanagement: Welche Methode eignet sich für das Projekt? Mit welchen Maßnahmen lässt sich das Projektziel erreichen? Wie können die Projektanforderungen erfüllt werden? Diese und weitere Fragen müssen Projektleiter beantworten können. Das Problem: Oftmals sind sich diese gar nicht bewusst, was sie und ihre Mitarbeiter wissen oder eben auch nicht wissen. Ein professionelles Wissensmanagement kann das Projektmanagement wirkungsvoll unterstützen, indem es vorhandenes Wissen bündelt, neue Erkenntnisse aufnimmt und alles für zukünftige Projekte verfügbar macht.

  • Unified Communications & Cloud-Kommunikation

    Den Begriff "Unified Communications" (UC) gibt es schon seit vielen Jahren. Er bezeichnet die Integration von Kommunikationsmedien in einer einheitlichen Anwendungsumgebung. Durch die Zusammenführung verschiedener Kommunikationsdienste soll UC die Erreichbarkeit der Kommunikationspartner verbessern und damit die Geschäftsprozesse beschleunigen.

  • Multi Cloud Sourcing

    Die Vorteile von Cloud Computing sind inzwischen bekannt: hohe Flexibilität und Skalierbarkeit zu genau kalkulierbaren Kosten. Doch wer Dienste von mehreren Anbietern nutzt, steht schnell vor einem Problem. Er muss die nötigen Informationen jedes Mal neu übertragen, wodurch unterschiedliche Datenbestände und Mehraufwand für das Management entstehen können. Ein einfaches Springen von Wolke zu Wolke ermöglicht Multi Cloud Sourcing. Für viele Unternehmen ist die Hybrid Cloud attraktiv. Sie kombiniert Skalierbarkeit mit Effizienz und verspricht zusätzlich Kostenersparnisse. Denn die Kunden müssen keine teuren Kapazitäten für Spitzenzeiten bereithalten, die im Rest des Jahres nicht genutzt werden.

  • Cloud als Backup-Speicher

    Rasant wachsende Datenmengen sowie die steigende Abhängigkeit der Unternehmen von ihren operativen Daten setzen die IT-Abteilung gewaltig unter Druck. CIOs müssen daher ihre Strategie für das Datenmanagement den veränderten Realitäten anpassen. Ein mögliches Werkzeug hierfür sind IT-Ressourcen aus der Cloud, die in die Backup- und Storage-Infrastruktur eingebunden werden. Die IT-Abteilung kann es sich nicht mehr leisten, auf die Cloud zu verzichten. Immer mehr Unternehmen in Deutschland setzen mittlerweile auf diese Technologie. In der Studie "Cloud-Monitor 2015" von KPMG und Bitkom vermelden die Analysten, dass bereits 44 Prozent der deutschen Unternehmen IT-Leistungen aus der Cloud beziehen. Weitere 24 Prozent planen oder diskutieren noch über den Einsatz. Dabei sind die gemachten Erfahrungen durchweg positiv, wie bis zu 78 Prozent der Befragten berichten.

  • Mit Cloud-Datenbanken vertraut machen

    In IT-Abteilungen vollzieht sich der größte Umbruch seit Einführung des PC und die modernen Rechenzentren müssen weiterentwickelt werden, um mit dieser Entwicklung Schritt zu halten. Dies ist besonders kritisch, da die IT für fast alle Geschäftsfunktionen eine immer wichtigere Rolle spielt. Unternehmen jeder Größe nutzen alle verfügbaren Technologien und Best Practices, um die Abläufe zu optimieren und Ineffizienzen zu reduzieren, und für viele bedeutet dies in erster Linie zwei Dinge: Virtualisierung und Cloud Computing. Jede IT-Abteilung versucht Zeit zu sparen, die Produktivität zu steigern und Abläufe zu optimieren. Mithilfe der Cloud und der Virtualisierung können in diesem Zusammenhang diese Komponenten nun im gesamten Unternehmen effizienter gestaltet werden.