Sicherheitsbedenken bei Cloud Computing

Mehr Bauchgefühl als harte Fakten

IT | 24.11.2010

Online-Tipp Online-Tipp

Bringt Cloud Computing unbeherrschbare Gefahren mit sich? Sicherheitsbedenken rangieren jedenfalls an erster Stelle, wenn Unternehmen mit dem Einstieg ins Cloud Computing zögern.

Richtig ist, dass noch umfassende Sicherheitsstandards für Cloud-Infrastrukturen fehlen. Ob Cloud Computing aber tatsächlich zu geringerer Sicherheit führt, hängt wesentlich davon ab, wie sorgfältig der Einstieg ins Cloud Computing geplant wird und welches Sicherheitsniveau im eigenen Unternehmen wirtschaftlich realisierbar ist. Gerade KMU können mit Cloud-Lösungen ihren Sicherheitsstandard deutlich verbessern.

Ohne Zweifel ist Cloud Computing kein Hype-Thema mehr, sondern längst Realität in deutschen Unternehmen. Studien von Marktforschern zeigen einen deutlichen Trend, besonders der Mittelstand macht zunehmend von Cloud-Angeboten Gebrauch. Schon jetzt setzen knapp 40 Prozent der deutschen Unternehmen in der einen oder anderen Form Cloud-Technologien ein, bis Ende 2012 soll die Zahl auf fast drei Viertel anwachsen, so das Ergebnis einer aktuellen Umfrage der Unternehmensberatung Wolfgang Martin und des Fachbereichs KOM der Technischen Universität Darmstadt.

Denn die wirtschaftlichen und organisatorischen Vorteile von Cloud Computing sind unter Analysten, Anbietern und IT-Entscheidern inzwischen weitgehend unbestritten. Selbst Skeptiker kommen unter dem Druck knapper Budgets und drängender CFOs kaum mehr daran vorbei, Cloud-Angebote ins Kalkül zu ziehen. Als letzter Stolperstein gilt vielen IT-Entscheidern die Frage nach der Sicherheit ihrer Daten und Applikationen. Denn Cloud Computing ist ein junges Betriebsmodell – es fehlt noch an etablierten, umfassenden Sicherheitsstandards. Dabei geht es nicht nur um gesetzliche Vorgaben und Compliance-Anforderungen, sondern auch um Fragen von Verfügbarkeit, Ausfallsicherheit und rechtlichen Haftungsrisiken.

„Für den Cloud-Interessenten beginnt die Auseinandersetzung mit Sicherheitsfragen schon bei der Auswahl des Providers“, sagt Michael Kranawetter, Chief Security Advisor bei Microsoft Deutschland. „Seriöse Cloud-Anbieter legen ihre Sicherheitsrahmenwerke und -prozessse offen und stehen Rede und Antwort, wenn es um Sicherheitsfragen geht.“ Gerade für kleine und mittlere Unternehmen biete sich mit Cloud-Services sogar die Chance, die Sicherheit ihrer Daten und Anwendungen zu verbessern: „Ein großer Anbieter hat hochqualifiziertes Personal, ganz andere technische Möglichkeiten und sehr viel mehr Erfahrung als ein kleines Unternehmen, wenn es um Sicherheitsfragen geht“, sagt der deutsche Microsoft Sicherheitschef.

Sicherheit als Kernkompetenz

In die gleiche Kerbe schlägt Dr. Werner Streitberger vom Fraunhofer Institut für sichere Informationstechnologie (SIT). Er hat in einem aktuellen Forschungsbericht die Sicherheit traditioneller IT-Systeme mit denen von Public Cloud Computing-Systemen verglichen. „Für Cloud-Provider gehört Sicherheit zu den Kernkompetenzen, weil die Verarbeitung und Verwaltung von Daten das Kerngeschäft dieser Unternehmen ist. Anwenderunternehmen dagegen sehen sie häufig nur als Kostenfaktor an.“ Für die Anbieter ginge es dabei nicht um irgendeine Nebensache, sondern gleichsam um ihre Existenz. Denn nur Angebote, die den Kundenanforderungen bezüglich Sicherheit genügen, könnten langfristig profitabel und somit letztlich überlebensfähig sein „Die Sicherheit stellt einen integralen Bestandteil des Geschäftsmodells eines Cloud-Anbieters dar“, sagt Dr. Streitberger.

Das enthebt den Cloud-Kunden aber nicht von seiner eigenen Verantwortung: „Jedes Unternehmen, das auf Cloud-Services zurückgreift, sollte sich sehr detailliert mit der Sicherheitsproblematik auseinandersetzen, den eigenen Sicherheitsbedarf in Abhängigkeit vom Schutzbedarf der Daten und Applikationen zu ermitteln und den Provider auf Herz und Nieren zu prüfen“, sagt Lynn-Kristin Thorenz, Director Research & Consulting beim Markforschungs- und Beratungsunternehmen IDC. „Dazu gehören auch Fragen wie etwa die physische RZ-Sicherheit beim Provider, die Ausfallsicherheit, das Access- und Identity-Management bis hin zur Personalpolitik des Anbieters und die Klärung von Rechts- und Compliance-Fragen.“

Einen guten Anhaltspunkt, um die Seriosität und die Sicherheitsmechanismen eines Providers einzuschätzen, bieten Zertifikate: „Unsere Cloud-Rechenzentren unterliegen regelmäßigen Security-Audits und sind nach internationalen Standards wie etwa ISO 27001 zertifiziert“, sagt Microsoft Sicherheitsexperte Kranawetter. Eine solche Zertifizierung würde sich für die meisten kleinen Mittelständler kaum realisieren lassen oder sich wirtschaftlich nicht rechnen. „Wir bieten in unseren Rechenzentren ein Höchstmaß an Sicherheit – aber der Anwender ist auch selbst in der Pflicht, wenn es darum geht, Daten und Applikationen zu klassifizieren und zu entscheiden, welchen Sicherheits- und Verfügbarkeitsanforderungen sie unterliegen, um festzulegen, wie der Provider mit seinen jeweiligen Daten in der Cloud umzugehen hat.“

Denn Cloud Computing bezeichnet eine Vielzahl unterschiedlicher IT-Services. Von temporär angemieteten Rechner- und Plattenkapazitäten (IaaS) und Entwicklungs- und Test-Infrastrukturen (PaaS), über verschieden ausgestaltete Managed Services und dem Hosting von Applikationen bis hin zu SaaS-Modellen ohne Inhouse-Infrastruktur und eigenen Lizenzen reicht die Palette an Services, die heute gemeinhin als Cloud Computing bezeichnet werden. Dabei weist jeder einzelne Service im Hinblick auf die Sicherheit andere Gefährdungspotenziale auf: Technische Schnittstellen, organisatorische Vorkehrungen, Datenschutz- und Compliance-Anforderungen, Verfügbarkeit und SLAs lassen sich jeweils nur vor dem Hintergrund der speziellen IT-Dienstleistung – und in Abhängigkeit vom Schutzbedarf der Daten und Applikationen – sinnvoll definieren.

Mangelndes Sicherheitsbewusstsein bei den Nutzern

Und hier liegt bei den Unternehmen noch einiges im Argen: Eine aktuelle Umfrage des Ponemon-Instituts unter amerikanischen IT-Sicherheitsexperten zeigt, dass die Mehrzahl der Unternehmen die Gefahren des Cloud Computings kaum zur Kenntnis nimmt und selbst grundlegende Sicherheitsregeln außer Acht lässt. Danach kümmern sich die Unternehmen nicht hinreichend um die Sicherheit, wenn sie ihre Daten in die Hände eines Cloud-Providers geben. Trotz Sicherheitsbedenken und der erwarteten Zunahme von Cloud-Services verzichtet die Mehrzahl der Anwender sogar auf jene grundlegenden Sicherheitsprüfungen, die normalerweise selbst bei internen Projekten eingesetzt werden. „Den meisten Unternehmen fehlt es an Prozessen, Richtlinien und Werkzeugen, um die Sicherheit ihrer sensiblen Daten in einer Cloud-Umgebung zu gewährleisten“, schreiben die Studienautoren.

Denn es reicht nicht, sich allein auf das hohe Sicherheitsniveau des Providers zu verlassen. Der Einstieg ins Cloud Computing verlangt auch auf Seiten des Anwenders ein Umdenken: Weil die etablierten Sicherheitsmechanismen der Inhouse-IT der anders gelagerten Problematik in Cloud-Umgebungen nicht gerecht werden, muss er seine Security-Policies im Hinblick auf Cloud Computing erweitern. „Cloud-Services lassen sich heute mit mindestens der gleichen Sicherheit wie Inhouse-Infrastrukturen betreiben, wenn sie unter Berücksichtigung der spezifischen Anforderungen in einer Cloud-Umbebung mit der gleichen Sorgfalt geplant und implementiert werden wie die Inhouse-IT“, sagt IDC-Director Thorenz. Häufig seien es eher emotionale Faktoren denn Fakten, die den IT-Verantwortlichen ein ungutes Gefühl bereiteten. „Es ist ja verständlich, dass der IT-Leiter ein besseres Gefühl hat, wenn er seine Hand auf den Server legen kann, auf dem seine unternehmenskritischen Daten gespeichert sind – mit einem höheren Sicherheitsniveau hat das aber nichts zu tun“, weiß die IDC-Expertin.

Sicher in die Cloud

Damit Cloud Computing nicht zum Abenteuer mit ungewissem Ausgang wird, sollten schon vor dem Einstieg grundsätzliche Fragen geklärt werden:

Sicherheit beim Provider: Schauen Sie genau hin!

Seriöse Provider veröffentlichen ihre Sicherheitsprozesse- und Rahmenwerke und haben kein Problem, Ihnen Rede und Antwort zu stehen und offene Fragen zu klären. Hilfreich für die Einschätzung ist das aktuelle Eckpunktepapier des BSI (Bundesamt für Sicherheit in der Informationstechnik), das Mindestanforderungen für Anbieter von Cloud-Lösungen auflistet und zur Diskussion stellt. Danach sollten die Sicherheitsmaßnahmen Regelungen für folgende Punkte enthalten:

  • Sicherheitsmanagement beim Anbieter
  • Sicherheitsarchitektur
  • ID- und Rechtemanagement
  • Monitoring und Security-Incident Management
  • Notfallmanagement
  • Sicherheitsprüfung und -nachweis
  • Anforderungen an das Personal
  • Transparenz
  • Organisatorische Anforderungen (Security SLAs)
  • Kontrollmöglichkeiten für Nutzer
  • Portabilität von Daten und Anwendungen
  • Interoperabilität
  • Datenschutz/Compliance

Tipp: Zertifizierungen wie ISO 27001 geben einen guten Anhaltspunkt, dass umfassende Sicherheitsmechanismen implementiert sind. Das BSI-Papier enthält detailliert Erläuterungen zu den einzelnen Themen und steht unter diesem Link zum kostenlosen Download bereit.

Sicherheit beim Anwender: Auch die Kunden müssen ihre Hausaufgaben machen!

Cloud Services wie IaaS, PaaS und SaaS weisen im Hinblick auf die Sicherheit unterschiedliche Gefährdungspotenziale auf. Die notwendigen technischen und organisatorischen Vorkehrungen lassen sich immer nur vor dem Hintergrund des speziellen Services und in Abhängigkeit vom Schutzbedarf der Daten und Applikationen sinnvoll definieren. Grundsätzlich sollten zumindest folgende Punkte geklärt werden:

  • Welche technischen Schnittstellen zum Provider müssen auf Seiten der Inhouse-IT abgesichert werden?
  • Welche Datenschutz- und Compliance-Anforderungen gelten – besonders im Hinblick auf Speicherort und Speicherdauer der Daten?
  • Welche Verfügbarkeit und Antwortzeiten sind notwendig – kann der Provider diese in SLAs garantieren?
  • Wenn es sich um unternehmenskritische Daten/Applikationen handelt: Wie ist meine Internet-Verbindung ausgelegt? Was passiert bei einem Ausfall? Wie kann ich Redundanz schaffen?
  • Unterstützt der Provider das existierende Berechtigungskonzept?
  • Was geschieht nach Ende des Vertragsverhältnisses – kann der Provider garantieren, dass ich meine Daten in einem anbieterunabhängigen Format zurückerhalte?

Grundsätzlich gilt: Die etablierten Sicherheitsmechanismen der On-Premise-IT decken nicht alle Risiken in Cloud-Umgebungen ab. Wer langfristig auf Cloud-Services zurückgreifen will, sollte deshalb seine Sicherheitsrichtlinien und Prozesse so erweitern („Cloud Security Policies“), dass sie auch den spezifischen Anforderungen in Cloud-Umgebungen genügen.