Sicherheit im Cloud Computing

Schatten auf der Wolke?

IT | 29.03.2011

Schatten auf der Wolke?
Schatten auf der Wolke?

Damit Cloud Computing nicht zur Falle wird, brauchen Firmen eine umfassende Security-Strategie für die Wolke.

Die Probleme beginnen mit der Geographie: Anwendungen aus der Wolke sind so konstruiert, dass Nutzer von jedem Ort der Welt aus auf sie zugreifen können. Die notwendige IT-Infrastruktur besteht zumeist aus verteilten Rechenzentren, die die Cloud- Anbieter entweder selber betreiben oder wiederum von Dritten anmieten. Ob die Unternehmensdaten dann noch in einem hochsicheren Rechenzentrum in Deutschland liegen oder doch tausende Kilometer entfernt, ist oft ungewiss. Genau so ungewiss ist, welche Datenschutzbestimmungen in dem jeweiligen Land gelten und ob sie mit dem deutschen Recht vereinbar sind.

„Wenn Mittelständler mit deutscher Zentrale Töchter in anderen Ländern haben, empfehlen wir, die Cloud Services lokal in Deutschland zu wählen und die Töchter von außen auf die Ressourcen zugreifen zu lassen“, so Gudrun Heim, Leiterin des Mittelstandsgeschäfts von HP Enterprise Services in Deutschland.

Die Antwort auf die Frage nach dem Ort der Datenaufbewahrung ist jedoch von entscheidender Bedeutung, wenn es um die Datensicherheit deutscher Unternehmen geht. Denn der Gesetzgeber schreibt genau vor, dass etwa personenbezogene Daten keinesfalls die Grenzen der EU verlassen dürfen.

„Genau aus diesem Grund fallen einige Unternehmen in letzter Zeit durch das Sicherheitsraster“, erklärt Dr. Clemens Plieth, Geschäftsführer und zuständig für den Servicebetrieb bei der Pironet NDH Datacenter. So sei es beispielsweise in Branchen wie der Automobilindustrie durchaus üblich, dass sich große Kfz-Hersteller die IT-Sicherheit ihrer Zulieferer bescheinigen lassen. Schließlich arbeiten die Unternehmen etwa bei der Entwicklung von neuen Bauteilen Hand in Hand, und die Automobilkonzerne möchten in jedem Fall sicherstellen, dass elektronische Blaupausen beim Zulieferer in sicheren Händen liegen. „Wenn dann ein externer Auditor ein Unternehmen auf Security- Lecks hin durchleuchtet, ist die personenbezogene Datenhaltung in einer außereuropäischen Wolke ein triftiger Grund, dem Unternehmen das Sicherheitsprüfsiegel zu entziehen“, so Plieth.

Private Clouds am sichersten

Ein wichtiger Vorteil des Cloud-Modells ist die Tatsache, dass Hard- und Software aus der Wolke ohne großen Implementierungsaufwand genutzt werden können. Eine einfache Registrierung per Kreditkarte auf der Website des Anbieters reicht meist aus, um umfassende IT-Lösungen online zu beziehen. Der Nachteil lässt sich am Beispiel einer häufig anzutreffenden Situation in den Unternehmen verdeutlichen: Einzelne Unternehmensabteilungen machen sich zunehmend selbstständig. So nutzt üblicherweise die Vertriebssparte eines Unternehmens Anwendungen wie etwa CRM-Systeme aus der Cloud. Wenn sich der Vertrieb nicht oder nur unzureichend mit der zentralen IT-Abteilung abstimmt, führt das zwangsläufig zu unkontrollierbarem Datenwildwuchs. In der Folge verstreuen sich die schützenswerten Firmendaten möglicherweise über ein weltweites Servernetz, das weder dem deutschen Recht unterliegt noch für das Anwenderunternehmen leicht zu durchschauen ist. Gleichfalls vergrößert sich die Angriffsfläche für IT-Attacken.

„In einer Public Cloud ist die Gefahr, dass sich unbefugte Dritte Zugang zu Unternehmensdaten verschaffen, ungleich höher als in einer Private Cloud“, so Plieth. Auf Public-Cloud-Lösungen kann prinzipiell jeder Anwender zugreifen, der sich einmalig auf der Website des Anbieters registriert und den jeweiligen Online- Service bestellt. Neue Software-Lösungen, Speicherplatz oder Rechenkapazität sind damit nur wenige Mausklicks entfernt.

Chancen und Risiken

Die Kehrseite dieser Revolution: Die Anbieter virtualisieren die jeweilige Hard- oder Software in ihren Rechenzentren. Virtualisierungssoftware teilt so eine einzige Installation einer Software in tausende Anwendungen auf, mit denen wiederum tausende Endanwender arbeiten können. Unter Umständen liegen dann Daten von Mitbewerbern oder möglichen Angreifern Seite an Seite auf ein und demselben Server.

Deutsche IT-Anbieter im B2B-Umfeld beschränken daher ihre Aktivitäten in der Wolke derzeit weitgehend auf Private Clouds, die sie selber betreiben. Experten raten dazu, vor deren Anschaffung die Angebote der Cloud-Anbieter aus dem Blickwinkel der Sicherheit genau unter die Lupe zu nehmen. Denn im Zweifelsfall kann das Anwenderunternehmen zur Rechenschaft gezogen werden, wenn beispielsweise bei einer Steuerprüfung wichtige Informationen nicht auffindbar sind.

Realistisch gesehen, kann ein typisches mittelständisches Unternehmen die zahlreichen unterschiedlichen Verträge mit ihren Cloud- Anbietern bis ins letzte Detail hinein kaum mehr durchdringen. Kleineren Unternehmen raten Experten daher, ihre Cloud-Aktivitäten von einem IT-Dienstleister managen zu lassen. Die Unternehmen behalten so die Übersicht über ihre IT-Sicherheit. Denn für sämtliche Hard- und Softwareleistungen aus der Wolke gelten die vertraglich vereinbarten Sicherheitsrichtlinien.

„Dass Cloud Computing für jede Unternehmensgröße attraktiv ist, zeigt sich für uns schon daran, dass zwei Drittel unserer Kunden kleine und mittelständische Unternehmen sind“, so Joachim Schreiner, Area Vice President Central Europe bei salesforce.com

Clemens Plieth rät den Anwendern zudem dazu, den Vertrag mit dem IT-Anbieter auf mögliche Security-Fallstricke hin zu durchleuchten. „Der IT-Anbieter sollte beispielsweise von vornherein eine Exit-Strategie vorlegen, falls das Unternehmen mit seinen Leistungen nicht zufrieden ist und zu einem anderen Anbieter wechseln möchte“, sagt Plieth. Zudem sollte der Anbieter im Idealfall eine Sicherheitszertifizierung nach der internationalen Norm ISO 27001 vorweisen, die genaue Regelungen und Maßnahmen rund um die Datensicherheit festlegt.

Sicher in die Public Cloud

Welche Strategie empfiehlt sich nun für die Nutzung einer Public Cloud? In jedem Fall gilt: Unternehmen müssen ihre Schutzmechanismen überprüfen, bevor sie Daten in der Cloud ablegen, zirkulieren oder wieder in das eigene Netzwerk integrieren. Christian Vogt, Regional Director Germany & Netherlands beim Sicherheitsspezialisten Fortinet, nennt die wichtigsten Sicherheitstechnologien, die dabei relevant sind: „Hier sind unter anderem Application Control (Anwendungskontrolle), Verschlüsselung, SSL-Inspektion (Untersuchung des SSL-verschlüsselten Verkehrs), Data Leakage Protection (Schutz vor Datenlecks) und Anti-Virus zu nennen. Daten, die in der Cloud lediglich abgelegt sind, aber nicht zirkulieren, so genannte Data-at-Rest, können durch Verschlüsselungsverfahren vor nicht autorisierten Angriffen geschützt werden. Daten im Umlauf (Datain- Motion) dagegen werden in der Cloud nicht unbedingt geprüft oder gereinigt. Es besteht also das Risiko, dass bereits in der Cloud infizierte Daten ins eigene Netzwerk gelangen können.“

Hinsichtlich der Sicherheit der in der Cloud gespeicherten Daten müssen die Details festgelegt werden: Hat der Provider Sicherheitsrichtlinien für die Zugangskontrolle, und hat er Maßnahmen getroffen, damit undichte Stellen im Netzwerk vermieden werden? Auch die Einhaltung rechtlicher Vorschriften seitens des Cloud-Anbieters muss vor der Auftragserteilung gründlich überprüft werden.

Was aber ist mit der Sicherheit der Daten auf dem Transportweg? Christian Vogt: „Das Scannen von Applikationsinhalten auf Malware ist hier ebenso zu nennen wie ihre Verschlüsselung und die gezielte Suche nach Bedrohungen bei der Überschreitung der Netzwerkgrenze. Mit einer einfachen und effektiven Sicherheitslösung, die sowohl die Definition von Zugangsrichtlinien erlaubt als auch herkömmliche Funktionalitäten wie Anti-Virus und Anti-Spam umfasst, wird das Sicherheitsrisiko beim Einsatz von Public Cloud-Services beherrschbar.“

 

KURZINFOS ZUR CLOUD-SICHERHEIT

 

Leitfaden Cloud-Sicherheit

Das Bundesamt für Sicherheit in der Informationstechnik (BSI) hat auf seiner Internetseite unter dem Titel „BSI-Mindestsicherheitsanforderungen an Cloud-Computing-Anbieter“ einen Anbieter-Leitfaden für die Sicherheit in der Wolke veröffentlicht. Auch den Anwendern gibt dieser Leitfaden einen umfassenden Überblick über Sicherheitsaspekte beim Cloud Computing.
Zur Internetseite des BSI

Zehn Regeln für Cloud-Security

Auf diese Eckpunkte sollten Unternehmen beim IT-Bezug aus der Wolke achten:

■ Unternehmensintern Rollen und Verantwortlichkeiten für die Informationssicherheit klären

■ Detaillierte Risikoanalyse für den zu beziehenden Cloud-Service durchführen

■ Gegenüberstellung der Kosten- und Nutzenaspekte mit den erwarteten Restrisiken

■ Durchgängige Sicherheitsarchitektur, Arbeitsteilung und Schnittstellen zum Anbieter klären

■ Prozesse für Reporting, Incident Management und Audits beim Anbieter festschreiben

■ Leistungsfähigkeit des Anbieters und gegebenenfalls seiner vorhandenen Sublieferanten prüfen

■ Compliance-Anforderungen klären und in den Service-Level-Agreements (SLAs) regeln; beispielsweise den Ort der Datenspeicherung

■ Nur tatsächlich messbare, sicherheitsrelevante Kriterien im SLA vereinbaren; beispielsweise Nachweis über den regelmäßigen Tausch von Administratorkennwörtern

■ Sorgfältige Prüfung der vorgeschlagenen Messmethoden

■ Exit-Bedingungen im Vorfeld regeln

zurück drucken verlinken

Mehr zum Thema

Aktuelle Heftausgabe

B4B MITTELSTAND Januar 2013

B4B MITTELSTAND bedient den aktuellen Informationsbedarf des Mittelstands. Die Beiträge vermitteln einen Überblick über das jeweilige Thema und zeigen dessen praktischen Nutzen auf.

Online Tipps

B4B MITTELSTAND Online tipps

Hier finden Sie alle Onlinetipps aus den Ausgaben von den letzten B4B MITTELSTAND in der praktischen Übersicht.

Regionalnachrichten

Klicken Sie auf die Wirtschaftsnachrichten Ihrer Region: