Cloud ohne Höhenangst: Gerade in der Wolke gewinnen althergebrachte Sicherheitskonzepte wieder an Gewicht Detail - Computerwelt

Computerwelt: Aktuelle IT-News Österreich


24.02.2010 Thomas Mach

Cloud ohne Höhenangst: Gerade in der Wolke gewinnen althergebrachte Sicherheitskonzepte wieder an Gewicht

Das Cloud-Konzept wird als universelles Heilmittel für sämtliche Sicherheitsprobleme gehandelt. Denn in der Wolke schützt der Provider alle Daten automatisch. Diese Position ist nicht nur technisch, sondern auch aus strategischer Sicht fragwürdig.

Unternehmen sollten gerade was Security-Fragen betrifft, darauf beharren, in Sachen Cloud Computing ihre Deutungshoheit zu behalten. Nicht zuletzt, um die Unabhängigkeit von Cloud-Providern zu wahren. Ganze Datencenter kommen heute aus der Wolke, so gut wie jedes IT-Thema findet sich mittlerweile auch als Service aus der sprichwörtlichen Steckdose. Doch das Überangebot führt auch zu einem gravierenden Problem: Die fehlende Schärfe des Begriffs macht es Anbietern leicht, sich darunter einzuordnen. Die Spanne reicht von Anbietern wie Amazon – das Unternehmen vermietet pure Rechenkraft – bis hin zum On-Demand-Pionier Salesforce.com, dessen Kunden ihr gesamtes CRM-System aus der Wolke beziehen können.

»Zwischen diesen beiden Anbietern haben sich Dutzende verwandter Angebote angesiedelt«, erläutert Lars Kroll, Manager Presales Consulting bei Symantec. »Beispielsweise Microsoft Office, das wohl ganz in die Wolke verlagert wird«. Die Industrie habe den Begriff Cloud selbst bereits eingefärbt und mit Software, Plattformen oder Infrastructure as a Service – inklusive der passenden Akronyme SaaS, PaaS und IaaS – inzwischen auch für die entsprechenden Schlagworte gesorgt. »Mehr Ordnung und Verständnis hat das aber sicher nicht gebracht.«

DIE SORGENFREIE WOLKE... Trotz der teils gravierenden Unterschiede weisen die Angebote auch einige Gemeinsamkeiten auf: Alle werden über eine im Web platzierte Infrastruktur abgewickelt, auch die Verkaufsargumente klingen ähnlich. Etwa »keine langfristige Kapitalbindung für Ressourcen und Systeme«, »technisch stets up to date«, »kaum Aufwand für Unterhalt, Wartung und Pflege«. Gründe, die dem Thema zu medialem Aufwind verhalfen und den Eindruck entstehen ließen, die klassische hausinterne Infrastruktur aus Hard- und Software hätte ausgedient. »Eine schöne sorgenfreie Welt wird hier gezeichnet. Der Anwender schiebt seine Daten einfach in die Wolke oder mietet dortige Dienste und schon hat er sich zahlreicher Probleme entledigt«, sagt Kroll. Das sei optimistisch und zu kurz gedacht. »Kritiker weisen zurecht auf altbekannte, ungelöste Probleme hin.« So würden zunehmend wertvolle Informationen in die Cloud wandern. Dies wiederum ziehe Hacker, Spione und andere Übeltäter an. Ganz zu schweigen von Fragen zum Datenschutz, der bekanntlich nur an wenigen Orten der Welt einen hohen Stellenwert genießt. »Es ist sogar berechtigt zu behaupten, dass sich die Risiken, die Administratoren bereits in einer wolkenfreien Welt auf Trab gehalten haben, in der Cloud beträchtlich verstärken. Die Ursache hierfür ist Macht und ihr Verlust oder anders formuliert die Deutungshoheit über die Sicherheit«, erklärt Kroll.

Nach altem Modell seien Administratoren »Herr im eigenen Serverraum«, mit allen Vor- und Nachteilen. In Cloud-Infrastrukturen würden sich dagegen Fragen in Hinblick auf Zuständigkeit, Verantwortung und Schuld stellen, wenn es zum Ernstfall kommt. »Zumal es in der Cloud wegen der Natur der Dienste nebulös bleibt, auf welchen Servern in welchem Land die Daten tatsächlich landen«, betont Kroll. Angesichts solcher Szenarien verwundere es wenig, dass »kein Unternehmen leichtfertig die eigenen Daten außer Haus geben und die Deutungshoheit über die Security verlieren möchte, indem es diese Macht an einen Dritten abtritt«. Statt den Sicherheitsversprechungen und Tools der Cloud-Anbieter blind zu vertrauen, würden Administratoren selbst bestimmen wollen, »wie hoch das Security-Niveau ist und mit welchen Mitteln es erreicht wird«. Vor allem sollten Unternehmen darauf bedacht sein, dieses Niveau möglichst durchgängig und homogen zu definieren. Unabhängig davon, wo die Daten am Ende landen.

b<>... WIRD ZUNEHMEND ZUM TRUGSCHLUSS Diesen Weg der Selbstbestimmung seien Unternehmen schon einmal gegangen. »Spätestens als sie begannen, ihre Netzwerke per Internet-Technologie an eigene Außenstellen und später an die Netze von Kunden und Partnern zu koppeln, schufen sie gut gesicherte Verbindungen zwischen drinnen und draußen.« Zu keinem Zeitpunkt hätten sich IT-Verantwortliche gänzlich auf vorkonfigurierte Security-Angebote verlassen. »Der eine oder andere mag sich noch an die dazu gehörige Diskussion im Bereich Virtual Private Network (VPN) erinnern. Provider wollten Unternehmen davon überzeugen, ausschließlich deren sicheren MPLS-basierenden Verbindungen zu vertrauen. Das eigene IPsec-VPN könne man ja ruhig abschalten und so Kosten sparen. Durchgesetzt hat sich dieses Konzept nicht. Denn niemand mag die Kontrolle und die Deutungshoheit über seine Sicherheit gänzlich abtreten«, erläutert Kroll.

Mit der Nutzung von Cloud Computing werde der Nachweis besonders wichtig, wer wann und warum auf welche Informationen zugegriffen hat. Dabei gelte es besonders die kritischen Übergänge zwischen den Welten im Auge zu behalten. »Denn mit einer Vielzahl an mobilen und flexiblen Zugriffsmöglichkeiten wachsen auch die Chancen von Hackern und Malware-Autoren.« Hier zeige sich, dass das Konzept Network Access Control (NAC) gerade in der Wolke seine besondere Berechtigung hat. »Eine optimale Network-Access-Control-Lösung garantiert, dass jede Schnittstelle in puncto Zugriffsmöglichkeiten nach eindeutigen Regeln arbeitet, auch in der Cloud«, ergänzt Carsten Hoffmann, Presales Consultant bei Symantec Austria und Experte für Network Access Control.

Eine weitere ernsthafte Bedrohung der Sicherheit würden so genannte Innentäter darstellen. Auch dieses Thema verliere mit dem Wechsel zur Wolke nicht an Brisanz. »Unabhängig vom Zugriff- und Speicherkonzept drohen unbeabsichtigte Datenverluste durch Mitarbeiter und mutwilliger Diebstahl«, erläutert Kroll. Wie aktuell das Thema in vielen Unternehmen sei, zeige eine Symantec-Studie. Demnach konnten von den 945 im Rahmen der Studie befragten Jobwechslern immerhin 59 Prozent noch auf sensible Daten ihres Alt-Arbeitgebers zugreifen oder diese bereits vorher mitnehmen. Im neuen Job nutzten 68 Prozent E-Mail-Verteiler, Kundenlisten und Personaldaten, die sie mitgenommen hatten.

Diesen Artikel

Bewertung:

Übermittlung Ihrer Stimme...
Noch nicht bewertet. Seien Sie der Erste, der diesen Artikel bewertet!
Klicken Sie auf den Bewertungsbalken, um diesen Artikel zu bewerten.
  Sponsored Links:

IT-News täglich per Newsletter

E-Mail:
Weitere CW-Newsletter

CW Premium Zugang

Whitepaper und Printausgabe lesen.  

kostenlos registrieren

Aktuelle Praxisreports

(c) FotoliaHunderte Berichte über IKT Projekte aus Österreich. Suchen Sie nach Unternehmen oder Lösungen.

Zum Thema

  • Bacher Systems EDV GmbH

    Bacher Systems EDV GmbH mehr
  • Bechtle IT-Systemhaus Österreich

    Bechtle IT-Systemhaus Österreich WLAN-Systeme, Netzwerk-Systeme (LAN, MAN, WAN), Netzwerk-Management, Server-Betriebssysteme, Verschlüsselungs- und Kryptografie Software, Security Audits, Notfalls-Rechenzentren,... mehr
  • Arrow ECS Internet Security AG

    Arrow ECS Internet Security AG WLAN-Systeme, VPN, Netzwerk-Systeme (LAN, MAN, WAN), Netzwerk-Management, Netzwerk-Diagnose-Systeme, Netzwerk-Betriebssysteme, Office Software,... mehr
  • Anexia

    Anexia Application Service Providing, Auftragsentwicklung für Software, Individual-Softwareentwicklung, RZ-Dienstleistungen, Übernahme von Softwareprojekten, User Helpdesk-Systeme und Hotlines mehr

Hosted by:    Security Monitoring by: