Compliance und Security – Treiber oder Bremse? Detail - Computerwelt

Computerwelt: Aktuelle IT-News Österreich


09.06.2010 EMC

Compliance und Security – Treiber oder Bremse?

Ebenso kontrovers wie die Diskussion um den Trend Cloud Computing, ist auch die begleitende Debatte um die Sicherheit sensibler und unternehmenskritischer Geschäftsdaten.

Auf der einen Seite haben viele Unternehmen noch immer Bedenken, ihre Daten über ein virtuelles Rechenzentrum zu verwalten. Doch nach Meinung der Verfechter von Cloud-Architekturen sind altbekannte Compliance- und Security-Herausforderungen mit der neuen Technologie deutlich effektiver zu lösen als im klassisch strukturierten Rechenzentrum.

Informationsschutz und Compliance werden oft ins Feld geführt, um auf vermeintliche oder tatsächliche Gefahren von Cloud Computing im Unternehmenseinsatz hinzuweisen. Risiken werden dabei zuweilen mit breitem Pinsel ausgemalt, Potenziale hingegen werden nur mit dünnem Stift skizziert. Vieles an der Kontroverse rund um die Cloud-Security hat seine Ursache jedoch in unscharfen Begriffen. Eine realistische Abwägung von Chancen und Herausforderungen verlangt daher zuallererst eine eindeutige Terminologie.

ÜBER WELCHE CLOUD REDEN WIR? Cloud Computing vereint zwei wichtige IT-Trends: Zum einen serviceorientierte Ansätze wie SaaS und SOA, die nun verallgemeinert werden zum Konzept ‚Infrastructure as a Service‘ (IssS), zum anderen die fortschreitende Virtualisierung verschiedener IT-Ressourcen. Ein vollständig virtualisiertes autarkes Rechenzentrum mit durchgängig serviceorientierter Architektur kann als interne Cloud verstanden werden. Zugleich ist damit der einfachste Fall einer privaten Cloud beschrieben. Gleichwohl sind die Bezeichnungen nicht synonym; vielmehr sind interne Clouds ein Sonderfall privater Clouds. Generell können sich private Wolken über mehrere Rechenzentren und unterschiedliche Organisationen erstrecken – sofern der Cloud-Eigentümer stets die Kontrolle über all seine Daten, Ressourcen und Prozesse behält. Von praktischer Bedeutung sind private Clouds derzeit vor allem bei der abgesicherten Netzwerkanbindung von Unternehmensrechenzentren an IT-Provider.

Ganz anders verhält es sich bei öffentlichen Clouds: Sie sind aus Anwendersicht gewissermaßen anonym. Der Zugriff erfolgt meist via Internet. Die Nutzer wissen weder wo, noch auf welche Art ihre Daten gespeichert, verarbeitet und wann sie wieder gelöscht werden. Prominente Beispiele für öffentliche Clouds sind Angebote von Google oder Amazon, die auf dem Konsumentenmarkt großen Anklang finden.

SICHERHEIT AN DER DESKTOP-PERIPHERIE In Rechenzentren wenig beliebt sind Aufgaben wie die Sicherung von Desktops und Notebooks. Denn das Verhalten der User draußen im Unternehmen oder unterwegs bei Kunden lässt sich nur schwer beeinflussen und kontrollieren. Trotz gegenteiliger Vorschriften installieren Mitarbeiter Software-Plug-Ins, ändern eigenmächtig Konfigurationseinstellungen, laden riskante Dateien unbekannter Herkunft aus dem Internet oder kopieren sie von USB-Sticks auf die Festplatte ihres Geräts. Laut einer Studie von IDC zu internen IT-Risiken sind fahrlässige Verstöße gegen geltende Security-Richtlinien weit häufiger und verursachen größere Schäden als vorsätzliches Handeln eigener Mitarbeiter. Viele Unternehmen wissen zudem nur wenig über das eigene Risikoprofil: 82 Prozent der von IDC Befragten hatten weder ein klares Bild von der internen Gefahrensituation, noch waren sie in der Lage, mögliche finanzielle Folgen zu beziffern. Erschwert wird die Kontrolle der Endgeräte-Peripherie heutzutage durch die Tatsache, dass Belegschaften zunehmend weiträumig, oft sogar global verteilt arbeiten. Vor diesem Hintergrund ergeben sich folgende Anforderungen:Durchsetzung entsprechender Verhaltensrichtlinien,Schutz von vertraulichen Informationen bei Verlust oder Diebstahl von Geräten,Abwehr von Schadsoftware,zeitnahe Security-Patches sowieregelmäßige Konfigurationsaktualisierung.

In traditionellen Rechenzentren bleibt dies meist hehre Theorie; die Praxis sieht oft anders aus. Nicht so in Cloud-Umgebungen, in denen virtuelle Desktops als Host-Service ausgeliefert werden. Denn hier sind sämtliche Endgeräte-Konfigurationen zentral im Data Center angesiedelt. Virtuelle Desktops mindern das Risiko, wenn Mitarbeiter-Notebooks auf Bahnhöfen oder in Hotels abhandenkommen. Da auf lokalen Festplatten keinerlei kritische Daten mehr gespeichert sind, ist in solchen Fällen auch kein Informationsabfluss aus dem Unternehmen zu befürchten. IT-Administratoren installieren sämtliche Security-Patches ebenso wie alle Anwendungs- und Betriebssystem-Upgrades von zentraler Stelle aus und gewährleisten somit auf effiziente Weise die Aktualität der Endgeräte. Zusätzliche Isolationstechniken der Desktop-Virtualisierung verhindern zudem, dass private und geschäftliche Gerätenutzung kollidieren.

COMPLIANCE UND PRIVATE CLOUDS EMC pilotierte im vierten Quartal 2009 eine unternehmensinterne "Virtual Desktop Initiative" mit 250 Clients. Zum ersten Quartalsende 2010 sollen es bereits doppelt so viele sein. Für das Gesamtjahr sind 5.000 virtuelle Desktops im Unternehmen anvisiert. Neben Kostensenkung und stabilerer Performance gehören verbesserte Compliance-Fähigkeit sowie ein höheres Sicherheitsniveau zu den erklärten Zielen der Initiative.

Bei EMC zeigt sich ein spezieller Vorteil virtueller Desktops hinsichtlich der Compliance: Die Softwarelizenzen der Endgeräte sind jetzt auf einem Server konzentriert und können dort jederzeit eingesehen werden – anstatt jedes physische Gerät einzeln unter die Lupe nehmen zu müssen. Vom Effizienzgewinn einmal abgesehen, sind Verstöße gegen geltende Lizenzvereinbarungen bei virtuellen Desktops weit unwahrscheinlicher als bei ihren physischen Vorgängern.

Private Clouds sind ein Outsourcing-Modell im Zeitalter der Virtualisierung. Wie eingangs beschrieben, greifen Unternehmen dabei über gesicherte Netzwerkleitungen auf die mandantenfähige Infrastruktur ihres IT-Providers zu. Genau wie beim klassischen Outsourcing profitieren sie von Skaleneffekten – insbesondere, weil sie frühzeitig an technologischen Innovationen partizipieren, die sich für Einzelunternehmen allein unter Umständen nicht rechnen. Ein Beispiel dafür sind intelligente Datenschutzmechanismen wie Data Loss Prevention (DLP) von RSA, der Security-Tochter von EMC.

Diesen Artikel

Bewertung:

Übermittlung Ihrer Stimme...
Noch nicht bewertet. Seien Sie der Erste, der diesen Artikel bewertet!
Klicken Sie auf den Bewertungsbalken, um diesen Artikel zu bewerten.
  Sponsored Links:

IT-News täglich per Newsletter

E-Mail:
Weitere CW-Newsletter

CW Premium Zugang

Whitepaper und Printausgabe lesen.  

kostenlos registrieren

Aktuelle Praxisreports

(c) FotoliaHunderte Berichte über IKT Projekte aus Österreich. Suchen Sie nach Unternehmen oder Lösungen.

Zum Thema

  • Bechtle IT-Systemhaus Österreich

    Bechtle IT-Systemhaus Österreich WLAN-Systeme, Netzwerk-Systeme (LAN, MAN, WAN), Netzwerk-Management, Server-Betriebssysteme, Verschlüsselungs- und Kryptografie Software, Security Audits, Notfalls-Rechenzentren,... mehr
  • VOQUZ Technologies GmbH

    VOQUZ Technologies GmbH Öffentliche Verwaltung, Maschinen- und Anlagenbau, Finanzdienstleistungen, Qualitätssicherung, Product Lifecycle Management (PLM), Mobile Lösungen und Applikationen, Management Informationssysteme (MIS),... mehr
  • APC Business Services GmbH

    APC Business Services GmbH IT-Personalbereitstellung, Individual-Softwareentwicklung, IKT-Consulting mehr
  • SNP AUSTRIA GmbH

    SNP AUSTRIA GmbH Qualitätssicherung, Kaufmännische Software (ERP), Tools, Programmiersprachen, Datenkonvertierung, Übernahme von Softwareprojekten, Systempflege- und Wartung,... mehr

Hosted by:    Security Monitoring by: