Security-Risiken beim Cloud Computing Detail - Computerwelt

Computerwelt: Aktuelle IT-News Österreich


04.12.2010 Rene Reutter, Thorsten Zenker*

Security-Risiken beim Cloud Computing

Viele IT-Manager schrecken aus Sorge um die Sicherheit und Verfügbarkeit von Anwendungen und Daten vor der Nutzung von Cloud-Computing-Diensten zurück. Doch die Security-Risiken lassen sich eindämmen.

Damit sie mit der Wolken-IT nicht plötzlich im Regen stehen, scheuen große Unternehmen nach einer aktuellen Studie der amerikanischen Information Technology Intelligence Corporation (ITIC) den Schritt zum Cloud Computing. Die Marktforscher befragten international 300 Firmen mit bis zu 100.000 Mitarbeitern. Lediglich 15 Prozent von ihnen wollen in absehbarer Zeit entsprechende Technologien einsetzen, nur acht Prozent tun es bereits. Die größten Ängste existieren hinsichtlich der Sicherheit: Zum einen ist meist nicht genau bekannt, wo auf dem Erdball die sensiblen Daten gespeichert sind. Wie steht es da zum Beispiel mit der Compliance? Welchem Landesrecht unterliegen die Informationen? Zum anderen besteht die Sorge, dass das Geschäft durch einen längeren Netzausfall zum ruinösen Stillstand kommt.

Wie so oft entstehen Ängste durch Skepsis vor dem Neuen: Gerüchte kursieren und es herrscht mangelhafte Aufklärung. Wer aber weiß, welche Sicherheitslücken drohen und wie er sich schützen kann, muss sich weniger fürchten, denn die Risiken lassen sich auf ein Minimum reduzieren. Hier sind die Cloud-Computing-Provider in der Pflicht, ihre Kunden über die für sie am besten geeigneten Sicherheitsmaßnahmen zu informieren. Welche davon er nutzt, bleibt jedem Anwender dann selbst überlassen. Aber nur wer das persönliche Sicherheitsniveau richtig einschätzen kann, entdeckt für sein Geschäft in der Wolke mehr als ominösen Nebel.

Privat versus öffentlich Schon die von Anbieter zu Anbieter beziehungsweise Analyst zu Analyst unterschiedlichen Definition der Cloud führen zu gravierenden Missverständnissen: Meist geht es um ein Verlagern der ICT-Ressourcen von lokalen Rechnern ins öffentliche, unsichere Internet. Aber muss das zwangsläufig so sein? Hier gilt es, grundsätzlich zwischen öffentlichen ("public") Clouds à la Amazon und Google sowie dedizierten ("private") Clouds für Unternehmen zu unterscheiden. Erstere eignen sich primär für private Nutzer, um zum Beispiel Mails überall zu empfangen und zu versenden oder um Dateien und Urlaubsfotos bequem auf Festplatten im Netz abzulegen. Sie kosten meist nichts, ihre Betreiber verpflichten sich aber auch zu nichts. Bei einem Server-Ausfall müssen die Anwender eben warten. Geht ein Mailserver oder eine Festplatte kaputt, sind die Daten weg. Sicherheit und Servicevereinbarungen - Fehlanzeige.

No risk, no fun? Was sich im privaten Umfeld mehr und mehr durchsetzt, widerspricht deutlich den Anforderungen der Geschäftswelt. Von der Datensicherheit, dem Schutz gegen Manipulationen und einer hohen Verfügbarkeit hängt oft das Überleben eines Unternehmens ab. Weltweit stünden die meisten Firmen nach gut einer Woche ohne ihre IT-Daten vor dem Ruin. Und neben einem hohen finanziellen Verlust leidet meist auch das Image, wenn Informationen über eine neue Produktentwicklung schon vor ihrer offiziellen Publikation nach außen dringen. Sollten Unternehmen also trotz der hohen Flexibilität und der rein verbrauchsabhängigen Bezahlung lieber auf die Wolke verzichten? Die Antwort liegt in der "privaten" Cloud, einem Kompromiss aus Wolke und eigener Anbindung an ein Data Center. Hier fließen die Daten nicht über das öffentliche Internet, sondern über das getunnelte Netz des Providers.

1. Dienstleister auswählen Die wohl größte Herausforderung für Unternehmen beim Cloud Computing besteht darin, den geeigneten Dienstleister zu finden. Sie müssen sich hierzu intensiv mit den von ihm angebotenen Services und seiner tatsächlichen Leistungsfähigkeit befassen. Kann er zum Beispiel individuelle Bedürfnisse bedienen? Wie gut kennt er sich mit branchenspezifischen Anforderungen aus? Große ICT-Anbieter erbringen identische Leistungen für eine Vielzahl von Kunden. Durch die sich daraus ergebenden Skaleneffekte können sie Technologien einsetzen, die für ein einzelnes Unternehmen kaum erschwinglich wären. Es müsste darüber hinaus Personal mit den richtigen Fachkenntnissen vorhalten und das Wissen der Mitarbeiter regelmäßig in Schulungen aktualisieren. Über den Provider kaufen sie das Fach- und Branchen-Know-how gleich mit ein. Das macht sich insbesondere bei der Sicherheit schnell bezahlt. Die Angreifer kennen sich meist mit den neuesten Werkzeugen perfekt aus. Hier mitzuhalten, erfordert einen beträchtlichen finanziellen und personellen Aufwand.

2. Security-Anforderungen definieren Gleichwohl sollten Unternehmen nicht sofort die ganze Sicherheit einfach auf den Provider schieben, sondern sich mit ihm zunächst intensiv über das nötige Schutzniveau auseinandersetzen. Der Dienstleister muss seinem Kunden die bestehenden Risiken erläutern und ihm sagen, was er konkret dagegen unternimmt. Erst aus einer gründlichen Gefahrenanalyse lässt sich eine individuelle Lösung ableiten, die sämtliche Sicherheitsanforderungen erfüllt.

Genau wie bei klassischen ICT-Umgebungen reicht beim Cloud Computing das punktuelle Stopfen von Security-Lücken nicht aus. Andererseits braucht ein Unternehmen auch nicht zwangsläufig alle am Markt vorhandenen Sicherheitstechnologien einzusetzen, sondern kann diese von einem seriösen Provider modular ganz nach Bedarf beziehen. Spätere regelmäßige Risikobewertungen und Audits, etwa in Form von Penetrationstests, ergänzen diese ganzheitliche Sichtweise. So lassen sich neue Schwachstellen herausfinden und Maßnahmen schnell anpassen. Die genaue Auswahl und kontinuierliche Aktualisierung der Sicherheitsmaßnahmen ist gerade beim Cloud Computing sehr wichtig, da mit der hochgradigen Dezentralisierung und Verteilung von Anwendungen und Daten auch die Zahl der Angriffsvektoren und Gefahren steigt.

Sind die Sicherheitsanforderungen exakt festgelegt, lassen sie sich über Service Level Agreements durchgängig vertraglich vereinbaren, also von der Produktion im Rechenzentrum über die Netze bis zum PC oder mobilen Endgerät beim Anwender im Unternehmen. Im eigenen Netz kann der Dienstleister das Einhalten der SLAs auch in der Cloud gewährleisten. So kann der Kunde die Qualität und die Verlässlichkeit des ICT-Service objektiv beurteilen.

Die Tatsache, dass eine spezialisierte, zentrale Stelle alle Vorgänge - Implementierung, Konfiguration, Release-, Update- und Patchmanagement, Backup etc. - kontrolliert und steuert, erleichtert das Einhalten der Sicherheitsmaßnahmen außerdem. Erst dadurch können diese auf sämtlichen Ebenen wie Zahnräder wirksam ineinander greifen. Das ermöglicht letztlich sogar das sichere Einbinden mobiler Endgeräte in die Wolke.

Diesen Artikel

Bewertung:

Übermittlung Ihrer Stimme...
Noch nicht bewertet. Seien Sie der Erste, der diesen Artikel bewertet!
Klicken Sie auf den Bewertungsbalken, um diesen Artikel zu bewerten.
  Sponsored Links:

IT-News täglich per Newsletter

E-Mail:
Weitere CW-Newsletter

CW Premium Zugang

Whitepaper und Printausgabe lesen.  

kostenlos registrieren

Aktuelle Praxisreports

(c) FotoliaHunderte Berichte über IKT Projekte aus Österreich. Suchen Sie nach Unternehmen oder Lösungen.

Zum Thema

  • MIC – managing international customs & trade compliance

    MIC – managing international customs & trade compliance Supply Chain Management, Kaufmännische Software (ERP), Expertensysteme, E-Procurement und Supply Chain Management, B2B Dienste und Lösungen mehr
  • eyepin GmbH

    eyepin GmbH Application Service Providing, Auftragsentwicklung für Software, Individual-Softwareentwicklung, Programmierung, Übernahme von Softwareprojekten mehr
  • ectacom GmbH

    ectacom GmbH Aus- und Weiterbildung, IT-Asset- und Lizenzmanagement, Übernahme von Softwareprojekten, Datenschutz, Antiviren- und Virenscanner Software, Backup und Recovery Systeme, Firewalls,... mehr
  • T-Systems Austria GesmbH

    T-Systems Austria GesmbH WLAN-Systeme, VPN, Voice Mail Dienste, Videokonferenz-Systeme, Unified Messaging Dienste, Netzwerk-Systeme (LAN, MAN, WAN), Netzwerk-Management,... mehr

Hosted by:    Security Monitoring by: