Cloud Computing verspricht höhere Skalierbarkeit und Flexibilität sowie niedrigere Kosten und Komplexität. Die Nachfrage nach der Technologie steigt seit Jahren und ein Ende ist nicht in Sicht - behaupten zahlreiche Studien. Der Austausch mit CIOs großer Unternehmen aus Deutschland, Österreich und der Schweiz zeigt jedoch ein anderes Bild. Die Bedenken, insbesondere bezüglich Sicherheitsfragen, nehmen zu - laut der Capgemini-Studie "IT-Trends 2013" geht der Einsatz von klassischen Private- und Public-Cloud-Services in der DACH-Region sogar relativ gesehen zurück.
Die allgemeine Wahrnehmung in der Bevölkerung spiegelt dies wider. Laut aktuellem Allensbacher Sicherheitsreport werden Daten- und IT-Risiken, wie Datenbetrug im Internet und Missbrauch persönlicher Daten, gravierender eingestuft als klassische Kriminalität. Auch Meldungen in der Presse - Stichwort NSA - rütteln an der Glaubwürdigkeit einer sicheren und vertrauenswürden IT-Landschaft. Wie sieht also für Unternehmen die IT-Lösung aus, die sowohl die Vorteile von Cloud Computing bietet, als auch sicherheitsrelevante Aspekte berücksichtigt?
Hybrid Cloud - der Trend 2014
Professionelle Public-Cloud-Anbieter unternehmen erhebliche Anstrengungen, um ihre Lösungen sicher zu machen. Dabei adressieren sie verschiedene Datensicherheitsebenen - von der Infrastruktur, über logische Datenebenen bis hin zur Steuerungsebene. Viele operieren mit umfassenden Zertifizierungen und erreichen ein Datenschutzniveau, das viele, vor allem kleinere, Unternehmen nicht in selbstbetriebenen Rechenzentren leisten könnten.
Aus Sorge um Kontrollverlust oder Späh-Attacken sind viele CIOs derzeit aber immer noch nicht bereit, umfassend auf die (Public) Cloud zu setzen. Die optimale Lösung scheint der hybride Ansatz zu sein. Er vereint die Stärken der sicheren Private und der kostengünstigen Public Cloud. Anwendungen und Daten können hier je nach Schutzbedarf oder regulatorischen Anforderungen zugesteuert werden.
- Cloud-Security-Tools
Um die Sicherheit in Cloud-Umgebungen zu kontrollieren und zu überwachen, gibt es etliche Werkzeuge zum Nulltarif, so dass Anwender nicht unbedingt zu kostspieligen Suiten greifen müssen. - Date Leak Prevention: MyDLP und OpenDLP
Um herauszufinden, wo unternehmenskritische Daten lagern und auf welchen Wegen sie im Corporate Network transportiert werden, bieten sich Programme wie "MyDLP" (www.mydlp.com) und "OpenDLP" an. Beides sind Open-Source-Programme für Data Loss Prevention (DLP). Beide Tools verhindern, dass sensible Informationen per E-Mail, als Kopien auf USB-Sticks oder in Form von Ausdrucken das Haus verlassen. - Date Leak Prevention: MyDLP und OpenDLP
Zudem helfen die Programme, den Speicherort sensibler Daten ausfindig zu machen und eine Konsolidierung vorzunehmen. Das etwas komfortabler zu benutzende Programm ist MyDLP. Es führt den Anwender Schritt für Schritt durch den Installations- und Konfigurationsvorgang. Dagegen merkt man OpenDLP seine Vergangenheit in der "Kommandozeilen-Ecke" an. - GRC-Stack der Cloud Security Alliance
Für Checklisten, die unter anderem bei der Auswahl des richtigen Cloud-Service-Providers und der Implementierung von Sicherheitsvorkehrungen in Cloud-Umgebungen helfen, hat die Cloud Security Alliance (CSA) den "GRC Stack" erarbeitet. Die Unterlagen sind ausschließlich in Englisch verfügbar und zudem stark auf Compliance-Vorgaben ausgelegt, die in den USA gelten. Dennoch können sie als Basis für Sicherheits-Checks im Rahmen von Cloud-Computing-Projekten herangezogen werden. - GRC-Stack der Cloud Security Alliance
Ebenfalls von der CSA stammt die "Cloud Controls Matrix" (CCM). Anhand dieser Checkliste können Interessenten die Sicherheitsvorkehrungen eines Cloud-Service-Providers unter die Lupe nehmen. Die Grundlage bilden Sicherheits- und Compliance-Standards wie ISO 27001/27002, ISACA, COBIT, PCI, NIST, Jericho Forum und NERC CIP. Die aktuelle Version 1.3 der CCM vom September 2012 steht auf der Website der Organisation kos-tenlos zum Herunterladen bereit. - Zwei-Faktor-Authentifizierung mit WiKID
Wie bereits angesprochen, spielt die Authentifizierung von Nutzern im Rahmen von Cloud Computing eine zentrale Rolle, auch bei Cloud-Migrationsprojekten. Unternehmen, die noch keine Erfahrung mit einer Zwei-Faktor-Authentifizierung gesammelt haben, können dies mit dem Open-Source-Produkt "WiKID" nachholen. Die Software lässt sich unter anderem einsetzen, um Intranets abzuschotten, deren Nutzer Zugang zu den Ressourcen eines externen Cloud-Computing-Service-Providers haben. - Microsoft Cloud Security Readiness Tool
Kostenlos verfügbar ist auch das "Cloud Security Readiness Tool" von Microsoft. Es soll vor allem kleine und mittelständische Betriebe ansprechen. Der Nutzer muss Fragen beantworten, beispielsweise ob Regeln für den Zugriff auf Daten bestehen, welche Sicherheits-Policies gelten und ob grundlegende Sicherungen wie etwa ein Malware-Schutz und Firewalls oder eine Zutrittskontrolle zum Rechenzentrum vorhanden sind. Die Resultate fasst das Tool inklusive Bewertung und Empfehlungen in einem etwa 60-seitigen Bericht zusammen. - Centrify Cloud Tools
Die amerikanische Firma Centrify hat in Form der "Centrify Cloud Tools" eine Sammlung von Programmen und Scripts zusammengestellt. Mit ihnen können Systemverwalter eine Authentifizierung und Zugriffskontrolle für Linux-Server einrichten, die auf den Plattformen von Cloud-Service-Providern wie Amazon EC2 oder der Cloud-Management-Plattform von Rightscale aufgesetzt wurden. - Spiceworks spürt heimlich genutzte Cloud-Services auf
Ebenfalls gratis erhältlich sind die "Cloud Management Tools" von Spiceworks. Das Unternehmen hat sich auf IT-System-Management-Software spezialisiert. Dementsprechend lassen sich mit den Cloud-Management- Tools On- und Off-Premise-Cloud-Services verwalten. Dies ist auch unter dem Sicherheitsaspekt von Vorteil, denn mit der Software können Administratoren Cloud-Services aufspüren, die einzelne User oder Unternehmensbereiche ohne Wissen der IT-Abteilung verwenden - Stichwort "Rogue Cloud Services". Die Cloud Management Tools enthalten Monitoring-Funktionen, mit denen der Nutzer den Status der Systeme in der Cloud überwachen kann, etwa von Hosted Servern. - VMware- und Hyper-V-Hosts überwachen
Eher am Rande mit Cloud-Security zu tun haben Tools, mit denen sich der Status von Virtual Hosts überwachen lässt. Zwei Anbieter stellen kostenlose Versionen ihrer Monitoring-Werkzeuge zur Verfügung: Veeam mit der "Veeam One Free Edition" ... - VMware- und Hyper-V-Hosts überwachen
und Solarwinds mit "VM Monitor". Beide Tools überwachen den Status der VMware- und Microsoft-Hyper-V-HostSysteme.
90 Prozent der an Cloud interessierten Unternehmen fragen bereits nach diesem Modell. Viele von ihnen stehen jedoch vor der Herausforderung, dass ihnen standardisierte Verfahren zur Datenklassifizierung fehlen, die entscheiden, welche Daten in welcher Cloud gespeichert werden. Oftmals fehlen auch Steuerungsmechanismen für den reibungslosen Datenaustausch zwischen Applikationen und der Cloud - beides sind Grundvoraussetzungen, um eine Hybrid Cloud effizient zu nutzen.
Klassifizierung von Daten - ein Muss
Jedes Unternehmen muss klären, welche Art von Daten in welchen Anwendungen verarbeitet wird, welcher Datensicherheitsumfang notwendig ist und in welche Cloud-Architektur sie verlagert werden können. Beim Umgang mit personenbezogenen Daten kommen umfangreiche, gesetzliche Datenschutzanforderungen hinzu. Deren Einhaltung kann sich insbesondere bei außereuropäisch operierenden Cloud-Anbietern als schwierig erweisen.
Grundsätzlich gilt: Um vertrauliche, möglicherweise personenbezogene, Daten zu schützen und gesetzeskonform zu sein, sind diese in einer Private Cloud vorzuhalten. Der möglicherweise hohe Anteil dieser Daten schränkt jedoch den Einsatz flexibler und kostengünstiger Public Clouds stark ein. Daher stellt sich die Frage: Sind heutzutage tatsächlich alle unternehmens- und personenbezogenen Daten vertraulich und bedürfen eines besonderen Schutzes einer privaten Cloud?
Es empfiehlt sich also eine sorgfältige, unternehmensindividuelle Datenklassifizierung im Hinblick auf den Schutzbedarf.
- Die 10 größten Security-Risiken in der Cloud
Lesen Sie, welche Security-Risiken der Einsatz einer Public oder Hybrid Cloud birgt und was Sie dagegen tun können. - Verletzung der Vertraulichkeit und Integrität der Daten:
Eine Lokalisierung der Daten ist in einer Public oder Hybrid Cloud für den Dateneigentümer nicht mehr einfach möglich. Daher ist der Schutz der Daten auf der Infrastruktur-, Plattform und Applikationsebene häufig nicht mehr mit üblichen Mitteln zu gewährleisten. - Löschung von Daten:
Daten müssen in vielen Fällen (etwa aufgrund gesetzlicher Bestimmungen) gelöscht werden. Auch hier besteht das Risiko einer nur unzureichenden oder unvollständigen Löschung auf allen Plattformen und Datenbanken der Cloud, da die Lokalisierung der Daten nur schwer möglich ist. - Ungenügende Mandantentrennung:
Bei nicht ausreichend abgesicherter Mandantentrennung besteht die Gefahr, dass Dritte unautorisiert Daten einsehen oder manipulieren können. - Verletzung der Compliance:
Da Daten in einer Public Cloud prinzipiell in allen Ländern der Welt in deren spezifischen Rechtsordnungen verarbeitet werden können, ist die Erfüllung aller gesetzlicher Anforderungen eine wesentliche Aufgabe bei der Nutzung von Public Cloud Leistungen. - Verletzung von Datenschutzgesetzen:
Es ist nicht von vornherein klar, in welchen Ländern, Rechenzentren, auf welchen Servern und mit welcher Software die Daten gespeichert und verarbeitet werden. - Insolvenz des Providers:
Die Insolvenz eines Providers bedeutet meist nicht die Insolvenz aller Rechenzentren, die der Provider verwendet hat. Rechenzentren werden zudem bei Insolvenz mit großer Wahrscheinlichkeit an andere Provider verkauft werden. - Problematik der Subunternehmer:
Ein weiteres Problem stellt die Auftragsweitergabe an Subunternehmer dar. Der Provider wird häufig Subunternehmer für gewisse Leistungen verpflichten. In einer Public Cloud bleibt auch diese Komplexität dem Benutzer häufig verborgen (und soll ja nach der Philosophie des Cloud Computing verborgen bleiben). - Beschlagnahmung von Hardware:
Eine Beschlagnahme von Hardware kann in allen Ländern erfolgen, in denen der Provider Computing-Ressourcen nutzt. Meist werden sich Daten des Auftraggebers auf beschlagnahmten Servern befinden. - Handel mit Ressourcen wird denkbar:
Denkbar ist auch, dass Provider einen Handel mit ihren Ressourcen untereinander aufbauen und damit eine "Ressourcenbörse" realisieren wie sie in obiger Abbildung angedeutet ist. Auf dieser Börse werden Ressourcen zu einem bestimmten Preis angeboten. - Erpressungsversuche:
Die Gefahr von Erpressungsversuchen steigt, da der Personenkreis mit Administrationsaufgaben für Ressourcen der Public Cloud unüberschaubar groß ist. Das eingesetzte Personal verfügt im Allgemeinen über unterschiedliches Ausbildungsniveau und Sicherheitsbewusstsein.
Sichere Orchestrierung
Eine weitere Voraussetzung, alle Vorteile der Hybrid Cloud ausschöpfen zu können, ist die professionelle Orchestrierung der gesamten Applikationslandschaft. Der Orchestrierungs-Service ermöglicht den nahtlosen und sicheren Austausch zwischen einzelnen Komponenten. Da die direkte Kommunikation zwischen den Applikationen entfällt, sinkt der Integrationsaufwand. Flexibilität und Transparenz für den Nutzer steigen. Dabei sollte der Service auf homogene, robuste, standardisierte Software und Technologie zurückgreifen.
Schließlich sollte jedes Unternehmen bei der Wahl des Cloud-Anbieters klären, in welchen Ländern die Datenverarbeitung in der Cloud erfolgt, da gesetzlich geforderte Datenschutzniveaus weltweit variieren. Zudem ermöglichen einzelne Staaten rechtlich den legalen Datenzugriff durch zum Beispiel Geheimdienste oder Finanzbehörden - ein Vorgehen, das nicht für jedes Unternehmen akzeptabel ist.
Fazit
Die vielfältigen Vorteile von Cloud-Lösungen werden Unternehmen weiterhin dazu bewegen, sich diese im Wettbewerb zu Nutze zu machen. Mit Hybrid Cloud und einer professionellen Cloud- Orchestrierung sollten die meisten Unternehmen bereits heute in einigen Bereichen die Vorteile der Public Cloud nutzen können, ohne auf umfassenden Schutz ihrer schützenswerten Daten zu verzichten. (sh)