CW: Cloud-Provider behaupten gerne, dass die Datenverarbeitung in der Wolke sicherer sei als im Rechenzentrum des Anwenders. Wie sehen Sie das?
HÜLSMANN: Tatsächlich konnten wir gerade im Mittelstand beobachten, dass die IT, egal als welchen Bestandteil in der Wertschöpfungskette man sie betrachtet, sicherer wurde, wenn sie in professionelle Hände gegeben wurde. Das sind zum einen sicher Skaleneffekte. Und in puncto Sicherheit, wo wir ja seit Jahren über Outsourcing sprechen und Kunden Teile ihrer IT auslagern oder gleich komplett in ein externes Rechenzentrum umziehen, erleben sie oft einen Sicherheits-Zugewinn, weil elementare Grundregeln zuvor nicht eingehalten wurden.
CW: Das heißt konkret?
HÜLSMANN: Nehmen Sie ein Beispiel aus der Praxis, das wir wirklich so erlebt haben. Bei einem Anwender fanden wir einen Server-Rack vor, der auf einer Euro-Palette stand. Warum? Nun, der Server musste öfter mit einem Hubwagen zur Seite geschoben werden, weil man sonst nicht an die Schränke dahinter kam. Das ist nur ein Beispiel, das Gros der Mittelständler geht sicher verantwortunsgbewusster mit seiner IT um. Aber es zeigt, dass Sicherheit vor Ort von den Mittelständlern nicht immer gewährleistet werden kann.
CW: Dass Server durch die Gegend gefahren werden, ist wohl eher die Ausnahme. Wie sieht es mit der technischen Infrastruktur aus?
HÜLSMANN: Viele Mittelständler, aber auch große Unternehmen sind nicht in der Lage, mit der technischen Innovationsgeschwindigkeit, die auch im Security-Umfeld anzutreffen ist, Schritt zu halten. Oft sind sie an Abschreibungsfristen gefesselt, oder es fehlt im Haus das Know-how, das nötig wäre, um neue Entwicklungen aufzugreifen. Die hauseigene IT ist immer so gut, wie es einem der eigene IT-Leiter weismachen will.
CW: Ist es nicht so, dass Provider auch viel höheren Risiken ausgesetzt sind? Für einen Cracker ist es doch interessanter, ein Telekom-RZ anzugreifen als einen Mittelständler.
HÜLSMANN: Der Gedanke liegt nahe. Auf der anderen Seite steht bei großen Unternehmen ein viel breiteres Arsenal an Abwehrwaffen zur Verfügung. Hier wird eine Managed Firewall effizienter und sicherer betrieben als bei einem Mittelständler. Deshalb wird die zusätzliche Bedrohung mehr als ausgeglichen.
CW: Angenommen, Sie hätten mich in Sachen Cloud überzeugt: Welche Konsequenzen hat eine Cloud-Migration für meine Security-Strategie?
HÜLSMANN: Das hängt davon ab, auf welcher Ebene Sie einsteigen wollen und welches Cloud-Modell Sie wählen.
CW: Also ist die Strategie davon abhängig, ob Public oder Private Cloud?
HÜLSMANN: Ja, so haben wir in der Private Cloud eher das Modell des User Self Service. Der Provider oder Partner liefert die Infrastruktur bis hinauf zur Ebene der virtuellen Maschine und sorgt in diesem Bereich auch für die Sicherheit durch Zungangskontrolle, Redundanz etc. Auf die virtuelle Maschine aber kann der User die gleichen Images aufspielen, die er bislang auf seinen dedizierten Rechnern genutzt hat. Er ist für alle Ebenen oberhalb des Infrastruktur-Levels verantwortlich.
CW: Das bedeutet in der Praxis?
HÜLSMANN: Der Anwender sollte erst einmal seine Applikationen analysieren. Was will er in die Cloud auslagern? Hier gibt es sicher Anwendungen die nicht so wichtig sind, und lebenswichtige Applikationen, für die es ein Sicherheitskonzept gibt. Und dieses Konzept muss der Anwender im Detail analysieren, um sich dann mit dem Cloud-Partner zusammenzusetzen. Der Anwender muss sein Konzept in die Cloud hineinprojizieren und entsprechende Anforderungen an den Provider richten.
CW: Wie sollte er die formulieren?
HÜLSMANN: Der Anwender sollte auf alle Fälle SLAs vereinbaren. Genauso wie die IT intern Service-Level-Agreements gegenüber den Fachabteilungen zu erfüllen hat, sollte sie extern vom Cloud-Partner entsprechende SLAs einfordern. Deren Definition stellt sich oft als Stolperstein heraus.
CW: Wo sehen Sie typische Probleme?
HÜLSMANN: Nehmen Sie als ganz einfaches Beispiel die Verfügbarkeit. Eigentlich geht man davon aus - und die Netzanbieter kalkulieren so -, dass diese auf ein Jahr gerechnet wird. Etliche Anwender meinen jedoch, dass sich die Verfügbarkeit auf einen Monat bezieht. In der Praxis ist das ein enormer Unterschied. Deshalb sollten die Anwender bei SLA-Verhandlungen darauf achten, worüber geredet wird und ob beide Seiten unter einem Begriff das Gleiche verstehen.
- So schützen Sie sich vor Cloud Katastrophen
"Die Cloud hat keine Fehler, die es zuvor nicht auch beim In-House-Betrieb gegeben hat", meint Rackspace CSO Moorman. Eine absolute Sicherheit gibt es auch mit der Cloud nicht. Wer sich dessen bewusst ist, wird nicht unvorbereitet in einen Wolkenbruch geraten. Unsere Tipps für Sie: - Tipp 1:
Wenn Sie einen Teil ihrer IT in die Cloud verlagern wollen, sollten sie bei der System-Planung Verluste und Ausfälle von Anfang an berücksichtigen. - Tipp 2:
Wenn es um ihre Daten geht, sollte Sie nicht auf andere vertrauen, sondern sich selber darum kümmern. Sorgen Sie selbst für ein Backup und überprüfen sie das Disaster Recovery-Setup Ihres Cloud-Providers. - Tipp 3:
Es ist nicht unbedingt nötig, alle Daten doppelt zu sichern. Ein zusätzliches Backup der kritischsten Daten kann aber sinnvoll sein. - Tipp 4:
Cloud-Nutzer sollten gründlich auf die Sicherungsmechanismen achten und eventuell vorsorglich eine Backup- oder Offline-Zugriffs-Lösung aufsetzen. - Tipp 5:
Bei Cloud-Diensten kann es sinnvoll sein, Daten auf verschiedenen Servern in unterschiedlichen Rechenzentren zu sichern – Es lohnt sich auch, die Dienste mehrerer Provider zu nutzen. - Tipp 6:
Sie sollten sich folgende Frage stellen: Ist es für unser Unternehmen tragbar, wenn Geschäftsdaten temporär nicht abrufbar sind?
CW-Webcast
Die Magie der Cloud - Mehr Effizienz und Flexibilität durch "Best automated Storage"
Sprechen wir schon von Cloud Computing as a Service? 7 von 10 deutschen Unternehmen arbeiten an einer eigenen Cloud-Strategie. Um die Daten-„Explosion“ zu bewältigen, braucht es effiziente Lösungen. Mehe. Am 22. September 2011 um 11:00 / 1 Stunde. > Zur Anmeldung