CW: Sind die Sicherheitssorgen mancher Anwender bezüglich Cloud-Services berechtigt?

Stikeleather: Das Security-Problem bezüglich Cloud Computing ist vielschichtig. Computer, die wir heute benutzen, waren niemals darauf ausgelegt, sicher zu sein, genau wie die Netzwerke. Sicherheit war noch nie ein primäres Design-Prinzip. Für sie wird nachträglich gesorgt - mit mäßigem Erfolg. Mit Cloud Computing haben wir so etwas wie eine Chance, nochmal von vorne anzufangen. Damit meine ich folgendes: Echte Utility-Provider werden eine unsichere Infrastruktur nutzen, sichere Services anzubieten.

Wenn ich mich an der Cloud anmelde, erzeugt der Provider zuerst eine virtuelle Maschine oder einen Hypervisor. Der Hypervisor schließt dann jeden weiteren Zugriff von außen aus. Dadurch wird eine sichere Umgebung erzeugt. Das ist viel sicherer, als wenn man per Browser verschiedene Webseiten nacheinander ansurft. Angreifern ist es dann nicht mehr möglich, Schadsoftware direkt auf dem Rechner des Anwenders zu platzieren. Mittel- bis langfristig wird die Cloud bedeutend sicherer sein, als unsere jetzige Umgebung.

Während sich die Cloud entwickelt, sind die Risiken hoch. Viele Leute drängen sich in die Cloud und diese Enge macht anfällig für Gefahren. Das ist ähnlich wie bei den Städten im Mittelalter. Durch die dichte Bevölkerung konnten sich Viren schnell verbreiten. Die Pest ist ein gutes Beispiel dafür. Langfristig war durch die hohe Population aber großes Innovationspotential vorhanden, so dass Großstädte heutzutage die beste medizinische Versorgung aufweisen. Bei Cloud Computing wird es ähnlich laufen, denke ich.

CW: Als Anbieter von Endgeräten, nach der Übernahme von Perot Systems aber auch als IT-Dienstleister, muss die Security-Diskussion in Ihrem Haus hohe Priorität haben. Was waren die Herausforderungen für Sie?

Stikeleather: Ein Ergebnis unserer Diskussion ist, dass bezüglich Sicherheit die vorhandene Technologie kein Problem darstellt. Es kommt darauf an, dass Gesellschaften oder Regierungen als Vertreter der Gesellschaft sich erst einmal darüber klar werden müssen, was Sicherheit im Cyberspace bedeuten soll. Wo besteht Handlungsbedarf und wie sollen die Gesetze aussehen? Wenn das geklärt ist, ist die technologische Umsetzung das kleinere Problem. Wir benutzen dafür den Ausdruck "small MOP (Matter of Programming)".

Ein zweiter Punkt ist, dass Internet und Cyberspace fälschlicherweise als äquivalent betrachtet werden. Diese Begriffe bedeuten aber unterschiedliches. Internet umfasst die Technologien und Standards, die nötig sind, um den Cyberspace wie er heute existiert zu erzeugen. Diese Technologien werden sich weiterentwickeln. Das Konzept des Cyberspace mit seinen sozialen und moralischen Anforderungen bleibt jedoch eine Herausforderung. Daher geht es nicht nur um Sicherheit, sondern zunehmend um Themen wie Compliance, Datenschutz und Urheberrechte. Folglich wird die nächste Technologie-Generation Digital Rights Management oder Digital Restrictions Management im Fokus haben - je nachdem, von welcher Seite man das Pferd aufzäumt. Firmen sollten erkennen, dass Sicherheit von Anwendungen und Netzwerken nur die eine Seite der Medaille ist. Dieses Thema wird Teil der Infrastruktur werden.