Nur bedingt preisgünstiger
Die vermeintlich niedrigeren Kosten, mit denen die Hersteller ihre Services bewerben, ziehen sowieso nur bedingt als Argument. Einerseits wird die Einbindung von IT-Sicherheit in die Infrastruktur einfacher, was den Anwendern einiges an Implementierungsaufwand einspart. Andererseits ist die Auswahl der passenden Lösung schwieriger geworden. "Der Grundsatz lautet immer: Qualität kostet", warnt Strobel. Dieses Prinzip ist im heutigen Cloud-Geschäft aber kaum zu verfolgen, weil unter Anbietern ein heftiger Preiskampf ausgetragen wird. Das verhindert häufig, dass die Provider von sich aus Sicherheitsprodukte und -services in ihre Plattformen einbauen. Der cirosec-Geschäftsführer appelliert an die Anwender, sich deshalb nicht von vermeintlich abgesicherten, dennoch preisgünstigen Cloud-Angeboten blenden zu lassen. Selbst Prüfsiegel gäben keinen Aufschluss über die Sicherheit, da die Prüfkataloge selten eingesehen würden und wenn, dann nur wenig über die Praxistauglichkeit des Produktes aussagten.
Cloud oder nicht Cloud?
Aufpassen müssen Anwender auch bei der Bezeichnung "Cloud-Service". Nicht alles, was als Sicherheit aus der Wolke verkauft wird, hat diesen Terminus auch verdient. Strobel weist auf die Cloud-Definition des National Institute of Standards and Technology (NIST) hin, nach der viele neue Lösungen mit Cloud nichts zu tun hätten. Lagert ein Unternehmen Teile seines IT-Security-Betriebs an einen Dienstleister aus oder bezieht es Leistungen "as a Service", sind weiterhin interne oder externe Ressourcen gefragt, diese Services zu steuern. Ein Cloud-Dienst zeichnet sich jedoch dadurch aus, dass ein IT-System diese Aufgaben automatisiert löst, ohne dass ein Mensch noch "Hand anlegen" muss. Deshalb lässt sich feststellen, dass sich die technische Basis vieler so genannter "Cloud-Security-Services" zwar in der Wolke befindet, der Betrieb aber weiterhin über klassisches Hosting mit oder ohne Dienstleister umgesetzt wird.
Was sich derzeit als vermeintliche Innovation darstellt, entpuppt sich deshalb oft noch als heiße Luft. Somit ist besonders für unerfahrene und kleinere Anwender im Umfeld der Cloud-Security-Services erhöhte Vorsicht geboten. Vermehrt kommen beispielsweise "Web-Gateways aus der Cloud" auf, die den aus- und eingehenden Datenverkehr prüfen und reinigen ('Clean Pipe'). Sie setzen so die Unternehmens-Policies um, die festlegen, welche Art von Mails, Websites und Social-Media-Angeboten ein Unternehmensnetz erreichen oder verlassen dürfen. Wo Anwender solche Gateways früher vielleicht selbst in ihrem Rechenzentrum betrieben, befinden sich diese nun zwar auf dem Server eines Dienstleisters und damit "in der Cloud", müssen aber nach wie vor meist mit internen Ressourcen betreut werden. Die Policies sind schließlich nicht "mit der Gießkanne" auf alle Kunden eines Dienstleisters übertragbar, sondern variieren. Das Cloud-Etikett ist hier fehl am Platz.
- Datenschutz und Datensicherheit
Saugatuck hat einen Fragenkatalog zur Security im Cloud Computing zusammen gestellt, den Interessenten Ihrem potenziellen Cloud-Provider vorlegen sollten. - Fachliche Anforderungen
Wie kann der Kunde auf seine Daten zugreifen oder diese wiederherzustellen? - Fachliche Anforderungen
Wie wird Sicherung der Daten einschließlich Disaster Recovery gewährleistet? - Fachliche Anforderungen
Wie, in welchem Format und nach welchen Umständen oder Bedingungen werden bei Vertragsende die Daten des Kunden an ihn übergeben? - Die Technik für Datenschutz und -sicherheit
Sind die Rechenzentren uneingeschränkt, rund um die Uhr, physikalisch und auch nach Mehr-Personen-Prinzip gesichert? - Die Technik für Datenschutz und -sicherheit
Ist es sichergestellt, dass das Personal des Providers weder Zugang zu den Benutzerpasswörtern und Berechtigungen des Anwenders hat noch diese einsehen kann? - Die Technik für Datenschutz und -sicherheit
Werden die Vorschriften zu Passwortrichtlinien, Zugriffsbeschränkungen, Anmeldeprotokollierungen, Datenzugriffsmodellen sowie zum Feldebenenzugriff dokumentiert? - Die Technik für Datenschutz und -sicherheit
Werden alle Passwörter verschlüsselt übertragen? - Die Technik für Datenschutz und -sicherheit
Gibt es ein sicheres Session-Key-Management und besteht eine Multi-Tenant-Datenzugriffskontrolle? - Die Technik für Datenschutz und -sicherheit
Werden Sicherheitsverstöße überwacht? Werden Eindringversuche (Intrusion Detection) und sicherheitsrelevante Vorfälle (Security-Event-Management) dokumentiert? - Transaktionen im Internet
Gibt es eine 128-bit SSL-Verschlüsselung für jede Transaktion? - Transaktionen im Internet
Liegen Verisign-Zertifikate vor? - Transaktionen im Internet
Werden Perimeter und Firewalls ständig überwacht? Sind Intrusion Detection sowie vorausschauendes Log-File-Monitoring Standardverfahren? - Sicherheitsmonitoring
Werden erfolgreiche und fehlgeschlagene Logins dokumentiert? - Sicherheitsmonitoring
Werden Eindringversuche (Intrusion Detection) und sicherheitsrelevante Vorfälle (Security-Event-Management) dokumentiert? - Interoperabilität mit On-Premise-Anwendungen
Welchen Einfluss haben Security-Architekturen und -Praktiken des Cloud-Providers auf die lokalen Installationen des Anwenders? - Interoperabilität mit On-Premise-Anwendungen
Legt der Betreiber der Multi-Tenancy- und Cloud-Plattform die verwendeten Techniken und Abläufe für das Data-Partitioning offen und dokumentiert sie? - Gesetzliche Anforderungen
Ist bei Speicherung von personenbezogenen Daten außerhalb der Grenzen des Europäischen Wirtschaftsraumes ein angemessenes Schutzniveau gewährleistet, wie es das Bundesdatenschutzgesetz vorschreibt (Paragraf 4b Absatz 2 Satz 2 BDSG)? - Gesetzliche Anforderungen
Ist es sichergestellt, dass ausschließlich solche Anwender auf Anwendung und deren Daten zugreifen können, die auch dazu berechtigt sind? - Gesetzliche Anforderungen
Können personenbezogenen Daten bei der Verarbeitung, Nutzung und nach Speicherung nicht unbefugt gelesen, kopiert, verändert oder entfernt werden? - Gesetzliche Anforderungen
Lässt sich nachträglich prüfen und feststellen, ob und von wem personenbezogene Daten in Anwendungssystemen eingegeben, verändert oder entfernt worden sind? - Gesetzliche Anforderungen
Können zu unterschiedlichen Zwecken erhobene personenbezogene Daten getrennt verarbeitet werden?
Gut zu Gesicht steht die Bezeichnung "Cloud-Service" hingegen so genannten DDoS Mitigation Services, die ausschließlich in der Cloud betrieben werden können. Diese filtern den Webtraffic vor und leiten ihn bei Bedarf um ein Unternehmensnetz herum, um einer übermäßigen Auslastung der Datenleitungen entgegen zu wirken. Breitbandattacken lassen sich so stark eindämmen oder sogar ganz verhindern. Als "einziges Szenario, das den Namen Cloud Security Service aktuell auch verdient" bezeichnet Strobel diese Dienste.
Was nicht geht
Auch wenn heute fast überall "Cloud" draufsteht, ist also nicht überall auch Cloud drin. Unbestritten ist beispielsweise, dass es Security-Bereiche gibt, die sich zumindest mittelfristig nicht als Cloud-Dienst werden beziehen lassen - ganz gleich, was die Anbieter versprechen. Nitzgen nennt beispielsweise DLP-Produkte (Data Leakage Prevention), weil diese direkt an der Schnittstelle zu geschäftskritischen Daten eingesetzt würden. Schon aus datenschutzrechtlichen Gesichtspunkten sei ein ausgelagerter Dienst, der diese Daten verarbeitet, nicht möglich. Röcher führt andere geschäftsnahe Prozesse wie Risiko-Management, Security Governance und Compliance-Management ins Feld. Diese ließen sich nicht auslagern, weil auch sie sich zu stark am "Herz des Unternehmens" ausrichteten und nur über interne Arbeitsabläufe abgebildet werden könnten. Bestimmte Branchen seien zudem per se nicht dafür vorgesehen, IT-Security auch nur teilweise als Service zu beziehen - dazu gehören nach der Meinung von Röcher unter anderem Rüstungskonzerne und Geheimdienste.
Fazit
Cloud-Dienste sind die Weiterentwicklung bekannter Web-Service-Technologien und bieten auch im Security-Umfeld neue Möglichkeiten. Relevant werden sie, weil es vermehrt um die Absicherung dezentraler IT-Landschaften und verteilter Datenmengen geht. Besonders durch den Trend zu mobilen Geräten im Unternehmensumfeld ist eine neue Herangehensweise an die IT-Sicherheit notwendig geworden. Einige neue Dienste sind bereits entstanden, der Meinung der Experten nach werden noch viele folgen. Das überbordende Angebot macht die Auswahl für den Anwender jedoch schwieriger. Zudem muss er genau aufpassen, wofür er bezahlt. Hat er seine Wahl erst einmal getroffen und kann sicher sein, dass seine Sicherheitsanforderungen erfüllt sind, ist es ihm letztlich egal, ob der Security-Service nun ein "richtiger" Cloud-Dienst ist oder nicht.