EU-Kommissarin Neelie Kroes hat in der Diskussion um europäische Cloud-Lösungen nach dem NSA-Skandal eindringlich vor einer nationalen Abschottung gewarnt. "Eine Fragmentierung wäre absolut das Ende für eine Erfolgsgeschichte", betonte die für Digitales zuständige Vize-Vorsitzende der Europäischen Kommission im Rahmen der "Cloud for Europe"-Konferenz des Fraunhofer-Instituts FOKUS in Berlin.
Europa will nach den Enthüllungen über Internet-Spionage den Aufbau gemeinsamer Cloud-Lösungen für Daten und Dienste beschleunigen. Dabei gehe es nicht um eine neue gewaltige Infrastruktur, erklärte Kroes. Vielmehr müsse ein rechtlicher und technischer Rahmen für den freien Fluss von Daten über die Grenzen einzelner Länder hinweg geschaffen werden. In Deutschland wird derzeit vermehrt über ein "Deutschland-Routing" diskutiert, bei dem Datenpakete, die zwischen zwei Punkten innerhalb des Landes ausgetauscht werden, die Grenzen nicht verlassen sollten.
Beim Cloud Computing werden Daten und Dienste direkt aus dem Netz bereitgestellt. Bei den Anwendern gibt es allerdings nach wie vor Bedenken, was die Sicherheit der Daten oder mögliche Probleme bei einem Anbieter-Wechsel angeht.
Aus der Zeit gefallen
Der estnische Präsident Toomas Hendrik Ilves, der einem Steuergremium für den Aufbau einer europäischen Cloud vorsitzt, verwies auf die vielen Herausforderungen. So sei die Gesetzgebung immer noch nicht auf das digitale Zeitalter eingestellt. "So dürfen wichtige nationale Daten immer noch nicht außerhalb der Landesgrenzen gespeichert werden." Das kleine Estland, in dem das Landregister nur in digitaler Form existiere, verschicke deshalb mehrmals im Jahr Sicherungskopien davon auf Daten-CDs an fünf Botschaften. Sie in einem europäischen Datenzentrum abzulegen, wäre eine deutlich bessere Lösung, betonte Ilves.
Positiv an der Diskussion nach den NSA-Enthüllungen sei, dass Themen wie Datenschutz und Sicherheit ins öffentliche Bewusstsein vorgedrungen seien, sagte Ilves. Allerdings gebe es derzeit auch viele falsche Informationen: "Big Brother ist nicht überall." Auch die in Europa eingesetzten Verschlüsselungsverfahren seien entgegen weit verbreiteten Ängsten nicht geknackt: "Wir könnten unsere Daten auch sicher auf den Servern der NSA lagern, die haben schließlich eine große Infrastruktur."
Der Chef des Bundesamtes für Sicherheit in der Informationstechnik, Michael Hange, warb für einen Sicherheitsgewinn durch den Einsatz von Cloud-Diensten: "Eine Cloud kann Angriffe abwehren, mit denen einzelne Unternehmen überfordert wären." Das erledige das BSI zum Beispiel für die Bundesregierung. (dpa/sh)
- Herausforderung Cloud Security
Cloud-Computing-Umgebungen stellen in Bezug auf die Sicherheit IT-Verantwortliche und Systemverwalter vor neue Herausforderungen. Nach Angaben von Intel sind besonders folgende Faktoren zu berücksichtigen: - Mangel an Kontrolle:
Eine dynamische Technik wie Cloud Computing verschiebt die Grenzen der Unternehmens-IT über das hauseigene Rechenzentrum hinaus, etwa durch Einbeziehen von Public-Cloud-Services. Da - Unzureichende Transparenz:
In einer Cloud-Umgebung ist es wegen der hohen Komplexität schwieriger, Compliance-Vorgaben umzusetzen und die entsprechenden Audits vorzunehmen. - Virtualisierung:
Durch die wachsende Zahl von Virtual Machines steigt das Sicherheitsrisiko, weil alle diese Komponenten verwaltet werden müssen, Stichworte Patch-Management, Implementierung von Schutzsoftware, Einspielen von Updates und so weiter. - Ort der Datenspeicherung:
Rechtliche Vorgaben wie etwa das Bundesdatenschutzgesetz verlangen die Speicherung von Daten in Cloud-Rechenzentren, die innerhalb der EU angesiedelt sind und ausschließlich den hier geltenden Gesetzen unterliegen. Das erschwert die Wahl eines Cloud-Service-Providers. - Public Clouds:
Bei der Nutzung von Public Clouds sind spezielle Sicherheitsanforderungen zu berücksichtigen, etwa bezüglich des Schutzes der Daten, die beim Provider lagern, sowie beim Transport der Daten über Weitverkehrsverbindungen und das Internet. - Zugriff auf die Cloud von privaten Systemen aus:
Trends wie der Einsatz von privaten Endgeräten für betriebliche Zwecke erschweren die Absicherung des Zugriffs auf Cloud-Computing- Ressourcen. Eine Lösung ist der Einsatz von Mobile-Device- Management-Software. - Audits und Überwachung von Sicherheits-Policies:
Compliance- Regeln wie SOX (Sarbanes-Oxley Act), EuroSOX, HIPAA (Health Insurance Portability and Accountability Act) und PCI DSS (Payment Card Industry Data Security Standard) erfordern regelmäßige Überprüfungen der IT-Sicherheitsvorkehrungen. Speziell in Public- und Hybrid-Clouds, in denen neben einem Unternehmen ein Cloud-Service- Provider im Spiel ist, sind entsprechende Audits aufwendig. - Risiken durch gemeinsame Nutzung von Ressourcen:
In Cloud- Umgebungen teilen sich mehrere Kunden (Public Clouds, Community Clouds) physische IT-Ressourcen wie CPU, Speicherplatz und RAM. Wird ein Hypervisor kompromittiert, können die Anwendungen mehrerer Kunden betroffen sein.