Sicherheitsmaßnahmen aus der Wolke
In erster Linie geht es um die Existenz geeigneter Sicherheitsmaßnahmen, die dem Schutz der Cloud selbst und somit auch dem der Kundendaten dienen. Dazu gehören Themen wie die Authentifikation, Identity-Management sowie die Verschlüsselung und Integrität der gespeicherten und übertragenen Daten. Weitere Punkte sind der Datenschutz sowie die Vertragsgestaltung zwischen dem Kunden und Provider, Anforderungen und Einhaltungen der Compliance sowie die grundsätzliche Struktur des Anbieters. Es existieren also viele technische und organisatorische Bereiche, die berücksichtigt werden müssen.
Zu den technischen Vorkehrungen gehören unter anderem die Datenverschlüsselungen innerhalb der Datenbanken, im Storage und während der gesamten Kommunikation (End-to-End Verschlüsselung). Hinzu kommen der Einsatz einer Zwei-Faktor-Authentifizierung beispielsweise mit Hilfe von Smartcards oder Zertifikaten sowie die Nutzung digitaler Signaturen, um auf dieser Basis sämtliche Daten zu schützen.
Neben einem Rights-Mangement-System, das den Zugriff auf die gespeicherten Daten und Dokumente regelt, sollte ebenfalls ein Identity-Management vorhanden sein, mit dem Zugriffe auf die Daten geschützt und protokolliert werden. Wichtig sind darüber hinaus Service Level Agreements (SLA), womit die Dienstgüte der Cloud-Services definiert wird und die anhand von Kennzahlen gemessen werden.
Doch wie sollen Unternehmen ein Projekt Sicherheit aus der Cloud überhaupt angehen? Zunächst muss eine aussagekräftige Cloud-Computing-Strategie durch das Management erarbeitet werden. Aus dieser sollte klar hervorgehen, welche Unternehmensbereiche und -prozesse in die Cloud verlagert werden sollen und welche nicht. Darüber hinaus gilt es, das vorhandene Risiko-Management mit dem Thema Cloud Computing zu verknüpfen, um damit mögliche Risiken bei der Nutzung von Cloud-Services zu erkennen und präventive Maßnahmen zu ergreifen.
- Die schlimmsten Cloud-Ausfälle
Unsere Kollegen von der InfoWorld haben die zehn schlimmsten Cloud Katastrophen zusammengetragen, die wir Ihnen nicht vorenthalten wollen - Sidekick
Die Besonderheit des Sidekick-Dienstes: Persönliche Daten, Adressen oder Kalendereinträge, können direkt in einer Cloud gesichert werden. So sollen alle Daten auch bei Geräteverlust schnell wiederhergestellt werden. Das versprach zumindest die Werbung. Doch gerade dieser Cloud Service hatte im Herbst 2009 einen Ausfall. Als Folge konnten alle Nutzer eine Woche lang nicht mehr auf Kontakte, Termine und andere Daten zugreifen, die auf Servern gespeichert waren, welche von Microsoft betrieben wurden. Schlimmer noch, es waren nicht einmal Backups angelegt worden. Somit gingen alle persönlichen Daten für immer verloren, sofern sie der Nutzer nicht zusätzlich lokal gesichert hatte. - Googlemail
Googlemail ist mittlerweile auch für Geschäftskunden eine lohnende Alternative zu Microsoft Exchange. Aber auch dieser Cloud-Dienst ist vor Ausfällen nicht gefeit. Eine besonders schlimmer Software-Bug sorgte dafür das rund 150000 Google-Kunden auf leere Posteingänge blickten. Alle Nachrichten, Ordner oder Notizen waren weg. Dank einer Reihe von Sicherungen konnte Google zwar alle Daten wiederherstellen, aber nichtsdestotrotz hatten Anwender tagelang keinen Zugriff auf ihre E-Mails. - Hotmail
Googlemail ist jedoch nicht der einzige Mail-Dienst mit Ausfällen. Auch Microsofts Hotmail hatte, neben einem Phishing-Angriff, bei dem zehntausend Hotmail-Konten ausgespäht wurden, mit leeren Postfächern zu kämpfen. Ein Script sollte eigentlich nur überflüssige Dummy-Accounts löschen. Leider wurden von diesem Skript auch 17 000 real existierende Accounts gelöscht. Aber auch in diesen Fall wurden alle Daten wiederhergestellt, auch wenn einige Nutzer bis zu sechs Tage auf ihre Neujahrswünsche warten mussten. - Intuit
2010 hatte Intuit mit seinen Cloud-Services wie TurboTax, Quicken oder Quickbooks zwei Ausfälle innerhalb eines Monats. Vor allem eine Störung über 36 Stunden im Juni verärgerte die Kunden. Ein Stromausfall hatte die Systeme inklusive Backups lahmgelegt – leider erlitt Intuit wenige Wochen später einen weiteren Stromausfall. - Microsofts BPOSS
Es ist nicht einfach produktiv zu arbeiten, wenn die als SaaS eingebundene Arbeitsumgebung nicht mehr erreichbar ist. Am 10. Mai stocke die Microsoft Business Productivity Online Standard Suite. So gingen E-Mails erst mit neun Stunden Verzögerung ein. Die Störung wurde zwar schnell behoben, trat aber zwei Tage später wieder auf. Noch dazu hatten einige Nutzer nicht einmal mehr die Möglichkeit sich in Outlook einzuloggen. - Salesforce.com
Eine Stunde Ausfall klingt nicht nach viel. Wenn aber ein Dienst nicht mehr erreichbar ist, über den zehntausend Firmen ihren Kundendienst laufen lassen, können 60 Minuten sehr lange sein. Der Rechenzentrumsausfall von Salesforce.com im Januar brachte einige wütende Kunden hervor. - Terremark
Der Cloud-Anbieter Terremark, der kürzlich für einige Milliarden US-Dollar von Verizon gekauft wurde, geriet Anfang 2010 wegen einer Störung in die Schlagzeilen. Am 17. März kam es zu einem Ausfall in einem Rechenzentrum in Miami. In Folge kollabierte der vCloud Express-Service und auf sämtliche Daten konnte sieben Stunden lang nicht mehr zugegriffen werden. - PayPal
Paypal ist ein großer Anbieter im Bereich E-Payment, somit hat ein Ausfall potentiell dramatische wirtschaftliche Folgen. Ein Hardware-Problem legt im Sommer 2009 den Bezahldienst für eine Stunde lang lahm. Keine schöne Erfahrung für Händler wie Kunden, die ihre Waren online ein- und verkaufen wollten. - Rackspace
Ende 2009 musste Rackspace drei Millionen Dollar an seine Kunden zurückzahlen. Der Betreiber hatte mit mehreren technischen Problemen zu kämpfen und die gehosteten Websites gingen dabei jedes Mal offline. Für die Kunden wie Justin Timberlake oder TechCrunch eine kostenintensiver Ausfall. Heute achtet Rackspace nicht nur darauf, solche Ausfälle zu vermeiden, sie informieren die Kunden auch, dass manche Ausfälle unvermeidlich sind.