Enterprise Rights Management

Mit sicheren Schritten in die Cloud

08.08.2011 | von Dror-John Röcher (Autor) ?und?Jan-Frank Müller
Dror-John Röcher ist Lead Consultant Secure Information bei Computacenter.
Unternehmen, die Dienste in einer Cloud nutzen oder in diese verlagern möchten, müssen zuvor genau prüfen, ob Compliance und Sicherheit der Cloud-Infrastruktur auf jeder relevanten Service-Schicht den eigenen Anforderungen genügen.
Cloud-Security ist kein Hexenwerk, aber nicht alle Themen sind schon gelöst.
Cloud-Security ist kein Hexenwerk, aber nicht alle Themen sind schon gelöst.
Foto: Computacenter

Die technologischen Security-Ansätze im Cloud Computing ähneln denen herkömmlicher Infrastrukturen. Änderungen sind jedoch aufgrund der Cloud-Architektur, des Betriebsmodells und der daraus resultierenden, immanenten Besonderheiten notwendig, um ein angemessenes Schutzniveau etablieren und aufrechterhalten zu können. Die eigentliche Schwierigkeit besteht daher vor allem darin, das Cloud-Konzept mit den diversen Compliance-Anforderungen in Einklang zu bringen.

Bei einer Analyse der Gefährdungen im Cloud-Computing fällt auf, dass diese zu vergleichbaren Ergebnissen wie eine Analyse traditioneller Rechenzentren führt. Einen guten Überblick gibt das Cloud Computing Risk Assessment der European Network and Information Security Agency. Die Risiken lassen sich auf die klassischen Schutzziele Vertraulichkeit, Verfügbarkeit und Integrität zurückführen: Integritätsverletzungen der Informationen, nicht autorisierte Datenzugriffe oder Einschränkungen der Verfügbarkeit etwa durch Viren sowie Fehlfunktionen dienstrelevanter Komponenten.

Aus rein technologischer Sicht bietet Cloud-Security nichts wesentlich Neues. Komplex wird Cloud-Computing erst dadurch, dass oft nicht eindeutig definiert ist, bis zu welcher Ebene der Cloud-Infrastruktur der Provider, und ab welcher Ebene der Kunde verantwortlich ist. Hinzu kommen weitere ungeklärte Fragen: Welchen Schutz kann der Kunde vom Provider verlangen? Welche Schutzmechanismen bietet der Provider für seine Dienste? Wie ist die technische und organisatorische Security-Schnittstelle zwischen Provider und Kunde definiert?

Newsletter 'CP Business-Tipps' bestellen!