Die Zahl der Cloud-Angebote wächst - beginnend bei virtuellen Servern über Textverarbeitungsprogramme bis hin zu CRM-Suiten, die Anwender heute per Mausklick aus dem Internet beziehen können. Dabei muss zwischen Private-Cloud-Angeboten, die nur einem bestimmten Nutzerkreis wie Angehörigen der gleichen Firma offensteht, und Public-Cloud-Lösungen, die alle Interessierten verwenden können, unterschieden werden.

Drei verschiedene Service-Modelle sind im Einsatz: Infrastructure-as-a-Service (IaaS) stellt dem Anwender Infrastruktur wie virtuelle Maschinen oder Speicherplatz zur Verfügung. Platform-as-a-Service (PaaS) offeriert eine Ausführungs- und Entwicklungsumgebung. Bei Software-as-a-Service (SaaS) schließlich bietet der Cloud-Provider eine Software-Komplettlösung an, die der Anwender beispielsweise über den Webbrowser bedient. Gängigstes Beispiel für SaaS-Angebote sind Office-Suiten.

Bedrohungen

Cloud-Services sind durch ihre Exponiertheit im Internet zahlreichen Angriffsmöglichkeiten und Gefahren ausgesetzt. Sie sind öffentlich erreichbar und zumeist betreiben Dritte ihre Infrastruktur, was beides Sicherheitsrisiken zur Folge hat. Die Cloud Security Alliance (CSA) hat die aus ihrer Sicht sieben größten Gefahren bei der Nutzung von (Public) Cloud Computing beschrieben:

• Missbrauch und schädliche Nutzung von Cloud Computing

Begünstigt durch grundlegende Eigenschaften von Cloud-Infrastrukturen (wie die schnelle und einfache Verfügbarkeit neuer Ressourcen mit sehr guter Netzanbindung) ist die Nutzung von Cloud-Ressourcen für Angreifer sehr interessant, um beispielsweise Denial-of-Service-Attacken (DoS) zu starten oder Schadsoftware zu hosten.

• Unsichere Schnittstellen und APIs

Cloud-Services und die von den Anbietern zur Verfügung gestellten Management-Schnittstellen sind bei Public-Cloud-Angeboten über das Internet erreichbar und lassen sich daher leicht angreifen. Darüber hinaus existieren Programmierschnittstellen, die von den Anwendern zur Steuerung und Konfiguration der Cloud-Services verwendet werden können. Schwachstellen an diesen Interfaces öffnen möglicherweise Einfallstore, um beispielsweise unrechtmäßigen Zugriff auf Kundendaten zu erhalten.

• Böswillige Insider

Sicherheitsmaßnahmen der Software sind oft wirkungslos, wenn der Angreifer auf die Infrastruktur des Cloud-Anbieters zugreifen kann. Das ist besonders bei böswilligen Insidern der Fall - also Mitarbeitern des Cloud-Anbieters, die sich Zugriff auf Kundendaten verschaffen.

• Risiken durch geteilte Technologien

Eine weitere Eigenschaft von Cloud Computing ist das so genannte Pooling von Ressourcen. Das bedeutet, dass die physischen Ressourcen von allen Anwendern der Cloud-Services gemeinsam verwendet werden. Dabei können sich Probleme bei der zuverlässigen Trennung der Nutzerdaten ergeben.

• Datenverlust und -kompromittierung

Weil die Daten in der Cloud gespeichert sind und viele Anwender gleichzeitig dieselbe Infrastruktur verwenden, ergeben sich besondere Anforderungen an die Datensicherheit. Vergangene Probleme bei Cloud-Providern zeigen, dass es auch durch technische Probleme zu Datenverlusten kommen kann.

• Diebstahl von Benutzerkonten oder Cloud-Diensten

Damit Anwender ihre Dienste schnell und einfach benutzen können, setzen viele Cloud-Anbieter auf einen simplen Anmeldeprozess. Gelingt es einem Angreifer, die Zugangsdaten eines Kundenkontos in Erfahrung zu bringen, kann er unter falschem Namen auf fremde Daten zugreifen, Ressourcen missbrauchen und Schaden anrichten.

• Unbekannte (neue) Risiken

Um die Risiken von Cloud-Services abzuschätzen, müssen Anwender die Sicherheitsvorkehrungen der Anbieter analysieren und in die eigene Betrachtung mit einbeziehen. Findet diese Risikoanalyse nicht oder nur unzureichend statt, weil der Cloud-Provider nicht alle benötigten Informationen bereitstellt, bleibt ein nicht einschätzbares Risiko.

Anforderungen an Cloud-Infrastrukturen

Wichtige Anforderungen an eine Cloud-Infrastruktur sind eine solide Sicherheitsarchitektur und eine sichere Mandantentrennung auf allen Infrastrukturebenen (Virtualisierung, Netzwerk, Plattform, Anwendung, Daten). Des Weiteren sollten Anwender darauf achten, dass der Cloud-Provider nach einem definierten Vorgehensmodell für das Management von IT-Prozessen arbeitet - wie ITIL oder COBIT. Nur so schafft dieser es, die vielen Aufgaben des Sicherheitsmanagements strukturiert anzugehen. Dazu gehören Patch-Management, Konfigurations-Management, Änderungs-Management, System-Management und Application-Management. Als Absicherung der Cloud gegen Störungen und Notfälle muss zusätzlich ein Notfallmanagement existieren. Zertifizierungen - beispielsweise ISO 27001 - können dem Anwender signalisieren, dass der Provider solche Prozesse etabliert hat.

Ein weiteres wichtiges Auswahlkriterium ist der Hauptsitz des Cloud-Providers. Viele bekannte Anbieter operieren von den USA aus und unterliegen den dortigen Gesetzen. Dazu gehört insbesondere auch der Patriot Act, der US-Behörden den umfangreichen Zugriff auf Anwenderdaten erlaubt, ohne dass die Anwender darüber informiert werden müssen.

Die Frage nach der Nutzung von Cloud-Technologien und der Auslagerung von Diensten muss in erster Linie aus der Perspektive der Beherrschbarkeit mit den damit verbundenen Risiken betrachtet werden. Abhängig vom Einsatzszenario ergeben sich unterschiedliche Sicherheitsanforderungen. Diese werden in zahlreichen Studien und Leitfäden, wie beispielsweise von Fraunhofer AISEC, dem Bitkom, EuroCloud, Enisa, der CSA sowie im Eckpunktepapier des deutschen Bundesamts für Sicherheit in der Informationstechnik (BSI) "Sicherheitsempfehlungen für Cloud-Computing-Anbieter" erläutert.

Sichere Nutzung von Cloud-Diensten

Folgende Maßnahmen sollte ein Anwender im Vorfeld oder zu Beginn der Nutzung von Cloud-Services beherzigen:

• Schutzniveau der Daten definieren

Bei der Datenerzeugung oder beim -transfer in die Cloud sollte der Anwender seine Daten klassifizieren (Sicherheitslevel "niedrig" bis "sehr hoch"), ihren Schutzbedarf analysieren und damit festlegen, welche Daten bei einem Cloud-Anbieter auf welche Weise gespeichert und übertragen werden dürfen. Dies kann beispielsweise die Verwendung bestimmter kryptografischer Verfahren oder ein umfassendes Rechtekonzept für den Zugriff auf bestimmte Informationen umfassen.