Cloud Computing wird gegenwärtig in Forschung und Praxis so intensiv diskutiert wie kaum ein anderer IT-Trend. Dabei geht es häufig um das Thema Sicherheit und insbesondere um die Frage: Wie vertrauenswürdig sind die in der Cloud geltenden Sicherheitsstandards? Aufgrund fehlender Aufklärung durch die Anbieter einerseits und spektakulärer Berichte über einzelne Sicherheitsvorfälle andererseits sehen viele Anwender mögliche Security-Probleme als wesentliches Hemmnis für die Akzeptanz des Cloud Computing. Dabei beschäftigt sich längst eine Vielzahl von Initiativen weltweit mit Fragen der Sicherheit, Governance, Compliance und des Risk-Managments im Cloud Computing.
Orientierung für Anwender
Der Lehrstuhl für Informations- und Kommunikationsmanagement an der TU Berlin hat eine Übersicht dieser Initiativen zusammengestellt und deren Relevanz bewertet. Maßstäbe für die Beurteilung sind Art und Anzahl der Beteiligten, die Marktpräsenz der Aktivitäten sowie bisher veröffentlichte Ergebnisse. So erhalten Anwender eine erste Orientierungshilfe auf der Suche nach zuverlässigen Informationen zum Thema Cloud Security.
Der Handlungsbedarf wächst
Die Untersuchung zeigt: Im Rahmen von Cloud Computing wird es immer wichtiger, die Sicherheit zu verbessern. Zudem erfordert die verstärkte Nutzung von mobilen Endgeräten und privaten Geräten am Arbeitsplatz ("Bring your own Device") zunehmend nicht nur den Einsatz von technischen Sicherheitsmaßnahmen, sondern dar-über hinaus auch organisatorisches Handeln. Glaubt man Marc van Zadelhoff, Director Sicherheitslösungen bei IBM, dann liegt das Problem weniger in der Technik als vielmehr im fehlenden Sicherheitsbewusstsein der Programmierer. Dementsprechend entwickelt die IBM-Initiative Secure by Design ein Secure Engineering Framework, das als eine Art Checkliste für Entwickler und Manager fungiert. Daneben existieren allerdings auch technische Sicherheitsstandards und Protokolle wie das Security Content Automation Protocol der US-Bundesbehörde National Institute of Standards and Technology (NIST) oder das Cloud Trust Protocol der Cloud Security Alliance (CSA). In Deutschland beschäftigen sich verschiedene Initiativen mit dem Thema Sicherheit im Cloud Computing. Zu ihnen zählt beispielsweise das Technologieprogramm Trusted Cloud des Bundesministeriums für Wirtschaft und Technologie (BMWi), welches das Ziel verfolgt, die Entwicklung sicherer und rechtskonformer Cloud-Computing-Lösungen zu fördern. Projekte wie Sealed Cloud, SkIDentity oder TRESOR sollen vor allem das Sicherheitsniveau von Cloud-Computing-Lösungen in Deutschland verbessern.
In der Bilderstrecke finden Sie alle analysierten Security-Initiativen mit deren Relevanzbewertung im Überblick - wer es in Tabellenform lieber mag, wechselt auf Seite 3...
- Bitkom, Branchenverband der ITK-Branche
Cloud-Security-Aktivitäten: Cloud-Computing-Leitfaden; IT-Sicherheit und Datenschutz / Relevanz: 3 von 5 Punkten - BSI
Cloud-Security-Aktivitäten: BSI-ESCC (Eckpunktepapier Sicherheitsempfehlungen für Cloud-Computing-Anbieter); IT-Grundschutz-Katalog / Relevanz: 4 von 5 Punkten - CSA, Organisation für Sicherheit im Cloud Computing
Cloud-Security-Aktivitäten: Katalog zu den Sicherheitsbedrohungen im Cloud Computing; Sicherheitsleitfaden für kritische Handlungsfelder in der Cloud; CTP (Cloud Trust Protocol); CSA Security, Trust & Assurance Registry (STAR); Certificate of Cloud Security Knowledge (CCSK); Cloud Trust Protocol (CTP) / Relevanz: 5 von 5 Punkten - ENISA (Europäische Agentur für Netz- und Informationssicherheit)
Cloud-Security-Aktivitäten: Leitfaden zur Informationssicherheit im Cloud Computing; Sicherheit und Zuverlässigkeit in öffentlichen Clouds / Relevanz: 4 von 5 Punkten - EuroCloud Deutschland_eco, europäisches Cloud-Computing- Business-Netzwerk
Cloud-Security-Aktivitäten: Leitfaden Recht, Datenschutz und Compliance; EuroCloud-SA (EuroCloud Star Audit): Zertifikat für Anbieter von Cloud-Diensten / Relevanz: 4 von 5 Punkten - Fraunhofer SIT (Fraunhofer-Institut für Sichere Informationstechnologie)
Cloud-Security-Aktivitäten: Studie zur Cloud-Computing-Sicherheit / Relevanz: 4 von 5 Punkten - NIST (National Institute of Standards and Technology), US-Behörde
Cloud-Security-Aktivitäten: NIST-UC (Cloud Computing Use Cases); SCAP (Security Content Automation Protocol) / Relevanz: 2 von 5 Punkten - Cloud Software Program, Initiative des finnischen Strategie-Centers für Wissenschaft, Technologie und Innovation (20 Unternehmen und acht Forschungsinstitute)
Cloud-Security-Aktivitäten: Schutzmaßnahmen und Sicherheitskonzepte für die finnische Softwareindustrie; Best Practices im Cloud Computing / Relevanz: 3 von 5 Punkten - Secure by Design, Initiative der IBM
Cloud-Security-Aktivitäten: Secure Engineering Framework, eine Anleitung und Checklisten für Softwareentwickler, das Management und die Sicherheitsverantwortlichen / Relevanz: 2 von 5 Punkten - Security Working Group (USA), Federal Cloud Computing Initiative (FCCI)
Cloud-Security-Aktivitäten: Prozesse und Handlungsempfehlungen für den öffentlichen Sektor / Relevanz: 2 von 5 Punkten - ISACA, Berufsverband mit mehr als 95.000 praxisorientierten Information-Systems-(IS-)Fachleuten aus mehr als 160 Ländern
Cloud-Security-Aktivitäten: Praxis-Leitfaden zur Informationssicherheit; Vorträge zu Cloud-Sicherheit / Relevanz: 4 von 5 Punkten - AICPA (American Institute of Certified Public Accountants) mit über 350.000 Mitgliedern in 128 Ländern
Cloud-Security-Aktivitäten: SSAE 16 (Statement on Standards for Attes-tation Engagements No. 16): Zertifikat für Anbieter von Cloud-Diensten / Relevanz: 4 von 5 Punkten - NIFIS (Nationale Initiative für Informations- und Internet-Sicherheit e.V.)
Cloud-Security-Aktivitäten: Konzepte für den Schutz vor Angriffen aus dem Datennetz / Relevanz: 3 von 5 Punkten - Trusted Cloud, Initiative des Bundesministeriums für Wirtschaft und Technologie (BMWi)
Cloud-Security-Aktivitäten: Cloud-Sicherheit und Interoperabilität; Förderprojekte / Relevanz: 5 von 5 Punkten