CW: Cloud-Provider behaupten gerne, dass die Datenverarbeitung in der Wolke sicherer sei als im Rechenzentrum des Anwenders. Wie sehen Sie das?
Foto: Itenos
HÜLSMANN: Tatsächlich konnten wir gerade im Mittelstand beobachten, dass die IT, egal als welchen Bestandteil in der Wertschöpfungskette man sie betrachtet, sicherer wurde, wenn sie in professionelle Hände gegeben wurde. Das sind zum einen sicher Skaleneffekte. Und in puncto Sicherheit, wo wir ja seit Jahren über Outsourcing sprechen und Kunden Teile ihrer IT auslagern oder gleich komplett in ein externes Rechenzentrum umziehen, erleben sie oft einen Sicherheits-Zugewinn, weil elementare Grundregeln zuvor nicht eingehalten wurden.
CW: Das heißt konkret?
HÜLSMANN: Nehmen Sie ein Beispiel aus der Praxis, das wir wirklich so erlebt haben. Bei einem Anwender fanden wir einen Server-Rack vor, der auf einer Euro-Palette stand. Warum? Nun, der Server musste öfter mit einem Hubwagen zur Seite geschoben werden, weil man sonst nicht an die Schränke dahinter kam. Das ist nur ein Beispiel, das Gros der Mittelständler geht sicher verantwortunsgbewusster mit seiner IT um. Aber es zeigt, dass Sicherheit vor Ort von den Mittelständlern nicht immer gewährleistet werden kann.
CW: Dass Server durch die Gegend gefahren werden, ist wohl eher die Ausnahme. Wie sieht es mit der technischen Infrastruktur aus?
HÜLSMANN: Viele Mittelständler, aber auch große Unternehmen sind nicht in der Lage, mit der technischen Innovationsgeschwindigkeit, die auch im Security-Umfeld anzutreffen ist, Schritt zu halten. Oft sind sie an Abschreibungsfristen gefesselt, oder es fehlt im Haus das Know-how, das nötig wäre, um neue Entwicklungen aufzugreifen. Die hauseigene IT ist immer so gut, wie es einem der eigene IT-Leiter weismachen will.
CW: Ist es nicht so, dass Provider auch viel höheren Risiken ausgesetzt sind? Für einen Cracker ist es doch interessanter, ein Telekom-RZ anzugreifen als einen Mittelständler.
HÜLSMANN: Der Gedanke liegt nahe. Auf der anderen Seite steht bei großen Unternehmen ein viel breiteres Arsenal an Abwehrwaffen zur Verfügung. Hier wird eine Managed Firewall effizienter und sicherer betrieben als bei einem Mittelständler. Deshalb wird die zusätzliche Bedrohung mehr als ausgeglichen.
CW-Webcast
Mit sicheren Schritten in die Cloud
Entwickler, Start-ups und international agierende Großunternehmen erkennen mehr und mehr: Cloud Computing bietet die Chance, ausgesprochen günstig und schnell auf IT-Ressourcen und -Dienste zuzugreifen - und diese verbrauchsabhängig zu bezahlen.
Alles Wissenswerte diskutieren im Live-Video-Webcast von COMPUTERWOCHE am 19. Juli 2011 um 15 Uhr der Cloud-Blogger René Büst, Peter Arbitter von T-Systems International sowie Forrester-Analyst Dr. Stefan Ried.
Security-Strategie für Public und Private Cloud
CW: Angenommen, Sie hätten mich in Sachen Cloud überzeugt: Welche Konsequenzen hat eine Cloud-Migration für meine Security-Strategie?
HÜLSMANN: Das hängt davon ab, auf welcher Ebene Sie einsteigen wollen und welches Cloud-Modell Sie wählen.
CW: Also ist die Strategie davon abhängig, ob Public oder Private Cloud?
HÜLSMANN: Ja, so haben wir in der Private Cloud eher das Modell des User Self Service. Der Provider oder Partner liefert die Infrastruktur bis hinauf zur Ebene der virtuellen Maschine und sorgt in diesem Bereich auch für die Sicherheit durch Zungangskontrolle, Redundanz etc. Auf die virtuelle Maschine aber kann der User die gleichen Images aufspielen, die er bislang auf seinen dedizierten Rechnern genutzt hat. Er ist für alle Ebenen oberhalb des Infrastruktur-Levels verantwortlich.
CW: Das bedeutet in der Praxis?
HÜLSMANN: Der Anwender sollte erst einmal seine Applikationen analysieren. Was will er in die Cloud auslagern? Hier gibt es sicher Anwendungen die nicht so wichtig sind, und lebenswichtige Applikationen, für die es ein Sicherheitskonzept gibt. Und dieses Konzept muss der Anwender im Detail analysieren, um sich dann mit dem Cloud-Partner zusammenzusetzen. Der Anwender muss sein Konzept in die Cloud hineinprojizieren und entsprechende Anforderungen an den Provider richten.
CW: Wie sollte er die formulieren?
HÜLSMANN: Der Anwender sollte auf alle Fälle SLAs vereinbaren. Genauso wie die IT intern Service-Level-Agreements gegenüber den Fachabteilungen zu erfüllen hat, sollte sie extern vom Cloud-Partner entsprechende SLAs einfordern. Deren Definition stellt sich oft als Stolperstein heraus.
CW: Wo sehen Sie typische Probleme?
HÜLSMANN: Nehmen Sie als ganz einfaches Beispiel die Verfügbarkeit. Eigentlich geht man davon aus - und die Netzanbieter kalkulieren so -, dass diese auf ein Jahr gerechnet wird. Etliche Anwender meinen jedoch, dass sich die Verfügbarkeit auf einen Monat bezieht. In der Praxis ist das ein enormer Unterschied. Deshalb sollten die Anwender bei SLA-Verhandlungen darauf achten, worüber geredet wird und ob beide Seiten unter einem Begriff das Gleiche verstehen.
CW: Den Schwarzen Peter hat also der Anwender - er muss prüfen, was der Cloud-Anbieter unter Security versteht?
HÜLSMANN: Ja, so können Sie das formulieren. Es fehlt ein Security-Zertifikat, auf das sich Anwender ähnlich wie auf ein TÜV-Siegel verlassen können und das einen Vergleich ermöglicht. Verbände und Insitutionen wie eco, Bitkom oder das BSI arbeiten an entsprechenden Entwürfen.
Sicherheitsprobleme und Risiken
CW: Wo sehen Sie konkrete Sicherheitsprobleme?
HÜLSMANN: Neben der Frage, ob das eigene Unternehmen überhaupt Cloud-bereit ist, sehe ich hier vor allem zwei Security-Aspekte. Zum einen sind das rechtliche Risiken etwa im Zusammenhang mit Datenschutz, Governance, EU-Recht oder Safe Harbor, und auf der anderen Seite technische Risiken. Und hier gibt es Unterschiede zur dedizierten Welt. Was passiert etwa, wenn ein Server beschlagnahmt wird, auf dem auch noch andere Kunden laufen? Hier ist die Rechtsprechung noch nicht in der Cloud angekommen.
CW: Sehen Sie noch andere technische Risiken?
HÜLSMANN: Ja, ein Punkt wird oft übersehen. So wie die IT heute in eine Produktionsumgebung eingebunden ist, hat das Unternehmen in der Regel keine Probleme mit der Leitungsanbindung. In der Cloud dagegen gehen die Daten aus der Produktionsumgebung über Leitungswege in ein Rechenzentrum, das irgendwo stehen kann.
Und diese Verbindungen haben ebenfalls eine gewisse Verfügbarkeit, weshalb gemanagte und überwachte Leitungen verwendet werden sollten, damit der Zugang zur Cloud gewährleistet ist. Was nutzt eine fast 100 Prozent verfügbare Cloud, wenn für die Leitungen keine belastbaren SLAs existieren?
CW: Gibt es Unterschiede zwischen großen und kleinen Unternehmen in Sachen Cloud-Readyness?
HÜLSMANN: Die Großunternehmen achten bei der Cloud sehr viel stärker auf Kostenvorteile, da sie bereits seit zehn Jahren Erfahrungen in Sachen Outsourcing haben. Mittelständler halten dagegen noch viel mehr die IT im eigenen Haus. Gleichzeitig haben wir die Erfahrung gemacht, dass bei Cloud-Projekten häufig nicht mehr der IT-Leiter der Ansprechpartner ist, sondern die Fachabteilung.
Die interessiert sich oft nicht für die technische Plattform, sondern nur noch für die Time to Market und die Kosten. Die Cloud versetzt letztlich die Fachabteilungen in die Lage, sich sehr schnell den Zugang zu Produktionumgebungen zu verschaffen, wo früher der IT-Leiter als eine Art Monopolist im Unternehmen über die Verfügbarkeit bestimmte.
Hier entsteht ein neues Sicherheitsrisiko, denn mit den Cloud-Services kann schnell und einfach ein Bypass an der IT-Abteilung vorbei gelegt werden. Wenn die IT-Abteilung also nicht aufpasst und selbst eine Cloud-Strategie entwickelt, läuft sie Gefahr, von der Entwicklung überrollt zu werden.
CW: Wie kann ein IT-Leiter gegensteuern?
HÜLSMANN: Der IT-Leiter muss sich mehr als Enabler verstehen und in Prozessen denken. Sein Personal muss weg vom Image des IT-Betreibers und Systemadministrator und sich zu einem Servicepartner wandeln.
CW: Wer haftet, wenn der Provider zum Beispiel 100 Prozent Virenfreiheit zusichert?
HÜLSMANN: Pauschal kann ich das nicht beantworten, denn das hängt vom jeweiligen Cloud-Modell ab. Hier sehe ich in der Public Cloud folgende Entwicklung: Weil die Anwender ja Services laufend ab- und zubestellen wollen, wird man zu Standard-AGBs kommen, in denen Sicherheit dann ein Unterpunkt ist.
Der User wird also ein Standard-Set mit Standard-Services und -Verträgen erhalten, die ein schnelles Kommen und Gehen ermöglichen. Verschärfte SLAs etc. wird es in meinen Augen in der Public Cloud nicht geben, da dies weg vom On-Demand-Gedanken führen würde. Anders sieht es in der Private Cloud mit festen Laufzeiten und Verträgen aus.
T-Systems-Tochter Itenos
Die Itenos GmbH mit Sitz in Bonn ist ein IT-Dienstleister, der sich mittlerweile auf Sicherheitsthemen spezialisiert hat. Das Unternehmen entstand 1993 als Expertengruppe für Datenkommunikation und Netzwerk-Management. Heute ist die Firma, die rund 165 Mitarbeiter beschäftigt, eine 100-prozentige Tochter der T-Systems und in den Telekom-Konzern integriert. Ursprünglich konzentrierte sich Itenos auf Themen wie Datenkommunikation und Netz-Management, jetzt liegt der Schwerpunkt auf Security-Services. in der Cloud.