Die wichtigsten Cloud-Security-Initiativen

Cloud Computing wird gegenwärtig in Forschung und Praxis so intensiv diskutiert wie kaum ein anderer IT-Trend. Dabei geht es häufig um das Thema Sicherheit und insbesondere um die Frage: Wie vertrauenswürdig sind die in der Cloud geltenden Sicherheitsstandards? Aufgrund fehlender Aufklärung durch die Anbieter einerseits und spektakulärer Berichte über einzelne Sicherheitsvorfälle andererseits sehen viele Anwender mögliche Security-Probleme als wesentliches Hemmnis für die Akzeptanz des Cloud Computing. Dabei beschäftigt sich längst eine Vielzahl von Initiativen weltweit mit Fragen der Sicherheit, Governance, Compliance und des Risk-Managments im Cloud Computing.

Orientierung für Anwender

Der Lehrstuhl für Informations- und Kommunikationsmanagement an der TU Berlin hat eine Übersicht dieser Initiativen zusammengestellt und deren Relevanz bewertet. Maßstäbe für die Beurteilung sind Art und Anzahl der Beteiligten, die Marktpräsenz der Aktivitäten sowie bisher veröffentlichte Ergebnisse. So erhalten Anwender eine erste Orientierungshilfe auf der Suche nach zuverlässigen Informationen zum Thema Cloud Security.

Der Handlungsbedarf wächst

Die Untersuchung zeigt: Im Rahmen von Cloud Computing wird es immer wichtiger, die Sicherheit zu verbessern. Zudem erfordert die verstärkte Nutzung von mobilen Endgeräten und privaten Geräten am Arbeitsplatz ("Bring your own Device") zunehmend nicht nur den Einsatz von technischen Sicherheitsmaßnahmen, sondern dar-über hinaus auch organisatorisches Handeln. Glaubt man Marc van Zadelhoff, Director Sicherheitslösungen bei IBM, dann liegt das Problem weniger in der Technik als vielmehr im fehlenden Sicherheitsbewusstsein der Programmierer. Dementsprechend entwickelt die IBM-Initiative Secure by Design ein Secure Engineering Framework, das als eine Art Checkliste für Entwickler und Manager fungiert. Daneben existieren allerdings auch technische Sicherheitsstandards und Protokolle wie das Security Content Automation Protocol der US-Bundesbehörde National Institute of Standards and Technology (NIST) oder das Cloud Trust Protocol der Cloud Security Alliance (CSA). In Deutschland beschäftigen sich verschiedene Initiativen mit dem Thema Sicherheit im Cloud Computing. Zu ihnen zählt beispielsweise das Technologieprogramm Trusted Cloud des Bundesministeriums für Wirtschaft und Technologie (BMWi), welches das Ziel verfolgt, die Entwicklung sicherer und rechtskonformer Cloud-Computing-Lösungen zu fördern. Projekte wie Sealed Cloud, SkIDentity oder TRESOR sollen vor allem das Sicherheitsniveau von Cloud-Computing-Lösungen in Deutschland verbessern.

In der Bilderstrecke finden Sie alle analysierten Security-Initiativen mit deren Relevanzbewertung im Überblick - wer es in Tabellenform lieber mag, wechselt auf Seite 3...

BSI gibt Empfehlungen

Die Projekte behandeln Themen wie das Risiko eines bewussten oder unbewussten Datenmissbrauchs, die vertrauenswürdige Realisierung von Identitäten in der Cloud oder die Implementierung einer gesetzeskonformen und sicheren Serviceplattform. Darüber hinaus hat das Bundesamt für Sicherheit in der Informationstechnik (BSI) ein Eckpunktepapier mit Sicherheitsempfehlungen für Cloud-Computing- Anbieter und Mindestsicherheitsanforderungen in der Informationssicherheit veröffentlicht. Weitere nationale Initia-tiven sind die herstellerunabhängige Nationale Initiative für Informations- und Internet-Sicherheit (NIFIS e.V.), die das Thema Internet-Security interdisziplinär behandelt, und der Verband EuroCloud Deutschland_eco, der sich für Akzeptanz und bedarfsgerechte Bereitstellung von Cloud-Services am deutschen Markt einsetzt sowie Cloud-Dienste zertifiziert. Auf internationaler Ebene zählen die CSA und die Europäische Agentur für Netz- und Informationssicherheit (engl. European Network and Information Security Agency = ENISA) zu den bedeutendsten Initiativen. Bei der CSA handelt es sich um eine Non-Profit-Organisation, die sich vorgenommen hat, die Akzeptanz des Sicherheits-Managements in der Cloud zu erhöhen und sichere Praktiken dafür zu etablieren.

Technische Ansätze fehlen noch

So wurden ein Katalog von wichtigen Sicherheitsbedrohungen veröffentlicht und Zertifizierungen durchgeführt. Neben der CSA nimmt die ENISA, gegründet von der Europäischen Union, eine zentrale Position bei Sicherheitsbestrebungen ein. Schwerpunkt ist das Vermeiden, Bewältigen und Beheben von Problemen im Bereich der Netz- und Informationssicherheit, unter anderem durch einen Leitfaden zum Thema.

Derzeit ist die Zahl der relevanten Initiativen allerdings noch überschaubar. Überwiegend handelt es sich um Konzepte und Ansätze auf der Management-Ebene und weniger um technische Vorhaben. Es mag dem Inter-operabilitäts-Problem geschuldet sein, dass bislang nur wenige technische Ansätze für die Sicherheitsproblematik im Cloud Computing existieren. In Deutschland sind mehrere vielversprechende Bestrebungen zu beobachten. Vor allem die Förderprojekte des BMWi stellen eine notwendige Grundlage für eine sichere Cloud-Nutzung dar. Um eine Basis für die sichere und vertrauenswürdige Nutzung des Cloud Computing zu schaffen, müssen rechtliche Rahmenbedingungen einheitlich definiert und der Zugang zu sicheren und zuverlässigen Cloud-Lösungen realisiert werden. Standards, Best Practices und Prüfsiegel von Initiativen wie EuroCloud oder ENISA leisten dazu einen wichtigen Beitrag. (uk/sh)

Sicherheitsinitiativen im Überblick

Die Relevanz der Initiativen wurde auf einer Skala von 1 bis 5 bewertet. Je höher der Wert (also je mehr +), desto relevanter die Initiative.