Die Cloud ist oft als unsicher verschrien. Ein Trugschluss, denn Unternehmen können mit Cloud-Services ihre Sicherheit deutlich erhöhen.
Foto: Andrzej, Fotolia.de
Cloud Computing ist nicht mehr aufzuhalten. Die Analysten der Experton Group prognostizieren dem Cloud-Computing-Markt weltweit bis 2015 ein Wachstum von über 40 Prozent. Deshalb ist es nicht verwunderlich, dass immer mehr Anbieter und Berater auf den Zug aufspringen und das Thema in den Führungsetagen heiß diskutiert wird. Allerdings scheinen mittelständische Unternehmen in Deutschland für Cloud Computing noch nicht besonders empfänglich zu sein. Die Marktforscher von Kelton Research begründen diese Zurückhaltung damit, dass rund 63 Prozent der IT-Entscheider immer noch Sicherheitsbedenken gegenüber der Cloud hegen.
Cloud-Computing-Strategie spart Geld
Dabei lässt der deutsche Mittelstand jedoch außer Acht, dass auf Grundlage einer gut geplanten Cloud-Computing-Strategie die Sicherheit eines mittelständischen Unternehmens sogar deutlich erhöht werden kann. Die Betriebe haben nämlich die Möglichkeit, kostengünstig, nach Bedarf und abgerechnet nach dem Verbrauch moderne Sicherheitstechnologien- und verfahren einzusetzen, ohne die dafür benötigte Infrastruktur vorhalten zu müssen.
Ein Beispiel dafür sind Authentifizierungssysteme. Damit wird sichergestellt, dass nur befugte Personen Zugriff auf die Systeme eines Unternehmens erhalten. Ein Zugriffsversuch durch nicht autorisierte Personen wird darüber hinaus erkannt und protokolliert; gegebenenfalls werden Gegenmaßnahmen ergriffen.
Eine in Eigenregie betriebene Infrastruktur, die solche Leistungen bietet, ist sehr teuer und muss zudem aufwendig administriert werden. Für kleinere Firmen wären die Investitionen viel zu hoch. Hinzu kommt das Know-how für die Konfiguration sowie Wartung des Systems. Ein darauf spezialisierter Cloud-Serviceanbieter, der nach Nutzung abrechnet, ist für diese Zielgruppe somit von Vorteil.
Cloud-Checklisten für den CIO
Cloud Computing Checkliste Wenn Fachbereiche ohne Wissen der IT Cloud-Services beschaffen, entsteht früher oder später eine "Schatten-IT". Hier erfahren Sie, wie Sie die Datensicherheit im Unternehmen erhöhen und dieser Schatten-IT entgegenwirken können. Hierzu sollten die Verantwortung und Aufgaben der Cloud-Strategie, Unternehmensleitung und IT-Abteilung klar geregelt sein.
Die zentrale Cloud-Strategie … legt fest, wie eine Private Cloud im Unternehmen organisiert wird.
Die zentrale Cloud-Strategie … bestimmt, welche SaaS-Anwendungen aus der Public Cloud beziehbar sind.
Die zentrale Cloud-Strategie … regelt, wie virtuelle Server in Public Clouds zu nutzen sind (Stichwort IaaS).
Die zentrale Cloud-Strategie … definiert die Zuständigkeiten der Abteilungen bei der Bestellung von Cloud-Leistungen und Vertragsverhandlungen.
Die zentrale Cloud-Strategie … enthält Vorgaben für Datenschutz und Datensicherheit bei der Cloud-Nutzung.
Die zentrale Cloud-Strategie … untersagt den Mitarbeitern den eigenmächtigen Einsatz von Cloud-Services.
Die Unternehmensleitung muss … IT-Richtlinie im Unternehmen erlassen und für die Umsetzung sorgen.
Die Unternehmensleitung muss … das nötige Know-how zu Cloud-Verträgen im Unternehmen sicherstellen - durch Schulungen, Entwicklung von Standards und Musterregelungen.
Die Unternehmensleitung muss … das Zusammenwirken der Abteilungen bei Vertragsverhandlungen koordinieren.
Die IT-Abteilung schließlich … erarbeitet ein detailliertes Sicherheitskonzept für die Unternehmens-IT und prüft es laufend.
Die IT-Abteilung schließlich … untersucht die Möglichkeiten zur Einbindung von Cloud-Services in Unter-nehmens-IT.
Die IT-Abteilung schließlich … berät die Unternehmensleitung bei der Entwicklung der Cloud-Strategie und deren Umsetzung.
Die IT-Abteilung schließlich … wirkt an Verhandlungen zu SaaS- und Cloud-Verträgen mit, prüft laufend deren Einhaltung, löst auftretende Probleme.
Die IT-Abteilung schließlich … schult Mitarbeiter aller Abteilungen zu Datensicherheit.
Security State of the art
Positiv auf die Security des Unternehmens wirkt sich ferner aus, dass der Cloud-Computing-Anbieter in der Regel auf dem aktuellsten Stand der Sicherheitstechnik ist und deshalb ein Höchstmaß an Schutz gewährleistet. Neben der kryptographischen Sicherheit werden die Daten auch physikalisch beziehungsweise räumlich geschützt, indem beispielsweise die Datenspeicherung in mehreren, voneinander getrennten Rechenzentren stattfindet.
Cloud-Dienste decken Compliance ab
Hinzu kommen Faktoren wie beispielsweise die Compliance, deren Anforderungen mittelständische Betriebe oft nur mit Mühe einhalten können. Durch die Nutzung von Cloud-Services haben Unternehmen die Option, die meist unbequemen rechtlichen Vorschriften, zu erfüllen, weil sie von den IT-Sicherheitsprozessen des Cloud-Computing-Anbieters abgedeckt werden.
Allerdings kann die gesamte Verantwortung nicht an den Cloud-Provider abgetreten werden. Jedes Unternehmen steht in der Pflicht, seine Hausaufgaben zu machen. Aber worauf muss es achten, wenn es um die eigene Sicherheit in der Cloud geht? Was sind die wesentlichen Anhaltspunkte zur Prüfung und Auswahl eines Cloud-Anbieters?
So schützen Sie sich vor Cloud Katastrophen
So schützen Sie sich vor Cloud Katastrophen "Die Cloud hat keine Fehler, die es zuvor nicht auch beim In-House-Betrieb gegeben hat", meint Rackspace CSO Moorman. Eine absolute Sicherheit gibt es auch mit der Cloud nicht. Wer sich dessen bewusst ist, wird nicht unvorbereitet in einen Wolkenbruch geraten. Unsere Tipps für Sie:
Tipp 1: Wenn Sie einen Teil ihrer IT in die Cloud verlagern wollen, sollten sie bei der System-Planung Verluste und Ausfälle von Anfang an berücksichtigen.
Tipp 2: Wenn es um ihre Daten geht, sollte Sie nicht auf andere vertrauen, sondern sich selber darum kümmern. Sorgen Sie selbst für ein Backup und überprüfen sie das Disaster Recovery-Setup Ihres Cloud-Providers.
Tipp 3: Es ist nicht unbedingt nötig, alle Daten doppelt zu sichern. Ein zusätzliches Backup der kritischsten Daten kann aber sinnvoll sein.
Tipp 4: Cloud-Nutzer sollten gründlich auf die Sicherungsmechanismen achten und eventuell vorsorglich eine Backup- oder Offline-Zugriffs-Lösung aufsetzen.
Tipp 5: Bei Cloud-Diensten kann es sinnvoll sein, Daten auf verschiedenen Servern in unterschiedlichen Rechenzentren zu sichern – Es lohnt sich auch, die Dienste mehrerer Provider zu nutzen.
Tipp 6: Sie sollten sich folgende Frage stellen: Ist es für unser Unternehmen tragbar, wenn Geschäftsdaten temporär nicht abrufbar sind?
Sicherheitsmaßnahmen aus der Wolke
Foto: Victor Zastolskiy, Fotolia.de
In erster Linie geht es um die Existenz geeigneter Sicherheitsmaßnahmen, die dem Schutz der Cloud selbst und somit auch dem der Kundendaten dienen. Dazu gehören Themen wie die Authentifikation, Identity-Management sowie die Verschlüsselung und Integrität der gespeicherten und übertragenen Daten. Weitere Punkte sind der Datenschutz sowie die Vertragsgestaltung zwischen dem Kunden und Provider, Anforderungen und Einhaltungen der Compliance sowie die grundsätzliche Struktur des Anbieters. Es existieren also viele technische und organisatorische Bereiche, die berücksichtigt werden müssen.
Zu den technischen Vorkehrungen gehören unter anderem die Datenverschlüsselungen innerhalb der Datenbanken, im Storage und während der gesamten Kommunikation (End-to-End Verschlüsselung). Hinzu kommen der Einsatz einer Zwei-Faktor-Authentifizierung beispielsweise mit Hilfe von Smartcards oder Zertifikaten sowie die Nutzung digitaler Signaturen, um auf dieser Basis sämtliche Daten zu schützen.
Neben einem Rights-Mangement-System, das den Zugriff auf die gespeicherten Daten und Dokumente regelt, sollte ebenfalls ein Identity-Management vorhanden sein, mit dem Zugriffe auf die Daten geschützt und protokolliert werden. Wichtig sind darüber hinaus Service Level Agreements (SLA), womit die Dienstgüte der Cloud-Services definiert wird und die anhand von Kennzahlen gemessen werden.
Doch wie sollen Unternehmen ein Projekt Sicherheit aus der Cloud überhaupt angehen? Zunächst muss eine aussagekräftige Cloud-Computing-Strategie durch das Management erarbeitet werden. Aus dieser sollte klar hervorgehen, welche Unternehmensbereiche und -prozesse in die Cloud verlagert werden sollen und welche nicht. Darüber hinaus gilt es, das vorhandene Risiko-Management mit dem Thema Cloud Computing zu verknüpfen, um damit mögliche Risiken bei der Nutzung von Cloud-Services zu erkennen und präventive Maßnahmen zu ergreifen.
Die schlimmsten Cloud-Ausfälle
Die schlimmsten Cloud-Ausfälle Unsere Kollegen von der InfoWorld haben die zehn schlimmsten Cloud Katastrophen zusammengetragen, die wir Ihnen nicht vorenthalten wollen
Sidekick Die Besonderheit des Sidekick-Dienstes: Persönliche Daten, Adressen oder Kalendereinträge, können direkt in einer Cloud gesichert werden. So sollen alle Daten auch bei Geräteverlust schnell wiederhergestellt werden. Das versprach zumindest die Werbung. Doch gerade dieser Cloud Service hatte im Herbst 2009 einen Ausfall. Als Folge konnten alle Nutzer eine Woche lang nicht mehr auf Kontakte, Termine und andere Daten zugreifen, die auf Servern gespeichert waren, welche von Microsoft betrieben wurden. Schlimmer noch, es waren nicht einmal Backups angelegt worden. Somit gingen alle persönlichen Daten für immer verloren, sofern sie der Nutzer nicht zusätzlich lokal gesichert hatte.
Googlemail Googlemail ist mittlerweile auch für Geschäftskunden eine lohnende Alternative zu Microsoft Exchange. Aber auch dieser Cloud-Dienst ist vor Ausfällen nicht gefeit. Eine besonders schlimmer Software-Bug sorgte dafür das rund 150000 Google-Kunden auf leere Posteingänge blickten. Alle Nachrichten, Ordner oder Notizen waren weg. Dank einer Reihe von Sicherungen konnte Google zwar alle Daten wiederherstellen, aber nichtsdestotrotz hatten Anwender tagelang keinen Zugriff auf ihre E-Mails.
Hotmail Googlemail ist jedoch nicht der einzige Mail-Dienst mit Ausfällen. Auch Microsofts Hotmail hatte, neben einem Phishing-Angriff, bei dem zehntausend Hotmail-Konten ausgespäht wurden, mit leeren Postfächern zu kämpfen. Ein Script sollte eigentlich nur überflüssige Dummy-Accounts löschen. Leider wurden von diesem Skript auch 17 000 real existierende Accounts gelöscht. Aber auch in diesen Fall wurden alle Daten wiederhergestellt, auch wenn einige Nutzer bis zu sechs Tage auf ihre Neujahrswünsche warten mussten.
Intuit 2010 hatte Intuit mit seinen Cloud-Services wie TurboTax, Quicken oder Quickbooks zwei Ausfälle innerhalb eines Monats. Vor allem eine Störung über 36 Stunden im Juni verärgerte die Kunden. Ein Stromausfall hatte die Systeme inklusive Backups lahmgelegt – leider erlitt Intuit wenige Wochen später einen weiteren Stromausfall.
Microsofts BPOSS Es ist nicht einfach produktiv zu arbeiten, wenn die als SaaS eingebundene Arbeitsumgebung nicht mehr erreichbar ist. Am 10. Mai stocke die Microsoft Business Productivity Online Standard Suite. So gingen E-Mails erst mit neun Stunden Verzögerung ein. Die Störung wurde zwar schnell behoben, trat aber zwei Tage später wieder auf. Noch dazu hatten einige Nutzer nicht einmal mehr die Möglichkeit sich in Outlook einzuloggen.
Salesforce.com Eine Stunde Ausfall klingt nicht nach viel. Wenn aber ein Dienst nicht mehr erreichbar ist, über den zehntausend Firmen ihren Kundendienst laufen lassen, können 60 Minuten sehr lange sein. Der Rechenzentrumsausfall von Salesforce.com im Januar brachte einige wütende Kunden hervor.
Terremark Der Cloud-Anbieter Terremark, der kürzlich für einige Milliarden US-Dollar von Verizon gekauft wurde, geriet Anfang 2010 wegen einer Störung in die Schlagzeilen. Am 17. März kam es zu einem Ausfall in einem Rechenzentrum in Miami. In Folge kollabierte der vCloud Express-Service und auf sämtliche Daten konnte sieben Stunden lang nicht mehr zugegriffen werden.
PayPal Paypal ist ein großer Anbieter im Bereich E-Payment, somit hat ein Ausfall potentiell dramatische wirtschaftliche Folgen. Ein Hardware-Problem legt im Sommer 2009 den Bezahldienst für eine Stunde lang lahm. Keine schöne Erfahrung für Händler wie Kunden, die ihre Waren online ein- und verkaufen wollten.
Rackspace Ende 2009 musste Rackspace drei Millionen Dollar an seine Kunden zurückzahlen. Der Betreiber hatte mit mehreren technischen Problemen zu kämpfen und die gehosteten Websites gingen dabei jedes Mal offline. Für die Kunden wie Justin Timberlake oder TechCrunch eine kostenintensiver Ausfall. Heute achtet Rackspace nicht nur darauf, solche Ausfälle zu vermeiden, sie informieren die Kunden auch, dass manche Ausfälle unvermeidlich sind.
Projektverantwortung klar definieren
Ein besonders wichtiger Punkt sind die Verantwortlichkeiten. In die Cloud-Projektplanung müssen auch Sicherheits- und Datenschutzbeauftragte, Rechtsabteilungen, Betriebsräte und Fachabteilungen einbezogen werden. Die verschiedenen Planungsschritte auf dem Weg in die Cloud sowie die Verträge mit dem Anbieter, die Migration und der spätere Betrieb müssen gut und detailliert durchdacht und Verantwortlichkeiten und Zuständigkeiten klar zugeordnet werden.
Hier empfehlt es sich einen Verantwortlichen "Cloud" zu benennen, der für die Migration und den endgültigen Betrieb zuständig ist und der eng mit dem Sicherheitsbeauftragten des Unternehmens zusammenarbeitet.
Veranstaltungshinweis "SecTXL"
Am 22. November 2011 findet in Frankfurt am Main im DE-CIX Convention Center die "SecTXL" statt, die sich unter dem Motto "Juristische und technische Sicherheit für die Cloud" genau mit dem oben beschriebenen Thema befasst. Neben Vorträgen von Rechtsanwälten und Experten aus den Bereichen des Datenschutzes und der Datensicherheit werden auch technische Probleme und deren Lösungen vorgestellt. Informationen zu der Veranstaltung finden Sie unter http://frankfurt-11.sectxl.com/