Enterprise Rights Management

Mit sicheren Schritten in die Cloud

08.08.2011 von Dror-John Röcher und Jan-Frank Müller

Unternehmen, die Dienste in einer Cloud nutzen oder in diese verlagern möchten, müssen zuvor genau prüfen, ob Compliance und Sicherheit der Cloud-Infrastruktur auf jeder relevanten Service-Schicht den eigenen Anforderungen genügen.

Cloud-Security ist kein Hexenwerk, aber nicht alle Themen sind schon gelöst.
Foto: Computacenter

Die technologischen Security-Ansätze im Cloud Computing ähneln denen herkömmlicher Infrastrukturen. Änderungen sind jedoch aufgrund der Cloud-Architektur, des Betriebsmodells und der daraus resultierenden, immanenten Besonderheiten notwendig, um ein angemessenes Schutzniveau etablieren und aufrechterhalten zu können. Die eigentliche Schwierigkeit besteht daher vor allem darin, das Cloud-Konzept mit den diversen Compliance-Anforderungen in Einklang zu bringen.

Bei einer Analyse der Gefährdungen im Cloud-Computing fällt auf, dass diese zu vergleichbaren Ergebnissen wie eine Analyse traditioneller Rechenzentren führt. Einen guten Überblick gibt das Cloud Computing Risk Assessment der European Network and Information Security Agency. Die Risiken lassen sich auf die klassischen Schutzziele Vertraulichkeit, Verfügbarkeit und Integrität zurückführen: Integritätsverletzungen der Informationen, nicht autorisierte Datenzugriffe oder Einschränkungen der Verfügbarkeit etwa durch Viren sowie Fehlfunktionen dienstrelevanter Komponenten.

Top 5 der Cloud-Computing-Anwendungen

Top 5 der Cloud-Computing-Anwendungen
Die Experton Group hat herausgefunden, in welchen Segmenten Unternehmen mit mehr als 1.000 Mitarbeitern Cloud Computing-Technologien einsetzen.

1. Virtualisierung:
Die Virtualisierung der eigenen Rechenzentrumsressourcen ist für eine Vielzahl von Unternehmen seit Jahren eines der strategisch wichtigen Themen. Einerseits versprechen sie sich dadurch eine höhere Kosteneffizienz und andererseits mehr Flexibilität in der Bereitstellung von Rechen- und Speicherleistung.

2. SaaS:
Die Nutzung von Anwendungen im Rahmen des Software as a Service-Modells ist im laufenden IT-Betrieb mittlerweile weit verbreitet. So nutzen schon heute Unternehmen in Deutschland Standard-Anwendungen wie CRM, Security, Projektmanagement oder Collaboration über das Internet.

3. Backup:
Storage as a Service-Konzepte sind hochinteressant und sehr sinnvoll, da der Aufbau und das Management hochskalierender Storage-Architekturen hohe Investitionen und entsprechende Skills auf der Personalseite erfordert. Unternehmen nutzen die Storage-Infrastrukturen der Cloud-Anbieter, um web-basierten und ressourcenintensiven Content zu speichern oder im Rahmen von Backups zu sichern.

4. Webanwendungen:
Bowser gestützte und mobile Applikationen kommen immer dann zum Einsatz, wenn variable Last- und Workloadprofile benötigt werden oder Last- und Nutzungsprofile schlecht planbar sind ...

5. Mobile Apps:
... Cloud-Infrastrukturen bieten hier den Vorteil, dass nur die real genutzten Server- und Speicherkapazitäten zu bezahlen sind.

Aus rein technologischer Sicht bietet Cloud-Security nichts wesentlich Neues. Komplex wird Cloud-Computing erst dadurch, dass oft nicht eindeutig definiert ist, bis zu welcher Ebene der Cloud-Infrastruktur der Provider, und ab welcher Ebene der Kunde verantwortlich ist. Hinzu kommen weitere ungeklärte Fragen: Welchen Schutz kann der Kunde vom Provider verlangen? Welche Schutzmechanismen bietet der Provider für seine Dienste? Wie ist die technische und organisatorische Security-Schnittstelle zwischen Provider und Kunde definiert?

Sicherheitsanforderungen für Provider

Kunden sollten vom Provider ein etabliertes Sicherheits-Management, eine angepasste Sicherheitsarchitektur, ein funktionierendes Notfall-Management und Angaben zu seiner Mitarbeitersicherheit erwarten können. Auf der anderen Seite sind Provider gut beraten, diese Informationen offensiv zu publizieren, um sich gegenüber dem Wettbewerb positiv zu differenzieren. Die Realität sieht jedoch häufig anders aus: Viele Provider glänzen in diesen Bereichen durch Intransparenz und mangelndes Verständnis für die Sicherheitsbelange ihrer Kunden. Die AGBs der Provider enthalten keine expliziten Service Level Agreements (SLAs) und keine Aussagen zur Sicherheit, auf die sich Kunden berufen oder auf denen sie mit der eigenen Security-Strategie aufsetzen können. Im Gegenteil, oft wird in den AGBs ausdrücklich darauf hingewiesen, dass der Dienst keine garantierte Verfügbarkeit bietet. Aussagen zur Verfügbarkeit oder der Security der Cloud-Dienste und ihrer zugrundeliegenden Infrastruktur finden sich nur in Produkt-Datenblättern und Whitepapers, die aber nicht Vertragsbestandteil sind. In diesem Punkt unterscheidet sich Cloud-Computing signifikant vom klassischen Outsourcing, bei dem Auftraggeber und Auftragnehmer im Due-Diligence-Prozess Parameter mit bindendem Charakter für SLAs und Security aushandeln können.

Kritische Stimmen zum Cloud Computing argumentieren oft mit einem zwangsläufigen Kontrollverlust bei der Verlagerung von Informationen oder Diensten in eine fremdbetriebene Cloud. Diesem Argument liegt die Fehlannahme zugrunde, dass Unternehmen heutzutage überhaupt noch die Kontrolle über ihre IT haben. Tatsächlich zeigt die Erfahrung, dass kaum ein Unternehmern weiß, welche Applikationen es tatsächlich nutzt, wie kritisch diese sind oder welche Informationen wo verarbeitet und gespeichert sind. Die Dispersion der Daten in den Unternehmen, die Webifizierung der internen Applikations-Landschaft und die ubiquitäre Verfügbarkeit großer und günstiger Speicher haben über die Jahre zu einem schleichenden Kontrollverlust über die Informationen und Applikationslandschaft geführt. Dazu trägt auch das wieder in Mode gekommene Bring your own Device bei. Das Modell fordert explizit, dass Mitarbeiter auf ihrer privaten, eventuell subventionierten, Hardware im Unternehmen arbeiten können. Vor diesem Hintergrund kann der Schritt in die Cloud zum Anlass genommen werden, die Kontrolle zumindest in Teilen zurückzugewinnen.

Bekanntschaft mit der eigenen IT schließen

Bevor eine effiziente Security-Strategie von einem Provider eingefordert wird, sollten Cloud-interessierte Unternehmen vor der eigenen Haustür kehren. Sie müssen sich einen Überblick über die eigenen Daten und Anwendungen, deren Verteilung im Unternehmen, den Compliance- und Schutzanforderungen verschaffen. Data Discovery und Klassifizierung von Daten unter Storage- und Sicherheitsaspekten können Methoden sein, die, systematisch und umfassend umgesetzt, den notwendigen Überblick verschaffen. Aus den gewonnenen Erkenntnissen lässt sich ableiten, welche Daten oder Applikationen unter welchen Voraussetzungen Public-Cloud-tauglich sind, und welche innerhalb der eigenen Umgebung bleiben sollten.

Ein weiterer wichtiger Aspekt der Sicherheit von Cloud-Diensten ist das Identity & Access Management sowohl in Bezug auf den Kunden als auch auf den Anbieter. Der Provider sollte seinen Kunden transparent darstellen können, welche Mitarbeiterrolle welche Zugriffsmöglichkeiten hat, und welche Maßnahmen gegen unberechtigten Zugriff der Provider-Mitarbeiter eingesetzt werden. Aus Kundensicht ist eine Integration der Cloud-Dienste in das unternehmenseigene Benutzerverzeichnis wünschenswert, um zentral steuern zu können, welche Nutzer welche Zugriffsrechte auf welche Applikationen haben. Das User-Lifecycle-Management wird durch die Verlagerung von Unternehmensapplikationen in öffentlich erreichbare Infrastrukturen noch wichtiger, da ein Benutzer nach Ausscheiden aus dem Unternehmen weiterhin Zugriff auf die öffentlich bereitgestellten Applikationen und Daten hat, bis ihm die Berechtigungen explizit entzogen werden.

Cloud-Provider auf dem Prüfstand

Cloud-Anbieter auf dem Prüfstand
Die Experton Group hat sich die relevanten und in Deutschland aktiven Anbieter genauer angesehen. Hier finden Sie die Ergebnisse im Schnelldurchlauf. <br /><br /> <a href=" http://www.experton-group.de/research/studien/cloud-vendor-benchmark-2010/ueberblick.html" target="_blank">Weitere Informationen zur Studie finden Sie auf der Web-Site der Experton Group</a>

Amazon
<b>Amazon </b>hat die Palette seiner Cloud-Dienste seit 2002 unter dem Namen Amazon Web Services (AWS) stark ausgeweitet. So kamen zum ursprünglichen Kernangebot (Vermietung von Rechenleistung "EC2", Storage "S3" und Datenbankkapazität "SimpleDB") unter anderem noch relationale Datenbanken, Content Delivery, Messaging und Monitoring, Virtual Private Clouds sowie weitere Add-ons (etwa in Zahlungen und Rechnungen) hinzu. <br/><br/>Quelle: Experton Group

Google
Die "Google Apps" von <b>Google</b> sind für Anwender vorgesehen, die einfache, standardisierte Collaboration-Lösungen (SaaS) wollen. Die Infrastructure-as-a-Service-und Platform-as-a-Service-Angebote unter dem Namen "Google AppEngine" sind auf Entwickler und Start-ups ausgerichtet. Sie stehen ohne Zugangsbeschränkung in der Public Cloud zur Verfügung, es gibt sie allerdings nicht in Deutsch. Rechenleistung lässt sich neuerdings über die so genannten "free quotas" zu festen Konditionen per Kreditkarte beziehen. <br/><br/>Quelle: Experton Group

Microsoft
<b>Microsoft</b> bietet mittlerweile nahezu alle Produkte und Technologien auch aus der Cloud an. Damit zählt der Konzern zu den wenigen Anbietern mit komplettem Cloud-Stack, der sowohl IaaS, PaaS und SaaS als auch Private-, Public- und Hybrid-Cloud-Services abdeckt. Das zentrale Element des Portfolios bildet die Plattform "Windows Azure". Auch das kommende Office-Release 2010 soll in die Wolke passen, lässt aber auch eine lokale Installation zu. <br/><br/>Quelle: Experton Group

Salesforce
<b>Salesforce</b> hat sich vom reinen Anbieter von SaaS-Lösungen für das Customer-Relationship-Management (CRM) zu einem Plattformanbieter weiterentwickelt. Neben der etablierten SaaS-Lösung für das Kunden-Managment und die Vertriebs- und Marketing-Automatisierung bietet Salesforce mit Force.com eine Betriebs- und Entwicklungsumgebung im Public-Cloud-Modus an. <br/><br/>Quelle: Experton Group

Deutsche Telekom
Die breite SaaS-Palette des <b>Geschäftskundenbereichs der Deutschen Telekom</b> umfasst unter anderem Lösungen für E-Mail, Collaboration, Conferencing, CRM und ERP. Zudem beinhaltet sie integrierte IT- und TK-Services (etwa das "Deutschland LAN"). Erwähnenswert sind die von T-Systems entwickelten "Dynamic Services", die etwa betriebswirtschaftliche Applikationen bedarfsgerecht bereitstellen und abrechnen. Hinzu kommen nun auch erste IaaS-Angebote (Infrastructure as a Service) für größere Mittelständler. Diese Offerten bieten eine flexible Buchung von Server-Instanzen, sind hinsichtlich ihrer Skalierbarkeit und nutzungsabhängigen Bezahlung aber noch ausbaufähig. <br/><br/>Quelle: Experton Group

IBM
Als technologischer Innovator verfügt <b>IBM</b> über ein breites, aber teilweise nur schwer überschaubares Angebot an Cloud- Services (IaaS, PaaS, SaaS) und Produkten. Neben den eigenen SaaS-Lösungen (zum Beispiel Lotus) stehen IBM-Kunden eine Vielzahl an Partnerlösungen auf der IBM-Plattform zur Verfügung. Für Softwaretests und -entwicklung, ein wichtiges Cloud-Anwendungsfeld, bietet IBM Unternehmen eine ausgereifte Plattform. <br/><br/>Quelle: Experton Group

HP
<b>Hewlett-Packard (HP)</b> vertreibt Hard- und Software für den Aufbau von Private-Cloud-Infrastrukturen. Zudem können Großkunden Rechenleistung und Storage-Kapazitäten in einem IaaS-Modell nutzen. Allerdings sind Zugang, Skalierbarkeit und Self-Service beschränkt. Dagegen sind die Utility-Services, die Enterprise-Applikationen etwa von SAP auf einer virtualisierten Plattform flexibel bereitstellen und abrechnen, weit entwickelt und voll ausgereift. Sie sind das Kernstück des derzeitigen Cloud-Angebots. <br/><br/>Quelle: Experton Group

Fujitsu Technology Solutions
<b>Fujitsu Technology Solutions (FTS)</b> bietet unter dem Namen "Infrastructure-as-a-Service for Servers" zurzeit lediglich flexibel buchbare Server-Kapazitäten in einem "Private-Cloud-Modell" an. Die Abrechnung mit den Kunden erfolgt allerdings nach gebuchten und nicht nach wirklich verbrauchten IT-Ressourcen. Leider hat Fujitu hier den Cloud-Ansatz noch nicht hundertprozentig umgesetzt. <br/><br/>Quelle: Experton Group

Pironet NDH
<b>Pironet NDH</b> fokussiert sich mit seinem Cloud-Angebot eindeutig auf den Mittelstand und positioniert sich dort als "Trusted Partner". Das Portfolio umfasst neben Infrastruktur-Services (etwa Storage on Demand) zahlreiche SaaS-Lösungen von Partnern. Dazu kommen verschiedene Managed-Services auf der Netzebene. <br/><br/>Quelle: Experton Group

T-Systems
Neben zahreichen, auf diese Zielgruppe zugeschnittenen Managed-Services bilden die "Dynamic Services" den Kern des Cloud-Angebots von <b>T-Systems</b>. Anwendern stellt die Telekom-Tochter Enterprise-Applikationen (etwa ERP und CRM) zur Verfügung, die auf skalierbaren und standardisierten Hardware-Infrastrukturen laufen. Die Abrechnung der genutzten SAP- oder Microsoft-Systeme erfolgt nutzungsabhängig. <br/><br/>Quelle: Experton Group

Nionex
Als einer der wenigen IT-Service-Provider in Deutschland bietet <b>Nionex</b> seit 2009 ein klar strukturiertes Public-Cloud-Angebot an. So werden mit den IaaS-Offerten mittelständische Unternehmen angesprochen, die Teile ihrer Infrastruktur flexibilisieren und erste Anwendungen in der Cloud betreiben wollen. Nionex stellt neben Rechnerleistung auch Storage und weitere Services bereit. <br/><br/>Quelle: Experton Group

An dieser Stelle setzen auch aktuelle Enterprise-Rights-Management (ERM)-Werkzeuge an. Sie schützen die eigentlichen Daten und zwar unabhängig vom Speicherort, dem zugrundeliegenden Dateisystem, der verarbeitenden Applikation oder dem Transportweg. Dazu werden die Informationen in eine Art Schutzhülle verpackt, die den Zugriff auf den Inhalt erst nach erfolgreicher Authentifizierung und Autorisierung gegen das unternehmenseigene Benutzerverzeichnis ermöglicht. Auch die Art des Zugriffsrechts kann detailliert definiert werden, sodass das Drucken, Speichern oder Verändern der Dateien unmöglich ist. Diese Einschränkungen können auch nachträglich definiert werden, das heißt, die initiale zentrale Berechtigung kann jederzeit geändert oder widerrufen werden. Bei jeder Anfrage werden die aktuell gültigen Berechtigungen abgefragt und umgesetzt. So kann ausgeschiedenen Mitarbeitern der Zugang zu Datenkopien verwehrt werden um Datenabfluss zu minimieren.

Letztendlich sollte das Ziel eine ubiquitäre, informationszentrierte und standardisierte Verschlüsselung aller Informationen sein. Ob es erreicht wird, hängt entscheidend von der Kooperation der Security-Hersteller ab. Nach heutigem Verständnis ist ERM integraler Bestandteil der jeweiligen Anwendung oder Anwendungsgruppe, etwa MS Office 2010 in Verbindung mit Sharepoint 2010 und einem Windows 2008 ActiveDirectory. Beim Cloud-Computing sind klassische Dokumente in Dateiform aber nur einer von vielen Informationsträgern. Um Informationen nach dem ERM-Prinzip auch in Cloud-Umgebungen verschlüsseln zu können, muss der Informationsbegriff massiv erweitert werden zum Beispiel auf Festplattenimages in Amazons EC2-Infrastruktur oder auf Datensätze in Salesforce.com-Formularen.

Compliance-Fragen für Public Clouds noch offen

Besonderes Augenmerk ist auf die nachweisliche Einhaltung spezifischer Compliance-Anforderungen in Public-Cloud-Diensten zu legen. Werden Compliance-relevante Informationen in die Infrastruktur eines externen Anbieters verlagert, übernimmt dieser bislang nur die Betriebsverantwortung für die Dienste. Der Kunde trägt die Kontrollverantwortung, die üblicherweise eine Auditpflicht mit sich bringt. Der Kunde muss den Provider entsprechend den Vorgaben der jeweiligen Compliance-Regel auditieren. Aktuell gelten für Cloud-Dienste die gleichen Compliance-Anforderungen wie für konventionelle Infrastrukturen. Das Bundesdatenschutzgesetz, das Aktiengesetz oder KonTraG (Gesetz zur Kontrolle und Transparenz im Unternehmensbereich) differenzieren nicht zwischen Cloud- und Nicht-Cloud-Betrieb. Die Herausforderung liegt darin, die geltenden Compliance-Vorgaben nachweislich umzusetzen. Solange der Provider den Nachweis nicht erbringt, ist der Kunde in der Pflicht. Allerdings ist die Wahrnehmung dieser Pflicht oft nicht praktikabel oder realisierbar.

Am Beispiel von internationalen Public-Cloud-Anbietern wie Google oder Amazon wird die Problematik besonders deutlich. Sie bedienen Kunden in der ganzen Welt und jedes Land hat eigene Compliance-Richtlinien, die von Branche zu Branche variieren können. Wie soll ein Cloud-Provider mit hundertausenden von Kunden die Fülle an Audits umsetzen, die oft die Beantwortung umfangreicher Fragebögen, Interviews und Ortsbegehungen beinhalten, ohne die Kosten für die Dienste massiv anzupassen? Letztendlich ist dies nur möglich, indem Cloud-Provider automatische Audit-Schnittstellen für Kunden in ihre Services integrieren und ihre Sicherheitsprozesse offenlegen.

Die Arbeitsgruppe CloudAudit/A6 in der sich viele namhafte Anbieter engagieren, entwickelt derzeit eine solche automatische Audit-Schnittstelle. Neben den Cloud-Anbietern sind jedoch auch die Gesetzgeber gefordert, die aktuelle Rechtslage der technologischen Entwicklung anzupassen. In einem Zeitalter des globalen, freien Informations- und Warenfluss stellen nationale Regulierungen per se einen unpassenden Ansatz dar, auch wenn deren Inhalte, wie in der aktuellen Fassung des Bundesdatenschutzgesetzes (BDSG), durchaus begrüßenswert sind. Demnach sollten Unternehmen derzeit personenbezogene Daten nur an nationale Cloud-Provider auslagern oder sicher stellen, dass sie die Einhaltung der Anforderungen des BDSG zweifelsfrei nachweisen können. Als Pionierdaten für erste Erfahrungen mit Cloud-Services eignen sich also zunächst nur nicht-Compliance-relevante Daten. Das können alle Informationen sein, die ein Unternehmen auch intern bereits seinen Mitarbeitern ohne Zugriffsbeschränkungen zur Verfügung stellt. (ph)