Glaubt man Marktforschern, wird Cloud Computing in den kommenden Jahren in Deutschland eine maßgebliche Rolle spielen. Die Marktforschungsgesellschaft Experton Group geht davon aus, dass der Umsatz mit Cloud-Produkten 2012 ein Volumen von 3,1 Milliarden Euro erreicht. Für 2015 erwarten die Berater schon mehr als 8,5 Milliarden Euro. Die Anbieter von Cloud-Services, der dafür erforderlichen Hard- und Software sowie von Beratungsleistungen hören das natürlich gerne.

Dennoch ist die Stimmung getrübt. Denn viele der - potenziellen - Anwender von Cloud-Diensten stehen der Idee, IT-Dienste "aus der Wolke" zu beziehen, kritisch gegenüber. Ein wesentlicher Grund: Angst um die Sicherheit unternehmenskritischer Daten und Furcht vor der Verletzung von Compliance-Regeln. Eine Umfrage der Beratungsgesellschaft Deloitte unter IT-Leitern westeuropäischer Unternehmen im Jahr 2011 ergab beispielsweise, dass mehr als die Hälfte der Fachleute den Verlust der Kontrolle über Daten und Anwendungen sowie die unzureichende Datensicherheit noch als schwere Mängel des Cloud-Konzepts betrachten. Weitere Kritikpunkte: die Gefahr, sich einem Anbieter auszuliefern, und Zweifel daran, dass ein Anbieter Cloud-Computing-Services langfristig zur Verfügung stellen kann.

"Die offenen Fragen in puncto Datensicherheit und -schutz in Public-Cloud-Umgebungen bremsen das Wachstum von Cloud-Diensten derzeit noch aus", räumt Alexander Peter ein, Certified Information Systems Security Professional (CISSP) bei der IT-Sicherheitsfirma Symantec. "Auf der einen Seite lassen sich bekannte Security- und Compliance-Lösungen einsetzen, darunter Data Loss Prevention, Verschlüsselung und eine starke Authentifizierung", so der Fachmann. "Sehr oft werden diese Lösungen jedoch in einem antiquierten Perimeter-Kontext verwendet - also in dem Irrglauben, dass es noch ein 'Innen' und 'Außen' gibt, und der Vorstellung, dass Gefahren nur von außen kommen."

Diese Denkweise ist Peter zufolge falsch. Wichtig sei vielmehr ein informationszentrierter Ansatz zur IT-Sicherheit. Dieser berücksichtige, wo welche Informationen gespeichert seien und wie sie gesichert würden.

Best in Cloud - Die Gewinner
Die COMPUTERWOCHE präsentiert Ihnen die Gewinner des "Best in Cloud"-Awards 2011

Infrastructure as a Service (IaaS)
Der Gewinner des Best in Cloud - Awards 2011 in der Kategorie "Infrastructure as a Service (IaaS)" ist:

BT (Germany) GmbH & Co. oHG
BT bietet in Deutschland seit 1995 Dienstleistungen für Firmenkunden an und hat sich zu einem Anbieter für globale Netzwerk- und IT-Services entwickelt. Ein Schwerpunkt liegt dabei auf international tätigen Unternehmen mit verteilten Standorten, die komplexe Anforderungen an die Netzwerkinfrastruktur haben. <br>Projekt: Virtual Data Centre - Private-Cloud-Projekt mit MPLS-Anbindung im BT Data Centre.

Platform as a Service (PaaS)
Der Gewinner des Best in Cloud - Awards 2011 in der Kategorie "Platform as a Service (PaaS)" ist:

Infopark
Infopark bietet seinen Kunden webbasierte Informationssysteme an. Im Fokus stehen dabei onlinebasierte Content-Management- und CRM-Lösungen. Das Unternehmen ist weltweit tätig, hat aber seinen Vertriebsschwerpunkt im deutschsprachigen Raum. <br>Projekt: Airport Nürnberg auf Wolke 7 – Webauftritt, CMS und WebCRM als Plattform aus der Cloud.

Software as a Service (SaaS) - Public Cloud
Der Gewinner des Best in Cloud - Awards 2011 in der Kategorie "Software as a Service (SaaS) - Public Cloud" ist:

forcont Business Technology GmbH
forcont ist ein auf Enterprise Content Management (ECM) spezialisiertes Softwarehaus mit Hauptsitz in Leipzig. Das Unternehmen bietet standardisierte Anwendungen und skalierbare Projektlösungen zur Steuerung von Geschäftsprozessen an. Diese können von den Kunden wahlweise auch als Software as a Service genutzt werden. <br>Projekt: Elektronische Personalakte als SaaS-Angebot.

Software as a Service (SaaS) - Private Cloud
Der Gewinner des Best in Cloud - Awards 2011 in der Kategorie "Software as a Service (SaaS) - Private Cloud" ist:

Zendesk
Zendesk wurde 2007 in Kopenhagen gegründet. Das Unternehmen bietet eine Cloud-basierte Help Desk Software an. Neben einem Ticket-System können die Kunden auch eine Online-Plattform des Anbieters für eigene Service-Angebote nutzen.

Software as a Service (SaaS) - Hybrid Cloud
Der Gewinner des Best in Cloud - Awards 2011 in der Kategorie "Software as a Service (SaaS) - Hybrid Cloud" ist:

SupplyOn AG
Im Jahr 2000 wurde SupplyOn von international tätigen Automobilzulieferunternehmen mit dem Ziel gegründet, den gesamten Produktentstehungsprozess mithilfe einer Internet-Plattform für Lieferanten zu vereinfachen. Der Hauptsitz des Anbieters ist in Halbergmoos bei München. <br> Projekt: Collaboration-Plattform für die Automobil- und Fertigungsindustrie; hier mit Hybrid-Cloud-Projekt “AirSupply” vertreten, das europäischen Luftfahrtunternehmen ein einheitliches Supplier-Portal zur Verfügung stellt.

Cloud Enabling Software
Der Gewinner des Best in Cloud - Awards 2011 in der Kategorie "Cloud Enabling Software" ist:

Fujitsu
Fujitsu Technology Solutions (FTS) zählt in Europa zu einem der führenden IT-Anbieter. Das Angebotsspektrum reicht von Notebooks und Tablet PCs bis hin zu Mainframes und kompletten IT-Infrastrukturlösungen aus der Cloud. FTS beschäftigt mehr als 10.000 Mitarbeiter und ist Teil der globalen Fujitsu Gruppe. <br>Projekt: Diperia - Digitale Personalakte: Ein Webangebot, gestrickt für Kendox.

Sonderprojekte
Der Gewinner des Best in Cloud - Awards 2011 in der Kategorie "Cloud Special Project" ist:

Ubigrate GmbH
Das Unternehmen Ubigrate ist ein Anbieter für Business Activity Monitoring (BAM) in Produktion und Logistik. Die Lösung Geqoo Boxes unterstützt Firmen beim Umgang mit wiederverwendbaren Behältern. <br> Projekt: Einsatz eines Behältermanagementsystems – SaaS-Lösung für das Verwalten von Behältern, die Pool Packaging vermietet.

Cloud-Sicherheit im Überblick

Unternehmen, die Cloud-Dienste auf sichere Art betreiben oder nutzen möchten, sollten auf folgende Bereiche achten:

• Die Datenintegrität und Datensicherheit sicherstellen, inklusive Regeln für den Datenzugriff.

• Bei Public- und Hybrid-Cloud-Diensten: einen Service-Provider identifizieren, der über ein sicheres Data Center mit gut geschultem Personal und Sicherheitsfunktionen verfügt.

• Vorsorge für den sicheren Transport der Daten zwischen dem eigenen Rechenzentrum und dem Cloud-Data-Center treffen.

• Prüfen, welche Datensicherheitsregelungen und Compliance-Standards ein Provider berücksichtigt und über welche Zertifikate er verfügt, etwa ISO 27001 oder EuroCloud Star Audit SaaS.

Sicherheit in einer Cloud-Umgebung beginnt beim Anwender, der Cloud-Services nutzen möchte. Damit Datenschutzregeln greifen und Verstöße gegen Compliance-Vorgaben ausgeschlossen sind, muss der IT-Leiter wissen, welche Anwender Zugang zu welchen Informationen haben. Das betrifft auch privilegierte Nutzer wie Systemverwalter. Auf diesem Auge sind viele IT-Abteilungen blind. Mit Hilfe von Tools wie etwa der Shell Control Box (SCB) der ungarischen IT-Sicherheitsfirma Balabit lässt sich nachweisen, welche Änderungen ein Systemadministrator an Systemeinstellungen und Daten vorgenommen hat. Das gilt im Übrigen auch für die Mitarbeiter des Cloud-Service-Providers.

Rollenbasierte Administration

Auch wenn es aufwendig zu implementieren ist, sollte in einer Cloud-Umgebung ein rollengestütztes Authentifizierungsverfahren etabliert werden. Denn nicht jeder Nutzer respektive IT-Manager muss Zugang zu allen IT-Ressourcen haben. Hinzu kommt, dass es in vielen IT-Abteilungen leider Usus ist, dass Systemverwalter Passwörter untereinander austauschen, etwa um sich im Urlaub oder Krankheitsfall vertreten zu können. Auch dies sollte unterbunden werden, damit die Handlungen von IT-Mitarbeitern jederzeit transparent sind. Als Lösung bietet sich der Einsatz einer Multifaktor-Authentifizierung an, etwa auf Basis eines Einmal-Passworts in Verbindung mit einem Token oder Zertifikaten. Der Service-Provider wiederum muss klar- machen, wer außer ihm sonst noch Zugriff auf Kundendaten hat. Der US-Patriot-Act räumt beispielsweise amerikanischen Sicherheitsbehörden per se Zugang zu Daten aller Cloud-Service-Anbieter ein, die ihren Hauptsitz in den USA haben, ganz gleich, ob die Daten in einem Cloud-Data-Center in Europa oder den Vereinigten Staaten lagern. Dies ist für viele Cloud-Nutzer nicht akzeptabel.

So schützen Sie sich vor Cloud Katastrophen
"Die Cloud hat keine Fehler, die es zuvor nicht auch beim In-House-Betrieb gegeben hat", meint Rackspace CSO Moorman. Eine absolute Sicherheit gibt es auch mit der Cloud nicht. Wer sich dessen bewusst ist, wird nicht unvorbereitet in einen Wolkenbruch geraten. Unsere Tipps für Sie:

Tipp 1:
Wenn Sie einen Teil ihrer IT in die Cloud verlagern wollen, sollten sie bei der System-Planung Verluste und Ausfälle von Anfang an berücksichtigen.

Tipp 2:
Wenn es um ihre Daten geht, sollte Sie nicht auf andere vertrauen, sondern sich selber darum kümmern. Sorgen Sie selbst für ein Backup und überprüfen sie das Disaster Recovery-Setup Ihres Cloud-Providers.

Tipp 3:
Es ist nicht unbedingt nötig, alle Daten doppelt zu sichern. Ein zusätzliches Backup der kritischsten Daten kann aber sinnvoll sein.

Tipp 4:
Cloud-Nutzer sollten gründlich auf die Sicherungsmechanismen achten und eventuell vorsorglich eine Backup- oder Offline-Zugriffs-Lösung aufsetzen.

Tipp 5:
Bei Cloud-Diensten kann es sinnvoll sein, Daten auf verschiedenen Servern in unterschiedlichen Rechenzentren zu sichern – Es lohnt sich auch, die Dienste mehrerer Provider zu nutzen.

Tipp 6:
Sie sollten sich folgende Frage stellen: Ist es für unser Unternehmen tragbar, wenn Geschäftsdaten temporär nicht abrufbar sind?

Server in der EU

Wie wichtig deutschen Nutzern von professionellen Cloud-Diensten dieser Punkt ist, belegt eine Studie der Beratungsgesellschaft PriceWaterhouseCoopers (PwC) zur Akzeptanz von Cloud Computing im Mittelstand: Demnach wissen zwei Drittel der deutschen Nutzer von Cloud-Diensten, in welchem Land ihre Daten verarbeitet werden. Keine der befragten Firmen nutzte wissentlich Services, bei denen Unternehmensinformationen auf Servern und Speichersystemen außerhalb der EU oder Deutschlands lagerten.

Security schließt das RZ mit ein

Ein Faktor, auf den sowohl Nutzer als auch die Anbieter von Cloud-Diensten besonders achten sollten, ist die Sicherheit des Rechenzentrums, das die Services bereitstellt. Auch hier gilt: Nicht die Verantwortung auf den externen Dienstleister abschieben, sondern zunächst potenzielle Risiken im eigenen Haus ausschalten. Erst dann, wenn der Anwender seine Hausaufgaben erledigt hat, sollte er die Rechenzentren des Cloud-Service-Providers unter die Lupe nehmen. Das gilt vor allem für

• das Gebäude: Sicherheitsmaßnahmen sind beispielweise Überwachungskameras, die physische Trennung von Bereichen mit unterschiedlichen Sicherheitsanforderungen, eine umfassende Schulung von Mitarbeitern und die Zertifizierung nach ISO 27001, SAS 70 oder anderen Standards.

• das Netzwerk: Einsatz von Firewalls, Intrusion-Detection- und -Prevention-Systemen.

• die Server- und Storage-Systeme: Hier bietet es sich für Interessenten an, selbst einen Blick auf die IT-Infrastruktur zu werfen und sich Resultate von Audits und Lasttests zeigen zu lassen. Auch Disaster-Recovery-Funktionen sollten vorhanden sein, etwa das Spiegeln von Datenbeständen und Anwendungen an mehreren Standorten oder ein Ausfallrechenzentrum.

• das Personal des Providers und dessen Qualifikation: Auch in diesem Fall sind Prüfungen direkt vor Ort zu empfehlen.

Cloud Computing Checkliste
Wenn Fachbereiche ohne Wissen der IT Cloud-Services beschaffen, entsteht früher oder später eine "Schatten-IT". Hier erfahren Sie, wie Sie die Datensicherheit im Unternehmen erhöhen und dieser Schatten-IT entgegenwirken können. Hierzu sollten die Verantwortung und Aufgaben der Cloud-Strategie, Unternehmensleitung und IT-Abteilung klar geregelt sein.

Die zentrale Cloud-Strategie …
legt fest, wie eine Private Cloud im Unternehmen organisiert wird.

Die zentrale Cloud-Strategie …
bestimmt, welche SaaS-Anwendungen aus der Public Cloud beziehbar sind.

Die zentrale Cloud-Strategie …
regelt, wie virtuelle Server in Public Clouds zu nutzen sind (Stichwort IaaS).

Die zentrale Cloud-Strategie …
definiert die Zuständigkeiten der Abteilungen bei der Bestellung von Cloud-Leistungen und Vertragsverhandlungen.

Die zentrale Cloud-Strategie …
enthält Vorgaben für Datenschutz und Datensicherheit bei der Cloud-Nutzung.

Die zentrale Cloud-Strategie …
untersagt den Mitarbeitern den eigenmächtigen Einsatz von Cloud-Services.

Die Unternehmensleitung muss …
IT-Richtlinie im Unternehmen erlassen und für die Umsetzung sorgen.

Die Unternehmensleitung muss …
das nötige Know-how zu Cloud-Verträgen im Unternehmen sicherstellen - durch Schulungen, Entwicklung von Standards und Musterregelungen.

Die Unternehmensleitung muss …
das Zusammenwirken der Abteilungen bei Vertragsverhandlungen koordinieren.

Die IT-Abteilung schließlich …
erarbeitet ein detailliertes Sicherheitskonzept für die Unternehmens-IT und prüft es laufend.

Die IT-Abteilung schließlich …
untersucht die Möglichkeiten zur Einbindung von Cloud-Services in Unter-nehmens-IT.

Die IT-Abteilung schließlich …
berät die Unternehmensleitung bei der Entwicklung der Cloud-Strategie und deren Umsetzung.

Die IT-Abteilung schließlich …
wirkt an Verhandlungen zu SaaS- und Cloud-Verträgen mit, prüft laufend deren Einhaltung, löst auftretende Probleme.

Die IT-Abteilung schließlich …
schult Mitarbeiter aller Abteilungen zu Datensicherheit.

Datenübermittlung absichern

Das klassische Modell "Innerhalb/außerhalb der Firewall" greift in Cloud-Computing-Umgebungen nicht mehr, weil die Grenzen zwischen firmeninternen IT-Ressourcen und denen des Cloud-Service-Providers fließend sind. Als zentrale Sicherheitseinrichtung an den Eingangs- und Ausgangpunkten einer Cloud-Umgebung dienen Security-Gateways. Sie haben unter anderem folgende Aufgaben:

• die Absicherung des Transports von Daten inklusive Verschlüsselung, Protokoll-Bridging und Authentifizierung bei Zugriff auf Daten und Anwendungen,

• Schutz vor Bedrohungen wie XML-Denial-of-Service-Angriffen (XDoS), Viren und dem unerlaubten Transfer von Daten (Data Leakage),

• Logging und Monitoring von Benutzeraktivitäten, auch denen von Systemverwaltern,

• Absicherung des Informationsflusses zwischen dem Cloud-Service-Provider und den Anwendern. Das schließt die Verschlüsselung dieser Transfers mit ein. Dies kann etwa mit Hilfe von XML-Encryption erfolgen.

Der gesamte Datenverkehr zwischen dem Anbieter und dem Nutzer von Cloud-Diensten muss über gesicherte Kanäle laufen. Neben Verschlüsselungstechniken sollten digitale Signaturen eingesetzt werden, außerdem Lösungen für die Zugangskontrolle zu Systemen und Anwendungen (Access Control).

Für IT-Verantwortliche bedeutet es einen Mehraufwand, die Sicherheit des Datentransports zum und vom Cloud-Service-Provider zu gewährleisten - ein Punkt, den viele Anbieter von Cloud-Diensten nicht ansprechen. Um potenziellen Bedrohungen auf der Applikationsebene vorzubeugen, muss der Anwender beispielsweise über detaillierte Kenntnisse der APIs (Application Programming Interfaces) und der Sicherheitsfunktionen der Anwendungen verfügen, die über eine Cloud genutzt werden. Viele Cloud-Service-Provider bieten vorgefertigte "Connectors", über die Applikationen an eine Cloud-Umgebung angeflanscht werden. Das Problem: Wie es um die Qualität dieser Konnektoren bestellt ist, bleibt meist unklar.

So finden Sie den richtigen Cloud-Anbieter
Sicherheit und Kontrolle in der Cloud? Das muss sich nicht widersprechen, wenn der Anwender bei der Auswahl seines Cloud-Anbieters auf einige Kriterien achtet. Fünf Aspekte, die Sie bei der Wahl des Providers berücksichtigen sollten.

1. Datenspeicherung in der EU
Der Cloud-Anbieter muss preisgeben, an welchen Orten er Daten und Anwendungen speichert und verarbeitet. Es sollten ausschließlich Standorte in der EU, besser noch in Deutschland, akzeptiert werden. Wenn weitere Subunternehmer beteiligt sind, müssen diese benannt werden.

2. Sicherheitsarchitektur
Der Provider sollte die Konzeption seiner Sicherheitsarchitektur darlegen können. Dies schließt einzelne Systemkomponenten ebenso wie infrastrukturelle und technische Aspekte ein. Insbesondere sollte dabei klar werden, wie bei mandantenfähigen Systemen - so genannten Multi-Tenant-Systemen - eine verlässliche Trennung der Kunden gewährleistet wird. Angaben zur Sicherheitsarchitektur umfassen zum Beispiel Informationen zum Rechenzentrum, zur Netzsicherheit und zur Verschlüsselung.

3. Rechte-Management
Der Anbieter sollte erklären können, wie er Nutzer sicher identifiziert. Dazu gehört etwa eine Erläuterung seines ID-Managements und wie er damit sicherstellt, dass der "normale" Anwender etwa im Unterschied zum Administrator nur Zugriff auf Daten hat, die für ihn vorgesehen sind.

4. Datenschutz
Speichert oder verarbeitet der Cloud-Anbieter personenbezogene Angaben, dann ist ein Datenschutz nach deutschem Recht zu gewährleisten. Dar- über hinaus sollte der Anwender prüfen, inwieweit Datenschutzrichtlinien und -gesetze, denen er selber unter- liegt, vom Cloud-Anbieter eingehalten werden können.

5. Datenimport und -export
Grundsätzlich sollte klargestellt werden, dass die Daten im Besitz des Kunden bleiben. Der Nutzer muss deshalb auch die Möglichkeit haben, seine Daten jederzeit wieder exportieren zu können. Das ist nur möglich, wenn relevante Daten in einem anbieterunabhängigen Format gespeichert oder aber in ein solches umgewandelt werden können.

Rechtliche Regelungen

Doch Maßnahmen auf technischer Ebene reichen nicht aus, um die Sicherheit von Cloud-Computing-Services zu gewährleisten. Notwendig sind entsprechende rechtliche Rahmen. Daran hapert es aber noch. "Begrüßenswert ist, dass immer mehr Länder zu der Frage, wie mit Datenschutz umgegangen wird, Stellung beziehen", schildert Security-Spezialist Peter die Entwicklung: "Langfristig wird es mehr lokale und regionale Cloud-Dienste geben, die unterschiedlichen regionalen Ansprüchen besser gerecht werden." (hi)