Glaubt man Marktforschern, wird Cloud Computing in den kommenden Jahren in Deutschland eine maßgebliche Rolle spielen. Die Marktforschungsgesellschaft Experton Group geht davon aus, dass der Umsatz mit Cloud-Produkten 2012 ein Volumen von 3,1 Milliarden Euro erreicht. Für 2015 erwarten die Berater schon mehr als 8,5 Milliarden Euro. Die Anbieter von Cloud-Services, der dafür erforderlichen Hard- und Software sowie von Beratungsleistungen hören das natürlich gerne.
Dennoch ist die Stimmung getrübt. Denn viele der - potenziellen - Anwender von Cloud-Diensten stehen der Idee, IT-Dienste "aus der Wolke" zu beziehen, kritisch gegenüber. Ein wesentlicher Grund: Angst um die Sicherheit unternehmenskritischer Daten und Furcht vor der Verletzung von Compliance-Regeln. Eine Umfrage der Beratungsgesellschaft Deloitte unter IT-Leitern westeuropäischer Unternehmen im Jahr 2011 ergab beispielsweise, dass mehr als die Hälfte der Fachleute den Verlust der Kontrolle über Daten und Anwendungen sowie die unzureichende Datensicherheit noch als schwere Mängel des Cloud-Konzepts betrachten. Weitere Kritikpunkte: die Gefahr, sich einem Anbieter auszuliefern, und Zweifel daran, dass ein Anbieter Cloud-Computing-Services langfristig zur Verfügung stellen kann.
"Die offenen Fragen in puncto Datensicherheit und -schutz in Public-Cloud-Umgebungen bremsen das Wachstum von Cloud-Diensten derzeit noch aus", räumt Alexander Peter ein, Certified Information Systems Security Professional (CISSP) bei der IT-Sicherheitsfirma Symantec. "Auf der einen Seite lassen sich bekannte Security- und Compliance-Lösungen einsetzen, darunter Data Loss Prevention, Verschlüsselung und eine starke Authentifizierung", so der Fachmann. "Sehr oft werden diese Lösungen jedoch in einem antiquierten Perimeter-Kontext verwendet - also in dem Irrglauben, dass es noch ein 'Innen' und 'Außen' gibt, und der Vorstellung, dass Gefahren nur von außen kommen."
Diese Denkweise ist Peter zufolge falsch. Wichtig sei vielmehr ein informationszentrierter Ansatz zur IT-Sicherheit. Dieser berücksichtige, wo welche Informationen gespeichert seien und wie sie gesichert würden.
Checkliste Cloud-Wahl
Wer einen Cloud-Computing-Dienst nur anhand des Serviceportfolios oder des günstigen Preises auswählt, handelt fahrlässig. In Bezug auf Sicherheit und Compliance sollte auf folgende Punkte geachtet werden:
-
Sicherheitszertifikate,
-
Compliance-Zertifikate,
-
Branchenspezifika,
-
Anbieter mit Sitz in Deutschland oder der EU,
-
Risikobewertung,
-
renommierte Auditoren,
-
passende Kundenstrukturen, wen bedient der Provider primär? Großunternehmen oder Mittelständler?
Cloud-Sicherheit im Überblick
Unternehmen, die Cloud-Dienste auf sichere Art betreiben oder nutzen möchten, sollten auf folgende Bereiche achten:
-
Die Datenintegrität und Datensicherheit sicherstellen, inklusive Regeln für den Datenzugriff.
-
Bei Public- und Hybrid-Cloud-Diensten: einen Service-Provider identifizieren, der über ein sicheres Data Center mit gut geschultem Personal und Sicherheitsfunktionen verfügt.
-
Vorsorge für den sicheren Transport der Daten zwischen dem eigenen Rechenzentrum und dem Cloud-Data-Center treffen.
-
Prüfen, welche Datensicherheitsregelungen und Compliance-Standards ein Provider berücksichtigt und über welche Zertifikate er verfügt, etwa ISO 27001 oder EuroCloud Star Audit SaaS.
Sicherheit in einer Cloud-Umgebung beginnt beim Anwender, der Cloud-Services nutzen möchte. Damit Datenschutzregeln greifen und Verstöße gegen Compliance-Vorgaben ausgeschlossen sind, muss der IT-Leiter wissen, welche Anwender Zugang zu welchen Informationen haben. Das betrifft auch privilegierte Nutzer wie Systemverwalter. Auf diesem Auge sind viele IT-Abteilungen blind. Mit Hilfe von Tools wie etwa der Shell Control Box (SCB) der ungarischen IT-Sicherheitsfirma Balabit lässt sich nachweisen, welche Änderungen ein Systemadministrator an Systemeinstellungen und Daten vorgenommen hat. Das gilt im Übrigen auch für die Mitarbeiter des Cloud-Service-Providers.
Rollenbasierte Administration
Auch wenn es aufwendig zu implementieren ist, sollte in einer Cloud-Umgebung ein rollengestütztes Authentifizierungsverfahren etabliert werden. Denn nicht jeder Nutzer respektive IT-Manager muss Zugang zu allen IT-Ressourcen haben. Hinzu kommt, dass es in vielen IT-Abteilungen leider Usus ist, dass Systemverwalter Passwörter untereinander austauschen, etwa um sich im Urlaub oder Krankheitsfall vertreten zu können. Auch dies sollte unterbunden werden, damit die Handlungen von IT-Mitarbeitern jederzeit transparent sind. Als Lösung bietet sich der Einsatz einer Multifaktor-Authentifizierung an, etwa auf Basis eines Einmal-Passworts in Verbindung mit einem Token oder Zertifikaten. Der Service-Provider wiederum muss klar- machen, wer außer ihm sonst noch Zugriff auf Kundendaten hat. Der US-Patriot-Act räumt beispielsweise amerikanischen Sicherheitsbehörden per se Zugang zu Daten aller Cloud-Service-Anbieter ein, die ihren Hauptsitz in den USA haben, ganz gleich, ob die Daten in einem Cloud-Data-Center in Europa oder den Vereinigten Staaten lagern. Dies ist für viele Cloud-Nutzer nicht akzeptabel.
Server in der EU
Wie wichtig deutschen Nutzern von professionellen Cloud-Diensten dieser Punkt ist, belegt eine Studie der Beratungsgesellschaft PriceWaterhouseCoopers (PwC) zur Akzeptanz von Cloud Computing im Mittelstand: Demnach wissen zwei Drittel der deutschen Nutzer von Cloud-Diensten, in welchem Land ihre Daten verarbeitet werden. Keine der befragten Firmen nutzte wissentlich Services, bei denen Unternehmensinformationen auf Servern und Speichersystemen außerhalb der EU oder Deutschlands lagerten.
EU-Datenschutzrichtlinie und Cloud Computing
Am 25. Januar 2012 stellte EU-Justizkommissarin Viviane Reding Vorschläge für eine Neuordnung der EU-Datenschutzrichtlinie von 1995 vor. Sie sehen unter anderem folgende Punkte vor:
-
Innerhalb der EU wird eine einheitliche Datenschutzregelung etabliert.
-
Jedes Unternehmen, das personenbezogen Daten speichert oder verarbeitet, muss diese Regelungen respektieren. Das gilt auch für Firmen, die ihren Sitz im Ausland haben, jedoch in der EU Cloud-Services anbieten.
-
Firmen und öffentliche Einrichtungen mit mehr als 250 Mitarbeitern müssen einen Datenschutzbeauftragten bestimmen. In Deutschland ist dies bereits durch das Bundesdatenschutzgesetz vorgeschrieben.
-
Datenlecks müssen innerhalb von 24 Stunden den Betroffenen und Aufsichtsgremien gemeldet werden.
-
Nutzer von Cloud-Services haben das Recht, ihre Daten beim Wechsel des Providers mitzunehmen. Generell soll der Wechsel des Cloud-Service-Providers erleichtert werden.
-
Nutzer können verlangen, dass der Provider, etwa der Betreiber eines sozialen Netzwerks, ihre Daten löscht.
Unter Fachleuten sind viele dieser Regelungen umstritten. So stellt der Deutsche Anwaltsverein in einer Stellungnahme zu dem EU-Entwurf fest: "Eine Änderung der derzeitigen EU-Datenschutzrichtlinien, die das Cloud Computing erleichtert und gleichzeitig das Datenschutzniveau bewahrt, ist rein praktisch kaum vorstellbar." Das Kernproblem sei, dass Drittländer wie die USA andere Datenschutzkonzeptionen verfolgten und es daher nicht möglich sei, bei Cloud-Computing-Diensten einheitliche Datenschutz- und Sicherheitsregelungen durchzusetzen.
Die britische Anwaltskanzlei Bird & Bird wiederum begrüßt den Vorstoß. Sie moniert, dass es derzeit innerhalb der EU keine einheitlichen Datenschutzregeln gibt. Dies erschwere selbst innerhalb der EU die Nutzung von Cloud-Computing-Diensten. Allerdings bemängelt Bird & Bird, dass die neue Datenschutzregelung den Abschluss von benutzerspezifischen Service-Level-Agreements zwischen dem Anbieter und User von Cloud-Diensten zu stark einschränken könnte. Ein weiterer Kritikpunkt: Zwar will der EU-Entwurf den Wechsel zu einem anderen Cloud-Service-Provider erleichtern, es fehlt jedoch derzeit an technischen Standards für Cloud-Dienste. Solange diese nicht existierten, drohe weiterhin die Gefahr des "Vendor Lock-in".
Security schließt das RZ mit ein
Ein Faktor, auf den sowohl Nutzer als auch die Anbieter von Cloud-Diensten besonders achten sollten, ist die Sicherheit des Rechenzentrums, das die Services bereitstellt. Auch hier gilt: Nicht die Verantwortung auf den externen Dienstleister abschieben, sondern zunächst potenzielle Risiken im eigenen Haus ausschalten. Erst dann, wenn der Anwender seine Hausaufgaben erledigt hat, sollte er die Rechenzentren des Cloud-Service-Providers unter die Lupe nehmen. Das gilt vor allem für
-
das Gebäude: Sicherheitsmaßnahmen sind beispielweise Überwachungskameras, die physische Trennung von Bereichen mit unterschiedlichen Sicherheitsanforderungen, eine umfassende Schulung von Mitarbeitern und die Zertifizierung nach ISO 27001, SAS 70 oder anderen Standards.
-
das Netzwerk: Einsatz von Firewalls, Intrusion-Detection- und -Prevention-Systemen.
-
die Server- und Storage-Systeme: Hier bietet es sich für Interessenten an, selbst einen Blick auf die IT-Infrastruktur zu werfen und sich Resultate von Audits und Lasttests zeigen zu lassen. Auch Disaster-Recovery-Funktionen sollten vorhanden sein, etwa das Spiegeln von Datenbeständen und Anwendungen an mehreren Standorten oder ein Ausfallrechenzentrum.
-
das Personal des Providers und dessen Qualifikation: Auch in diesem Fall sind Prüfungen direkt vor Ort zu empfehlen.
Datenübermittlung absichern
Das klassische Modell "Innerhalb/außerhalb der Firewall" greift in Cloud-Computing-Umgebungen nicht mehr, weil die Grenzen zwischen firmeninternen IT-Ressourcen und denen des Cloud-Service-Providers fließend sind. Als zentrale Sicherheitseinrichtung an den Eingangs- und Ausgangpunkten einer Cloud-Umgebung dienen Security-Gateways. Sie haben unter anderem folgende Aufgaben:
-
die Absicherung des Transports von Daten inklusive Verschlüsselung, Protokoll-Bridging und Authentifizierung bei Zugriff auf Daten und Anwendungen,
-
Schutz vor Bedrohungen wie XML-Denial-of-Service-Angriffen (XDoS), Viren und dem unerlaubten Transfer von Daten (Data Leakage),
-
Logging und Monitoring von Benutzeraktivitäten, auch denen von Systemverwaltern,
-
Absicherung des Informationsflusses zwischen dem Cloud-Service-Provider und den Anwendern. Das schließt die Verschlüsselung dieser Transfers mit ein. Dies kann etwa mit Hilfe von XML-Encryption erfolgen.
Der gesamte Datenverkehr zwischen dem Anbieter und dem Nutzer von Cloud-Diensten muss über gesicherte Kanäle laufen. Neben Verschlüsselungstechniken sollten digitale Signaturen eingesetzt werden, außerdem Lösungen für die Zugangskontrolle zu Systemen und Anwendungen (Access Control).
Für IT-Verantwortliche bedeutet es einen Mehraufwand, die Sicherheit des Datentransports zum und vom Cloud-Service-Provider zu gewährleisten - ein Punkt, den viele Anbieter von Cloud-Diensten nicht ansprechen. Um potenziellen Bedrohungen auf der Applikationsebene vorzubeugen, muss der Anwender beispielsweise über detaillierte Kenntnisse der APIs (Application Programming Interfaces) und der Sicherheitsfunktionen der Anwendungen verfügen, die über eine Cloud genutzt werden. Viele Cloud-Service-Provider bieten vorgefertigte "Connectors", über die Applikationen an eine Cloud-Umgebung angeflanscht werden. Das Problem: Wie es um die Qualität dieser Konnektoren bestellt ist, bleibt meist unklar.
Rechtliche Regelungen
Doch Maßnahmen auf technischer Ebene reichen nicht aus, um die Sicherheit von Cloud-Computing-Services zu gewährleisten. Notwendig sind entsprechende rechtliche Rahmen. Daran hapert es aber noch. "Begrüßenswert ist, dass immer mehr Länder zu der Frage, wie mit Datenschutz umgegangen wird, Stellung beziehen", schildert Security-Spezialist Peter die Entwicklung: "Langfristig wird es mehr lokale und regionale Cloud-Dienste geben, die unterschiedlichen regionalen Ansprüchen besser gerecht werden." (hi)