Foto: Armin Weiler
An der Cloud führt im Prinzip kein Weg mehr vorbei. Darüber waren sich die Teilnehmer Dr. Werner Gutau, verantwortlich für die Sicherheit der Division Chip Card &Security der Infineon Technologies AG, Thomas Schott, ehemals CIO bei Rehau, Dr. Rolf Reinema, Head of Technology Field IT-Security bei der Siemens AG sowie Gerald Götz, CIO beim Städtischem Klinikum München, des COMPUTERWOCHE-Roundtable "Cloud-Security" einig. So sprach Thomas Schott, dessen Unternehmen seit 2007 auf eine Private Cloud setzt, für viele, wenn er meinte, die heute geforderte Agilität und Schnelligkeit im Geschäftsleben könne nur noch durch Cloud-Lösungen gewährleistet werden.
Ein differenzierteres Bild zeigt sich dagegen bei der Frage Private oder Public Cloud. Hier spielen gleich mehrere Aspekte eine Rolle. So war unter den Teilnehmern eine weit verbreitete Skepsis gegenüber den Public-Cloud-Angeboten hinsichtlich der Sicherheit zu spüren. "Für unsere sensiblen Daten kommt nur die Private Cloud in Frage", bekräftigte Götz, "zumal wir in der Public Cloud keinen deutlichen Vorteil sehen." Ferner wurde noch der Geschäftsnutzen vermisst und die Reife manches Cloud-Modells hinterfragt.
- Datenverlust
Wenn ein Datenverlust auftritt, drohen Geldbußen, Gerichtsprozesse und harte Strafen. Die Aufarbeitung des Ganzen und die Information der betroffenen Kunden verursachen erheblich Kosten. Indirekte Folgen wie Image- und Auftragsverluste sind noch gar nicht eingerechnet, die ein Unternehmen für Jahre beschäftigen können. - Gestohlene Benutzerdaten
Datenverluste und andere Angriffe folgen häufig aus einem zu lockeren Authentifizierungsprozess, aus zu schwachen Passwörtern und einem schlechten Schlüsselmanagement. Unternehmen kämpfen mit dem Thema Identitätsmanagement, wenn es um die Zuordnung von Zugriffsrechten auf Benutzerrollen geht. Wenn Mitarbeiter die Stelle wechseln oder das Unternehmen ganz verlassen, werden ihre Zugriffsrechte häufig zu spät oder gar nicht angepasst. - Geknackte Interfaces und APIs
Sicherheit und Verfügbarkeit von Cloud-Diensten - von der Authentifizierung über die Zugangskontrolle bis hin zu Verschlüsselung und Aktivitäten-Monitoring - hängen von der API-Sicherheit ab. Das Risiko steigt mit der Zahl von Drittanbietern, die auf der Grundlage der APIs neue Benutzeroberflächen entwickeln, weil diesen Unternehmen Zugriff auf Dienste und interne Daten gewährt werden muss. - Ausgenutzte Schwachstellen
Durch die verschiedenen Formen der Cloud-Nutzung auf Mietbasis werden Schwachstellen zu einem immer größeren Problem. Mehrere Unternehmen teilen sich denselben Arbeitsspeicher, Datenbanken und andere Ressourcen - was wiederum ganz neue Angriffsvektoren ermöglicht. - Account Hijacking
Phishing, Betrug und Software Exploits sind immer noch erfolgreich - Cloud-Services ergänzen diese Maschen um eine weitere Bedrohung, weil Angreifer nun Aktivitäten belauschen, Transaktionen manipulieren und Daten verändern können. - Insider mit bösen Absichten
Die Gefahr von innen hat viele Gesichter: ein aktueller oder ehemaliger Angestellter, ein Systemadministrator, ein Vertrags- oder Geschäftspartner. Es geht um die gesamte Palette - von Datendiebstahl bis hin zu Rache. Im Cloud-Umfeld kann ein fest entschlossener Insider die gesamte Infrastruktur zerstören und Daten manipulieren. - Der APT-Parasit
APTs (Advanced Persistent Threats) bewegen sich in der Regel seitlich durch ein Netzwerk und mischen sich unter den normalen Datenverkehr - entsprechend schwer sind sie zu entdecken. Die großen Cloud-Provider setzen fortschrittliche Sicherheitstechniken ein, um zu verhindern, dass ihre IT-Infrastruktur durch APTs beeinträchtigt wird. Dennoch sind ihre Kunden gut beraten, sich selbst ebenso sorgfältig auf mögliche Folgeschäden für ihre Cloud-Konten vorzubereiten wie sie das bei On-Premise-Systemen tun würden. - Dauerhafter Datenabfluss
Je reifer die Cloud wird, desto seltener kommt es zwar vor, dass Fehler seitens der Provider zu Datenverlusten führen. Hacker mit bösen Absichten sind aber bekannt dafür, dass sie Cloud-Daten dauerhaft löschen, um Unternehmen zu schaden. - Fehlende Sorgfalt
Gerade dort, wo ein Unternehmen in die Cloud migrieren oder mit einem anderen Unternehmen über die Cloud zusammenarbeiten möchte, ist gebührende Sorgfalt angebracht. Beispielsweise werden Unternehmen, die es versäumen, einen Vertrag eingehend zu prüfen, niemals wissen, wie zuverlässig und seriös der Vertragspartner im Falle eines Sicherheitsvorfalls vorgeht. - Missbrauch von Cloud-Diensten
Es kommt vor, dass Cloud-Services missbraucht werden, um damit kriminelle Aktivitäten zu unterstützenen. Um einen DDoS-Angriff (Distributed Denial of Service) zu starten oder eine Verschlüsselung zu knacken, braucht es eine leistungsstarke Hardwareumgebung - und Cloud-Ressourcen erfüllen dieses Kriterium. - DoS-Attacken
DoS-Attacken (Denial of Service) verbrauchen eine große Menge Rechnleistung - die Rechnung zahlt der Kunde. Auch wenn die breitbandigen DDoS-Angriffe weit verbreitet und gefürchtet sind - ebenso gewappnet sollten Unternehmen für assyametrische DoS-Attacken auf Anwendungsebene sein, die Sicherheitslücken in Webservern und Datenbanken betreffen. - Geteite Technik, doppelte Gefahr
Verschiedene Cloud Provider teilen sich Infrastruktur, Plattformen und Anwendungen - liegt irgendwo hier eine Verwundbarkeit vor, sind gleich alle betroffen. Wenn beispielsweise eine zentrale Komponente wie ein Hypervisor oder eine Anwendung erfolgreich angegriffen wurde, ist gleich die komplette Cloud-Umgebung unsicher.
Eine Meinung, die so nicht alle Diskussionsteilnehmer mittrugen. So fährt man etwa bei Siemens zweigleisig und setzt sowohl auf Public als auch Private Cloud. Gerade Standardprozesse wie etwa Reisekostenabrechnungen sahen etliche Teilnehmer gut in der Public Cloud aufgehoben. Für Infineon stellte Gutau fest, "Private Clouds haben wir bereits seit vielen Jahren. Für diese kommen aber angesichts der Sicherheitsproblematik nur ausgesuchte Services mit unkritischen Daten in Frage." So kann sich etwa Siemens-Manager Reinema gut vorstellen, dass etwa Anwendungen für das Smart Home standardmäßig aus der Cloud kommen. Grundsätzlich stellt sich für ihn aber die Frage, "wem gehören die Daten in der Cloud eigentlich?" und wie kann man durch mehr Transparenz dem gefühlten Kontrollverlust entgegenwirken. Wie wichtig diese Kontrollmöglichkeiten sind, verdeutlicht Infineon-Manager Gutau, "denn bei uns geht es neben dem Datenschutz oft um die Exportkontrolle in andere Länder und bei Verstößen drohen nicht selten harte Sanktionen".
Unbewusst in der Hybrid-Cloud?
Allerdings ist die Frage, ob sich diese Unterscheidung Private oder Public Cloud in der Praxis wirklich so eindeutig treffen lässt. Eventuell befinden sich viele Unternehmen bereits bewusst oder unbewusst in einer Hybrid Cloud, da ihre Mitarbeiter Public-Cloud-Dienste nutzen - und sei es nur auf dem eigenen Smartphone. Aber bekanntlich bestimmt ja das schwächste Glied einer Kette die Gesamtsicherheit.
Foto: Armin Weiler
CIO Götz drückt der Schuh in Sachen Cloud und Security an ganz anderer Stelle. "Uns lässt das bayerische Datenschutzgesetz keinen Spielraum", klagt Götz. "Die Cloud könnte nämlich für die Patienten einen Quantensprung bei der Behandlung bringen", schwärmt der IT-Verantwortliche. Götz denkt dabei etwa an folgendes Szenario: In der Notfallaufnahme eines Krankenhauses könnten die Helfer dann sofort mit der Behandlung beginnen, statt langwierig Blutgruppe und Vorerkrankungen etc. zu recherchieren, weil sie diese Daten aus der Cloud direkt auf das Tablet erhielten. Gerade im medizinischen Umfeld lassen sich viele Anwendungsfälle finden, die von Cloud-Lösungen profitieren würden, wenn es denn die Gesetzeslage erlauben würde, "die Sicherheitstechnik ist nicht das Problem", so Götz.