Paul Hülsmann von Itenos

Cloud-Sicherheit muss der Anwender fordern

12.09.2011
Wie wirkt sich die Cloud auf die Sicherheitsstruktur des Kunden aus? Darüber diskutierte Paul Hülsmann, Vorsitzender der Geschäftsführung beim Security-Dienstleister Itenos, mit CW-Redakteur Jürgen Hill.

CW: Cloud-Provider behaupten gerne, dass die Datenverarbeitung in der Wolke sicherer sei als im Rechenzentrum des Anwenders. Wie sehen Sie das?

Paul Hülsmann, Vorsitzender der Geschäftsführung bei Itenos
Paul Hülsmann, Vorsitzender der Geschäftsführung bei Itenos
Foto: Itenos

HÜLSMANN: Tatsächlich konnten wir gerade im Mittelstand beobachten, dass die IT, egal als welchen Bestandteil in der Wertschöpfungskette man sie betrachtet, sicherer wurde, wenn sie in professionelle Hände gegeben wurde. Das sind zum einen sicher Skaleneffekte. Und in puncto Sicherheit, wo wir ja seit Jahren über Outsourcing sprechen und Kunden Teile ihrer IT auslagern oder gleich komplett in ein externes Rechenzentrum umziehen, erleben sie oft einen Sicherheits-Zugewinn, weil elementare Grundregeln zuvor nicht eingehalten wurden.

CW: Das heißt konkret?

HÜLSMANN: Nehmen Sie ein Beispiel aus der Praxis, das wir wirklich so erlebt haben. Bei einem Anwender fanden wir einen Server-Rack vor, der auf einer Euro-Palette stand. Warum? Nun, der Server musste öfter mit einem Hubwagen zur Seite geschoben werden, weil man sonst nicht an die Schränke dahinter kam. Das ist nur ein Beispiel, das Gros der Mittelständler geht sicher verantwortunsgbewusster mit seiner IT um. Aber es zeigt, dass Sicherheit vor Ort von den Mittelständlern nicht immer gewährleistet werden kann.

CW: Dass Server durch die Gegend gefahren werden, ist wohl eher die Ausnahme. Wie sieht es mit der technischen Infrastruktur aus?

HÜLSMANN: Viele Mittelständler, aber auch große Unternehmen sind nicht in der Lage, mit der technischen Innovationsgeschwindigkeit, die auch im Security-Umfeld anzutreffen ist, Schritt zu halten. Oft sind sie an Abschreibungsfristen gefesselt, oder es fehlt im Haus das Know-how, das nötig wäre, um neue Entwicklungen aufzugreifen. Die hauseigene IT ist immer so gut, wie es einem der eigene IT-Leiter weismachen will.

CW: Ist es nicht so, dass Provider auch viel höheren Risiken ausgesetzt sind? Für einen Cracker ist es doch interessanter, ein Telekom-RZ anzugreifen als einen Mittelständler.

HÜLSMANN: Der Gedanke liegt nahe. Auf der anderen Seite steht bei großen Unternehmen ein viel breiteres Arsenal an Abwehrwaffen zur Verfügung. Hier wird eine Managed Firewall effizienter und sicherer betrieben als bei einem Mittelständler. Deshalb wird die zusätzliche Bedrohung mehr als ausgeglichen.

CW: Angenommen, Sie hätten mich in Sachen Cloud überzeugt: Welche Konsequenzen hat eine Cloud-Migration für meine Security-Strategie?

HÜLSMANN: Das hängt davon ab, auf welcher Ebene Sie einsteigen wollen und welches Cloud-Modell Sie wählen.

CW: Also ist die Strategie davon abhängig, ob Public oder Private Cloud?

HÜLSMANN: Ja, so haben wir in der Private Cloud eher das Modell des User Self Service. Der Provider oder Partner liefert die Infrastruktur bis hinauf zur Ebene der virtuellen Maschine und sorgt in diesem Bereich auch für die Sicherheit durch Zungangskontrolle, Redundanz etc. Auf die virtuelle Maschine aber kann der User die gleichen Images aufspielen, die er bislang auf seinen dedizierten Rechnern genutzt hat. Er ist für alle Ebenen oberhalb des Infrastruktur-Levels verantwortlich.

CW: Das bedeutet in der Praxis?

HÜLSMANN: Der Anwender sollte erst einmal seine Applikationen analysieren. Was will er in die Cloud auslagern? Hier gibt es sicher Anwendungen die nicht so wichtig sind, und lebenswichtige Applikationen, für die es ein Sicherheitskonzept gibt. Und dieses Konzept muss der Anwender im Detail analysieren, um sich dann mit dem Cloud-Partner zusammenzusetzen. Der Anwender muss sein Konzept in die Cloud hineinprojizieren und entsprechende Anforderungen an den Provider richten.

CW: Wie sollte er die formulieren?

HÜLSMANN: Der Anwender sollte auf alle Fälle SLAs vereinbaren. Genauso wie die IT intern Service-Level-Agreements gegenüber den Fachabteilungen zu erfüllen hat, sollte sie extern vom Cloud-Partner entsprechende SLAs einfordern. Deren Definition stellt sich oft als Stolperstein heraus.

CW: Wo sehen Sie typische Probleme?

HÜLSMANN: Nehmen Sie als ganz einfaches Beispiel die Verfügbarkeit. Eigentlich geht man davon aus - und die Netzanbieter kalkulieren so -, dass diese auf ein Jahr gerechnet wird. Etliche Anwender meinen jedoch, dass sich die Verfügbarkeit auf einen Monat bezieht. In der Praxis ist das ein enormer Unterschied. Deshalb sollten die Anwender bei SLA-Verhandlungen darauf achten, worüber geredet wird und ob beide Seiten unter einem Begriff das Gleiche verstehen.

CW-Webcast

Die Magie der Cloud - Mehr Effizienz und Flexibilität durch "Best automated Storage"

Sprechen wir schon von Cloud Computing as a Service? 7 von 10 deutschen Unternehmen arbeiten an einer eigenen Cloud-Strategie. Um die Daten-„Explosion“ zu bewältigen, braucht es effiziente Lösungen. Mehe. Am 22. September 2011 um 11:00 / 1 Stunde. > Zur Anmeldung

Inhalt dieses Artikels