Anweder in der Pflicht
CW: Den Schwarzen Peter hat also der Anwender - er muss prüfen, was der Cloud-Anbieter unter Security versteht?
HÜLSMANN: Ja, so können Sie das formulieren. Es fehlt ein Security-Zertifikat, auf das sich Anwender ähnlich wie auf ein TÜV-Siegel verlassen können und das einen Vergleich ermöglicht. Verbände und Insitutionen wie eco, Bitkom oder das BSI arbeiten an entsprechenden Entwürfen.
CW: Wo sehen Sie konkrete Sicherheitsprobleme?
Foto: Victor Zastolskiy, Fotolia.de
HÜLSMANN: Neben der Frage, ob das eigene Unternehmen überhaupt Cloud-bereit ist, sehe ich hier vor allem zwei Security-Aspekte. Zum einen sind das rechtliche Risiken etwa im Zusammenhang mit Datenschutz, Governance, EU-Recht oder Safe Harbor, und auf der anderen Seite technische Risiken. Und hier gibt es Unterschiede zur dedizierten Welt. Was passiert etwa, wenn ein Server beschlagnahmt wird, auf dem auch noch andere Kunden laufen? Hier ist die Rechtsprechung noch nicht in der Cloud angekommen.
CW: Sehen Sie noch andere technische Risiken?
HÜLSMANN: Ja, ein Punkt wird oft übersehen. So wie die IT heute in eine Produktionsumgebung eingebunden ist, hat das Unternehmen in der Regel keine Probleme mit der Leitungsanbindung. In der Cloud dagegen gehen die Daten aus der Produktionsumgebung über Leitungswege in ein Rechenzentrum, das irgendwo stehen kann. Und diese Verbindungen haben ebenfalls eine gewisse Verfügbarkeit, weshalb gemanagte und überwachte Leitungen verwendet werden sollten, damit der Zugang zur Cloud gewährleistet ist. Was nutzt eine fast 100 Prozent verfügbare Cloud, wenn für die Leitungen keine belastbaren SLAs existieren?
CW: Gibt es Unterschiede zwischen großen und kleinen Unternehmen in Sachen Cloud-Readyness?
HÜLSMANN: Die Großunternehmen achten bei der Cloud sehr viel stärker auf Kostenvorteile, da sie bereits seit zehn Jahren Erfahrungen in Sachen Outsourcing haben. Mittelständler halten dagegen noch viel mehr die IT im eigenen Haus. Gleichzeitig haben wir die Erfahrung gemacht, dass bei Cloud-Projekten häufig nicht mehr der IT-Leiter der Ansprechpartner ist, sondern die Fachabteilung. Die interessiert sich oft nicht für die technische Plattform, sondern nur noch für die Time to Market und die Kosten.
Die Cloud versetzt letztlich die Fachabteilungen in die Lage, sich sehr schnell den Zugang zu Produktionumgebungen zu verschaffen, wo früher der IT-Leiter als eine Art Monopolist im Unternehmen über die Verfügbarkeit bestimmte. Hier entsteht ein neues Sicherheitsrisiko, denn mit den Cloud-Services kann schnell und einfach ein Bypass an der IT-Abteilung vorbei gelegt werden. Wenn die IT-Abteilung also nicht aufpasst und selbst eine Cloud-Strategie entwickelt, läuft sie Gefahr, von der Entwicklung überrollt zu werden.
CW: Wie kann ein IT-Leiter gegensteuern?
HÜLSMANN: Der IT-Leiter muss sich mehr als Enabler verstehen und in Prozessen denken. Sein Personal muss weg vom Image des IT-Betreibers und Systemadministrator und sich zu einem Servicepartner wandeln.
CW: Wer haftet, wenn der Provider zum Beispiel 100 Prozent Virenfreiheit zusichert?
HÜLSMANN: Pauschal kann ich das nicht beantworten, denn das hängt vom jeweiligen Cloud-Modell ab. Hier sehe ich in der Public Cloud folgende Entwicklung: Weil die Anwender ja Services laufend ab- und zubestellen wollen, wird man zu Standard-AGBs kommen, in denen Sicherheit dann ein Unterpunkt ist. Der User wird also ein Standard-Set mit Standard-Services und -Verträgen erhalten, die ein schnelles Kommen und Gehen ermöglichen. Verschärfte SLAs etc. wird es in meinen Augen in der Public Cloud nicht geben, da dies weg vom On-Demand-Gedanken führen würde. Anders sieht es in der Private Cloud mit festen Laufzeiten und Verträgen aus. (mhr)
- Die schlimmsten Cloud-Ausfälle
Unsere Kollegen von der InfoWorld haben die zehn schlimmsten Cloud Katastrophen zusammengetragen, die wir Ihnen nicht vorenthalten wollen - Sidekick
Die Besonderheit des Sidekick-Dienstes: Persönliche Daten, Adressen oder Kalendereinträge, können direkt in einer Cloud gesichert werden. So sollen alle Daten auch bei Geräteverlust schnell wiederhergestellt werden. Das versprach zumindest die Werbung. Doch gerade dieser Cloud Service hatte im Herbst 2009 einen Ausfall. Als Folge konnten alle Nutzer eine Woche lang nicht mehr auf Kontakte, Termine und andere Daten zugreifen, die auf Servern gespeichert waren, welche von Microsoft betrieben wurden. Schlimmer noch, es waren nicht einmal Backups angelegt worden. Somit gingen alle persönlichen Daten für immer verloren, sofern sie der Nutzer nicht zusätzlich lokal gesichert hatte. - Googlemail
Googlemail ist mittlerweile auch für Geschäftskunden eine lohnende Alternative zu Microsoft Exchange. Aber auch dieser Cloud-Dienst ist vor Ausfällen nicht gefeit. Eine besonders schlimmer Software-Bug sorgte dafür das rund 150000 Google-Kunden auf leere Posteingänge blickten. Alle Nachrichten, Ordner oder Notizen waren weg. Dank einer Reihe von Sicherungen konnte Google zwar alle Daten wiederherstellen, aber nichtsdestotrotz hatten Anwender tagelang keinen Zugriff auf ihre E-Mails. - Hotmail
Googlemail ist jedoch nicht der einzige Mail-Dienst mit Ausfällen. Auch Microsofts Hotmail hatte, neben einem Phishing-Angriff, bei dem zehntausend Hotmail-Konten ausgespäht wurden, mit leeren Postfächern zu kämpfen. Ein Script sollte eigentlich nur überflüssige Dummy-Accounts löschen. Leider wurden von diesem Skript auch 17 000 real existierende Accounts gelöscht. Aber auch in diesen Fall wurden alle Daten wiederhergestellt, auch wenn einige Nutzer bis zu sechs Tage auf ihre Neujahrswünsche warten mussten. - Intuit
2010 hatte Intuit mit seinen Cloud-Services wie TurboTax, Quicken oder Quickbooks zwei Ausfälle innerhalb eines Monats. Vor allem eine Störung über 36 Stunden im Juni verärgerte die Kunden. Ein Stromausfall hatte die Systeme inklusive Backups lahmgelegt – leider erlitt Intuit wenige Wochen später einen weiteren Stromausfall. - Microsofts BPOSS
Es ist nicht einfach produktiv zu arbeiten, wenn die als SaaS eingebundene Arbeitsumgebung nicht mehr erreichbar ist. Am 10. Mai stocke die Microsoft Business Productivity Online Standard Suite. So gingen E-Mails erst mit neun Stunden Verzögerung ein. Die Störung wurde zwar schnell behoben, trat aber zwei Tage später wieder auf. Noch dazu hatten einige Nutzer nicht einmal mehr die Möglichkeit sich in Outlook einzuloggen. - Salesforce.com
Eine Stunde Ausfall klingt nicht nach viel. Wenn aber ein Dienst nicht mehr erreichbar ist, über den zehntausend Firmen ihren Kundendienst laufen lassen, können 60 Minuten sehr lange sein. Der Rechenzentrumsausfall von Salesforce.com im Januar brachte einige wütende Kunden hervor. - Terremark
Der Cloud-Anbieter Terremark, der kürzlich für einige Milliarden US-Dollar von Verizon gekauft wurde, geriet Anfang 2010 wegen einer Störung in die Schlagzeilen. Am 17. März kam es zu einem Ausfall in einem Rechenzentrum in Miami. In Folge kollabierte der vCloud Express-Service und auf sämtliche Daten konnte sieben Stunden lang nicht mehr zugegriffen werden. - PayPal
Paypal ist ein großer Anbieter im Bereich E-Payment, somit hat ein Ausfall potentiell dramatische wirtschaftliche Folgen. Ein Hardware-Problem legt im Sommer 2009 den Bezahldienst für eine Stunde lang lahm. Keine schöne Erfahrung für Händler wie Kunden, die ihre Waren online ein- und verkaufen wollten. - Rackspace
Ende 2009 musste Rackspace drei Millionen Dollar an seine Kunden zurückzahlen. Der Betreiber hatte mit mehreren technischen Problemen zu kämpfen und die gehosteten Websites gingen dabei jedes Mal offline. Für die Kunden wie Justin Timberlake oder TechCrunch eine kostenintensiver Ausfall. Heute achtet Rackspace nicht nur darauf, solche Ausfälle zu vermeiden, sie informieren die Kunden auch, dass manche Ausfälle unvermeidlich sind.
T-Systems-Tochter Itenos
Die Itenos GmbH mit Sitz in Bonn ist ein IT-Dienstleister, der sich mittlerweile auf Sicherheitsthemen spezialisiert hat. Das Unternehmen entstand 1993 als Expertengruppe für Datenkommunikation und Netzwerk-Management. Heute ist die Firma, die rund 165 Mitarbeiter beschäftigt, eine 100-prozentige Tochter der T-Systems und in den Telekom-Konzern integriert. Ursprünglich konzentrierte sich Itenos auf Themen wie Datenkommunikation und Netz-Management, jetzt liegt der Schwerpunkt auf Security-Services. in der Cloud.