BSI gibt Empfehlungen
Die Projekte behandeln Themen wie das Risiko eines bewussten oder unbewussten Datenmissbrauchs, die vertrauenswürdige Realisierung von Identitäten in der Cloud oder die Implementierung einer gesetzeskonformen und sicheren Serviceplattform. Darüber hinaus hat das Bundesamt für Sicherheit in der Informationstechnik (BSI) ein Eckpunktepapier mit Sicherheitsempfehlungen für Cloud-Computing- Anbieter und Mindestsicherheitsanforderungen in der Informationssicherheit veröffentlicht. Weitere nationale Initia-tiven sind die herstellerunabhängige Nationale Initiative für Informations- und Internet-Sicherheit (NIFIS e.V.), die das Thema Internet-Security interdisziplinär behandelt, und der Verband EuroCloud Deutschland_eco, der sich für Akzeptanz und bedarfsgerechte Bereitstellung von Cloud-Services am deutschen Markt einsetzt sowie Cloud-Dienste zertifiziert. Auf internationaler Ebene zählen die CSA und die Europäische Agentur für Netz- und Informationssicherheit (engl. European Network and Information Security Agency = ENISA) zu den bedeutendsten Initiativen. Bei der CSA handelt es sich um eine Non-Profit-Organisation, die sich vorgenommen hat, die Akzeptanz des Sicherheits-Managements in der Cloud zu erhöhen und sichere Praktiken dafür zu etablieren.
- Die 10 größten Security-Risiken in der Cloud
Lesen Sie, welche Security-Risiken der Einsatz einer Public oder Hybrid Cloud birgt und was Sie dagegen tun können. - Verletzung der Vertraulichkeit und Integrität der Daten:
Eine Lokalisierung der Daten ist in einer Public oder Hybrid Cloud für den Dateneigentümer nicht mehr einfach möglich. Daher ist der Schutz der Daten auf der Infrastruktur-, Plattform und Applikationsebene häufig nicht mehr mit üblichen Mitteln zu gewährleisten. - Löschung von Daten:
Daten müssen in vielen Fällen (etwa aufgrund gesetzlicher Bestimmungen) gelöscht werden. Auch hier besteht das Risiko einer nur unzureichenden oder unvollständigen Löschung auf allen Plattformen und Datenbanken der Cloud, da die Lokalisierung der Daten nur schwer möglich ist. - Ungenügende Mandantentrennung:
Bei nicht ausreichend abgesicherter Mandantentrennung besteht die Gefahr, dass Dritte unautorisiert Daten einsehen oder manipulieren können. - Verletzung der Compliance:
Da Daten in einer Public Cloud prinzipiell in allen Ländern der Welt in deren spezifischen Rechtsordnungen verarbeitet werden können, ist die Erfüllung aller gesetzlicher Anforderungen eine wesentliche Aufgabe bei der Nutzung von Public Cloud Leistungen. - Verletzung von Datenschutzgesetzen:
Es ist nicht von vornherein klar, in welchen Ländern, Rechenzentren, auf welchen Servern und mit welcher Software die Daten gespeichert und verarbeitet werden. - Insolvenz des Providers:
Die Insolvenz eines Providers bedeutet meist nicht die Insolvenz aller Rechenzentren, die der Provider verwendet hat. Rechenzentren werden zudem bei Insolvenz mit großer Wahrscheinlichkeit an andere Provider verkauft werden. - Problematik der Subunternehmer:
Ein weiteres Problem stellt die Auftragsweitergabe an Subunternehmer dar. Der Provider wird häufig Subunternehmer für gewisse Leistungen verpflichten. In einer Public Cloud bleibt auch diese Komplexität dem Benutzer häufig verborgen (und soll ja nach der Philosophie des Cloud Computing verborgen bleiben). - Beschlagnahmung von Hardware:
Eine Beschlagnahme von Hardware kann in allen Ländern erfolgen, in denen der Provider Computing-Ressourcen nutzt. Meist werden sich Daten des Auftraggebers auf beschlagnahmten Servern befinden. - Handel mit Ressourcen wird denkbar:
Denkbar ist auch, dass Provider einen Handel mit ihren Ressourcen untereinander aufbauen und damit eine "Ressourcenbörse" realisieren wie sie in obiger Abbildung angedeutet ist. Auf dieser Börse werden Ressourcen zu einem bestimmten Preis angeboten. - Erpressungsversuche:
Die Gefahr von Erpressungsversuchen steigt, da der Personenkreis mit Administrationsaufgaben für Ressourcen der Public Cloud unüberschaubar groß ist. Das eingesetzte Personal verfügt im Allgemeinen über unterschiedliches Ausbildungsniveau und Sicherheitsbewusstsein.
Technische Ansätze fehlen noch
So wurden ein Katalog von wichtigen Sicherheitsbedrohungen veröffentlicht und Zertifizierungen durchgeführt. Neben der CSA nimmt die ENISA, gegründet von der Europäischen Union, eine zentrale Position bei Sicherheitsbestrebungen ein. Schwerpunkt ist das Vermeiden, Bewältigen und Beheben von Problemen im Bereich der Netz- und Informationssicherheit, unter anderem durch einen Leitfaden zum Thema.
Derzeit ist die Zahl der relevanten Initiativen allerdings noch überschaubar. Überwiegend handelt es sich um Konzepte und Ansätze auf der Management-Ebene und weniger um technische Vorhaben. Es mag dem Inter-operabilitäts-Problem geschuldet sein, dass bislang nur wenige technische Ansätze für die Sicherheitsproblematik im Cloud Computing existieren. In Deutschland sind mehrere vielversprechende Bestrebungen zu beobachten. Vor allem die Förderprojekte des BMWi stellen eine notwendige Grundlage für eine sichere Cloud-Nutzung dar. Um eine Basis für die sichere und vertrauenswürdige Nutzung des Cloud Computing zu schaffen, müssen rechtliche Rahmenbedingungen einheitlich definiert und der Zugang zu sicheren und zuverlässigen Cloud-Lösungen realisiert werden. Standards, Best Practices und Prüfsiegel von Initiativen wie EuroCloud oder ENISA leisten dazu einen wichtigen Beitrag. (uk/sh)