Sicherheitsbedenken bremsen Cloud-Euphorie

Readiness-Check deckt Cloud-Risiken auf

09.07.2014
Von 
Wolfram Herz ist Senior Consultant bei der improve direkt GmbH, einem Unternehmen der direkt gruppe.
Das "Cloud-Computing-Eckpunktepapier" des Bundesamts für Sicherheit in der Informationstechnik (BSI) zeigt, dass sich Anwender zurecht um die Informationssicherheit im Cloud Computing sorgen. Ein Cloud-Readiness-Check kann hier Abhilfe schaffen. Wie Sie die Datensicherheit auf den Prüfstand stellen können, lesen Sie hier.

Daten, Prozesse und Anwendungen in die Cloud auszulagern, hat sich als Alternative zu ressourcenintensiven Server-Farmen und Mainframes im eigenen Haus erwiesen. Cloud-Services sind dynamisch und dadurch innerhalb kürzerer Zeiträume skalierbar, so die Befürworter. Speicher- und Rechenkapazitäten können auch kurzfristig auftretenden Anforderungen oder Leistungsspitzen und somit dem tatsächlichen Bedarf des Kunden angepasst werden. Laut der Studie "Cloud Monitor 2014", die die Wirtschaftsprüfungs- und Beratungsgesellschaft KPMG in Zusammenarbeit mit dem Hightech-Verband Bitkom jährlich veröffentlicht, haben im Jahr 2013 rund 40 Prozent der Unternehmen in Deutschland Cloud Computing genutzt. Im Vergleich zum Vorjahr ist das ein Anstieg um drei Prozentpunkte. Weitere 29 Prozent planen oder diskutieren den Einsatz.

Cloud-Projekte und -Lösungen gestoppt

Doch zunehmende Sicherheitsbedenken bremsen die Wachstumsprognosen aus. "Der Trend zum Cloud Computing ist ungebrochen, aber die NSA-Affäre hat dem Wachstum einen Dämpfer versetzt", erklärte Bitkom-Präsident Dieter Kempf bei der Vorstellung einer Studie des Branchenverbands. Laut Umfrage haben 13 Prozent der 403 befragten Unternehmen konkret geplante Cloud-Projekte zurückgestellt und elf Prozent sogar bestehende Cloud-Lösungen aufgegeben. Mit Blick auf die NSA-Affäre sagen 49 Prozent der Unternehmen, dass ihre Einstellung speziell zum Public Cloud Computing negativer geworden ist.

Fehlende Transparenz und schwaches Know-how

Allgemein gesprochen, kann Cloud Computing von vielen Aufgaben befreien, darüber sind sich Experten einig. Allerdings nicht von der Verantwortung und der Kontrolle im Datenschutz. Carlo Velten, Senior Analyst der Crisp Research, kann die Haltung der entsprechenden Unternehmen nachvollziehen. "In der Tat ist es für viele Anwender nicht leicht ersichtlich, wie gut ihre Daten bei bestimmten Cloud-Providern aufgehoben sind. Dies liegt einerseits an der mangelnden Transparenz vieler Cloud-Provider", erklärt er im Interview mit der Initiative "German Cloud". Die Dienstleister legten vielfach nicht offen, wer im Rahmen der Leistungserbringung in Sachen Infrastruktur und Management eingebunden ist. "Andererseits verfügen in vielen Unternehmen nur wenige Mitarbeiter über das notwendige technische Know-how und die Zeit, sich vertieft mit der Materie zu beschäftigen", kritisiert Velten weiter. Daher blieben Diskussionen oft an der Oberfläche, und man lasse sich von seinem Bauchgefühl leiten, statt die Cloud-Risiken sauber zu analysieren.

Der Cloud-Readiness-Check

Genau hier greift der Readiness-Check. Er ist eine Bestandsaufnahme und beleuchtet folgende fünf Handlungsfelder:

  • Erstens wird betrachtet, wie sich eine potenzielle Cloud-Lösung in die bereits bestehende IT-Infrastruktur, das Finanz-Management und Multivendor-fähige Prozesse einfügt.

  • Zweitens wird damit einhergehend untersucht, ob Mitarbeiter-Skills auf- oder ausgebaut werden müssen, und ob ein Wandel in der Unternehmenskultur erfolgen sollte.

  • Drittens wird vom technologischen Standpunkt aus Augenmerk auf Zugriffsmöglichkeiten, abgesicherte Anbindungen sowie auf Kapazitäten und Varianzen der benötigten Rechenleistung gelegt.

  • Viertens behandelt der rechtliche Aspekt Fragen nach der Absicherung von Service-Level-Agreements, Sicherheit vor der Deaktivierung der Cloud-Dienste durch den Anbieter und Klarheit über ausländische Vertragsstrukturen.

  • Fünftens wird die Transparenz über die Orte der Speicherung und Sicherheit der Verarbeitung untersucht.

Ganz gleich, ob IT-Services via Cloud bezogen werden, Unternehmen eigene Systemlandschaften aufgebaut haben oder ob der langjährige Provider des Vertrauens die Systeme betreibt: Die Informationssicherheit dient dem Schutz vor Gefahren, der Vermeidung von wirtschaftlichen Schäden und der Minimierung von Risiken. Aus diesem Grund ist im Rahmen des Cloud-Readiness-Checks hier eine dedizierte Betrachtung des Sicherheitsaspekts zum Zwecke eines sicheren Cloud Computings wichtig.

Schutzbedarfsanalyse: Security und Safety first

Die Cloud-Readiness-Analyse zeigt auf, wie gut das Unternehmen auf die Einführung von Cloud Computing vorbereitet ist. So werden im Vorfeld potenzielle Risiken gemindert.
Die Cloud-Readiness-Analyse zeigt auf, wie gut das Unternehmen auf die Einführung von Cloud Computing vorbereitet ist. So werden im Vorfeld potenzielle Risiken gemindert.
Foto: improve direkt GmbH

Schon beim Herangehen an die Sicherheitsanalyse zeigt sich die erste Hürde. In vielen Unternehmen werden oft zwei Begriffe nicht klar unterschieden: Safety und Security, die zwei verschiedene Aspekte von Sicherheit näher eingrenzen. Safety bezieht sich auf die Zuverlässigkeit eines Systems, speziell in Bezug auf dessen Ablauf- und Ausfallsicherheit. Security bezeichnet dagegen den Schutz eines Systems vor beabsichtigten Angriffen. Beide Begriffe sind nicht völlig unabhängig voneinander. Safety schließt auch Security ein. Tatsächlich spricht man in der Praxis von Sicherheitsparametern, die man heranzieht, um eine Schutzbedarfsanalyse (SBF) durchzuführen. Hier wird neben der ersten Aussage über die Wertigkeit von verarbeiteten Informationen auch eine fundierte Basis gelegt für mögliche potenzielle Schäden, die bei ermittelten Bedrohungen auftreten können. Somit stellt sich die SBF als erster Schritt für eine Cloudability-Analyse dar, um festzustellen, ob die Applikation geeignet ist, in eine Cloud gestellt zu werden, oder besser in der eigenen Hoheit belassen wird.

Know-how des Cloud-Providers hinterfragen

In der Praxis orientiert sich die Informationssicherheit im Rahmen des IT-Sicherheits-Managements unter anderem an der internationalen ISO/IEC 27000-Reihe. Das Vorgehen nach dem sogenannten "IT-Grundschutz" ist im deutschsprachigen Raum verbreitet. Im Bereich der Evaluierung und Zertifizierung von IT-Produkten und -systemen findet die Norm ISO/IEC 15408 häufig Anwendung. Die Gewährleistung dieses Grundschutzes im hauseigenen Netz erfordert bei den Verantwortlichen also bereits tiefgehende Kenntnisse der Materie. Dies wirft die Frage auf, wie es um dieses Know-how auf Seiten der Cloud-Provider bestellt ist, und ob die klassischen Regeln des IT-Grundschutzes auf die verschiedenen Arten von Cloud Computing (Private, Public, Community und Hybrid) gleichbedeutend anwendbar sind. Die Antwort lautet eindeutig "Ja".

Ein spezielles Augenmerk liegt hier auf der Abgrenzung der Verantwortlichkeiten der beteiligten Parteien innerhalb des Three-Tier-Modells:

  • Tier one: Infrastruktur des Providers.

  • Tier two: Verbindungsmedium (WAN-)Network.

  • Tier three: eigene Infrastruktur.

Es muss festgelegt werden, wer bei einem ermittelten Schutzbedarf, bei analysierten Bedrohungen und Risiken, dafür Sorge trägt, dass die notwendigen Sicherheitsmaßnahmen umgesetzt und nachweisbar sind. Dies darf nicht nur anfänglich, sondern muss permanent innerhalb eines fortwährenden Prozesses erfolgen.

Audit mit dem Cloud-Anbieter ist ratsam

Im Gegensatz zum klassischen IT-Outsourcing, bei dem meist die komplette gemietete Infrastruktur exklusiv von einem Kunden genutzt wird, teilen sich bei Cloud-Services oft mehrere Nutzer eine gemeinsame Infrastruktur. Das ist ein neuralgischer Punkt, der schon bei der Wahl des Cloud-Modells berücksichtigt werden sollte. Es ist dringend notwendig, bei der Auswahl des Cloud-Anbieters auf Transparenz über die Orte der Speicherung und Sicherheit der Verarbeitung zu achten. Streng genommen, lässt sich dies nur durch ein Audit realisieren, das mit dem Anbieter vor Beginn einer Geschäftsbeziehung betrieben wird. Der bloße Verweis des Providers auf bestehende Zertifizierungen ohne die Vorlage sogenannter Scoping Documents und Statements of Applicability reicht nicht aus, um nachvollziehen zu können, welchen Umfang die Zertifizierung hatte.

Gerade das Thema Vertraulichkeit steht bei der Arbeit mit sensiblen Informationen wie personenbezogenen Daten im Vordergrund. Die verschlüsselte Übertragung, wie auch eine ebensolche Speicherung der Daten, ist unumgänglich. Auch die Orte der Speicherung, Sicherheit und Verarbeitung liegen hier im Fokus. Wird eine Datenübermittlung in Drittstaaten außerhalb des EU/EWR Raums geplant, muss zuvor geprüft werden, ob das Datenschutzniveau ausreichend ist.

Übereinkünfte wie das "Safe-Harbor"-Abkommen versprechen zwar eine gewisse Sicherheit mit Staaten wie den USA. Diese kennen aber keine umfassenden gesetzlichen Regelungen, die den Standards der EU entsprechen. Zwei von drei Anbietern von Business-Cloud-Speicherlösungen sind in den USA ansässig oder haben dorthin zumindest einen Teil ihrer Rechenzentren ausgelagert. Doch da im Rahmen des US Patriot Act US-Sicherheitsbehörden unter Umständen auch ohne Benachrichtigung der Dateninhaber Zugriff auf die in US-Clouds gespeicherten Daten gewährt werden muss, gerät das Safe-Harbor-Abkommen immer mehr in Kritik. Im März 2014 beschloss das EU-Parlament eine Vorlage, nach der das Abkommen zur Übermittlung gewerblicher Daten - Safe Harbor - sowie von Bankdaten europäischer Bürger - Swift - ausgesetzt werden soll. Eine Arbeitsgruppe hatte seit dem vergangenen Herbst die Aktivitäten des US-Nachrichtendienstes NSA geprüft. Ihr Abschlussbericht diente den Abgeordneten bei der Entscheidung als Grundlage.

Google und Amazon auf deutsches Recht festlegen

Es besteht also dringender Bedarf, sich Klarheit über US-dominierte Vertragsstrukturen zu verschaffen. Besonders gitl das für Anbieter wie Google und Amazon, die mit ihren bereits etablierten, breit gefächerten Cloud-Collaboration-Lösungen auf den europäischen Markt drängen. Hier sollte mittels schriftlicher Bestätigung sichergestellt sein, dass die eigenen personenbezogenen Daten nur auf Infrastrukturen innerhalb des Rechtsraumes des deutschen Bundesdatenschutzgesetzes (BDSG) erhoben, verarbeitet und gespeichert werden, und dass die technischen und organisatorischen Maßnahmen einer angemessen sicheren Informationssicherheit entsprechen. Das geforderte Sicherheitsniveau muss dann dem ermittelten Schutzbedarf der Informationen und Daten entsprechen. Ist das bezogen auf die bekannten Marktgrößen nicht möglich, sollte man sich lieber einen Partner auf Augenhöhe suchen.

Ein detaillierter Überblick über das Verhältnis von Soll- und Ist-Reifegrad der eigenen IT-Organisation verschafft Klarheit vor dem ersten Schritt in die Cloud.
Ein detaillierter Überblick über das Verhältnis von Soll- und Ist-Reifegrad der eigenen IT-Organisation verschafft Klarheit vor dem ersten Schritt in die Cloud.
Foto: improve direkt GmbH

Ist die Analyse abgeschlossen, lassen sich die Ergebnisse bewerten. Die Ist-Situation bezieht sich auf angebotene Perspektiven. Abgeleitet daraus, wird nach dem gleichen Vorgehen der Soll-Reifegrad je Perspektive ermittelt. Abschließend werden Soll und Ist abgeglichen und mögliche Handlungsfelder identifiziert. Dem Anwender zeigt sich somit ein klares Bild, welche Daten und Prozesse aufgrund ihrer Art und Beschaffenheit sinnvollerweise im Haus verbleiben und welche nach dem Ergreifen der ermittelten Maßnahmen bedenkenlos in die Datenwolke ausgegliedert werden können. (pg)