Cloud-Computing-Produkte werden am Markt in unterschiedlichen Servicemodellen angeboten. In der Regel existieren die Cloud-Services in den Klassen Infrastruktur (Infrastructure as a Service), Plattform (Platform as a Service) und Anwendungen (Software as a Service). Jedes Modell hat seine eigenen Risiken hinsichtlich der Sicherheit und des einwandfreien Betriebs der Services. Zu den größten Gefahren bei Public-Cloud-Diensten zählen Angriffe aus dem Internet auf Server, Speicher oder Netzwerkkomponenten. Sie sind das Einfallstor für Viren, Würmer und Trojaner, die Daten und Applikationen innerhalb eines Netzes in kurzer Zeit manipulieren oder zerstören können. So legen etwa DDoS-Angriffe Internet-Dienste oder Websites lahm, indem die Masse der gezielt dafür gestellten Anfragen diese Dienste arbeitsunfähig machen. Diese Angriffe unterscheiden sich selten von bekannten Cyber-Attacken auf traditionelle IT-Infrastrukturen.

Die Pflichten des Auftraggebers

Beim IaaS-Modell ist der Auftraggeber selbst dafür verantwortlich, welche Sicherheitsmechanismen implementiert, verwaltet und verantwortet werden. Der Betreiber sichert lediglich den reinen Infrastrukturbetrieb (Gebäude, Server, Virtualisierungsebene) ab. Der Auftraggeber muss sich dann meist in eigener Regie um die Sicherheit der Daten kümmern. Hierzu zählen beispielsweise Verschlüsselung, Authentifizierung und Autorisierung sowie Netz- und Anwendungssicherheit.

Beim PaaS-Modell hat der Auftraggeber keinen Einfluss mehr auf die darunterliegende Infrastrukturebene. Obwohl die Plattform in der Regel Sicherheitsmechanismen zur Verfügung stellt, verbleibt die Implementierungsverantwortung beim Kunden. Auf Plattformebene sorgen Blind-Spots für Gefahr. Sie entstehen, wenn ein Anbieter seine Plattform mehreren Kunden bereitstellt, deren Datenbasis jedoch im virtuellen Netzwerk nicht sauber voneinander trennt, so dass ein unerwünschter Datenaustausch zwischen Anwendungen verschiedener Kunden stattfinden kann.

SaaS besonders gefährlich

Das Sicherheitsrisiko kumuliert sich bei SaaS, weil es auf der empfindlichen Infrastruktur- und Plattformschicht der Cloud-Lösung aufsetzt. Zugriffsverletzungen (zum Beispiel durch Phishing oder Session Hijacking) sind in diesem Modell das Hauptrisiko: Ungeschützte Anwendungsschnittstellen ermöglichen es unbefugten Dritten häufig, auf die Anwendungen der Cloud-Nutzer zuzugreifen. Da bei SaaS auch ganze Geschäftsprozesse (unter anderem die Bestellabwicklung) in die Cloud ausgelagert werden, muss vom Anbieter die sichere und oftmals gesetzeskonforme Umsetzung wie etwa die personenbezogene Datenverarbeitung nach Paragraf 11 Bundesdatenschutzgesetz (BDSG) gewährleistet sein.

Für jedes Cloud-Service-Modell ist die Verantwortung für die Datensicherheit unterschiedlich zwischen Anbieter und Nutzer gelagert. Je weniger Sicherheit der Nutzer in der Lösung selbst bereitstellen und implementieren muss, desto mehr müssen die Risiken vertraglich abgesichert sein.

Weitere Risiken lauern im operativen IT-Betrieb, wenn die eingesetzten Sicherheitsmechanismen dem Nutzer vorenthalten bleiben und dieser über Sicherheitsvorfälle wie Hacker-Attacken oder Identitätsmissbrauch nicht informiert wird. Eine rechtliche Sicherheitslücke entsteht, sobald der Anbieter gegen die in Service-Level-Agreements (SLAs) definierten Compliance-Vorgaben verstößt.

Welche Wolke ist die richtige?

Werden Unternehmensdaten an einen Cloud-Provider übergeben, müssen Vertraulichkeit, Verfügbarkeit und Integrität von Informationen sichergestellt werden. Das betrifft bei Public- Cloud-Services sowohl die Übertragung über das Internet in die Wolke als auch den Weg zurück. Vor der Auslagerung kommt es zunächst darauf an, das eigene IT-Sicherheitskonzept des Unternehmens auf Herz und Nieren zu testen: Welchen Schutz brauchen meine Unternehmensdaten und IT-Systeme? Das Ergebnis sollte ein Sicherheitskonzept sein, das die IT-Services für die Auslagerung in die Cloud geeignet macht. Ebenso lässt sich davon ableiten, welches Cloud-Modell in Frage kommt. Zum Beispiel eignen sich Entwicklungstätigkeiten besonders für IaaS, weil IT-Produkte ohne viel Beschaffungsaufwand und komplexe betriebsinterne Genehmigungen schnell einsetzbar sind. Auch wenn bei Tests nicht mit Produktivdaten gearbeitet wird, ist die Sicherheit nicht zu vernachlässigen.

Wo sind die Daten?

Neben der Datensicherheit ist der Kontrollverlust bei der Datenverarbeitung eine weitere Herausforderung. Während bei standortgebundenen IT-Systemen oder Outsourcing-Services klar ist, wo die Daten verarbeitet werden, wissen die Nutzer von Public-Cloud-Services zumeist nichts über den Verarbeitungsort. Darüber hinaus ist es wichtig, dass auch das eigene IT-Sicherheitskonzept die rechtlichen Rahmenbedingungen einhält. Um die Compliance sicherzustellen, sollten sich IT-Verantwortliche mit einer Reihe verschiedener Teilaspekte befassen. So müssen der Ort der Datenhaltung und der Verarbeitung müssen bekannt sein.

Daraus leitet sich ab, welche rechtlichen, branchen- oder unternehmens-eigenen Auflagen zu berücksichtigen sind. Zum Beispiel dürfen einzelne europäische Länder die Finanzdaten eines Unternehmens nicht ins Ausland übertragen. Ebenso dürfen manche staatlichen Behörden die vom Cloud-Anbieter verarbeiteten Kundendaten einsehen. Weiterhin sollte klar definiert sein, wer auf welche Informationen zugreifen darf. Verschlüsselungs- und Zugangsmechanismen sowie ein Rechte-Management sollten selbstverständlich sein, um nur den berechtigten Mitarbeitern des Providers Einblick in Kundeninformationen zu gewähren.

Sicherheits-Management

Die Bündelung von IaaS, PaaS und SaaS lässt Sicherheitsanforderungen so komplex werden, dass sie sich nur mit einem ganzheitlichen Sicherheits-Management erfüllen lassen. Dieses fußt auf den eigenen Sicherheitsanforderungen und sollte folgende Aspekte berücksichtigen:

- Ort der Datenverarbeitung und -haltung;

- Transparenz und Auditierbarkeit;

- Datenschutz;

- Penetrationstests;

- Informationslebenszyklus.

Dienstleister schaffen Chancen

Viele Unternehmen sehen die IT-Sicherheit als Eintrittsbarriere für die Nutzung kostensparender Cloud-Services. Dabei können gerade hier Risiken oft zu Chancen werden. Zum Beispiel können kleine und mittlere Unternehmen das Know-how des Anbieters in Sachen Identitäts-Management nutzen, wenn sie selber diese Kompetenzen nicht aufbauen können. In Verbindung mit einem aktiven Sicherheits-Management lassen sich Sicherheitsrisiken in Public Clouds reduzieren und handhaben. IT-Sicherheit ist ständig im Wandel, und das gilt auch für die Datenwolke. Daher sollte jeder Nutzer auf ein fortlaufendes Sicherheits-Management bestehen, das regelmäßig neue Sicherheitslücken und Angriffsformen berücksichtigt. (hi)

Christian Tüffers ist Senior Manager und Christian Elsenhuber ist Manager bei Accenture.