computerwoche.de

IT-Strategie

Lose Kopplung

SOA ist eine gute Vorbereitung auf die Cloud

06.04.2011
Von 
Karin Quack arbeitet als freie Autorin und Editorial Consultant vor allem zu IT-strategischen und Innovations-Themen. Zuvor war sie viele Jahre lang in leitender redaktioneller Position bei der COMPUTERWOCHE tätig.
Alle Posts des Autors Email: Connect:

Sicherheit in SOA und Cloud

Claudia Eckert, Leiterin des Fraunhofer-Instituts für Sichere Informationstechniken
Claudia Eckert, Leiterin des Fraunhofer-Instituts für Sichere Informationstechniken
Foto: Euroforum/Constantin Meyer

Ein Thema, das auch die SOA-Community umtreibt, ist die Sicherheit. Hier hatte das SOA Innovation Lab zur Unterstützung die Sicherheitsexpertin Claudia Eckert ins Boot geholt. Die Leiterin des Fraunhofer-Instituts für Sichere Informationstechnologien (SIT) und Professorin an der TU München ist auch eine versierte Kennerin der Cloud-Computing-Szene. Das gab nicht nur Anlass zu Witzen mit ihrem Vornamen ("Cloud?" - "Ja!"), sondern sorgte auch für den großen Brückenschlag zwischen dem alten und dem neuen Hype-Thema.

Eckert hatte ihre Präsentation unter das Motto "SOA und Cloud-Computing: mit Sicherheit innovativ" gestellt. Ihre These: Vor allem kleinere und mittlere Unternehmen erhöhen durch Auslagerung von IT-Services in die Cloud oft ihre Informationssicherheit. Ein externer Partner könne das Identitäts- und Zugriffs-Management wirtschaftlicher erledigen. Er biete Security by Default, habe Werkzeuge für die Kontrolle der Sicherheits-Policies und die Compliance-Prüfung an der Hand und sei in der Lage, ein professionelles, umfassendes und aktuelles Sicherheits-Management bereitzustellen.

Damit rekurrierte Eckert auf Untersuchungsergebnisse wie jüngst von IDC, wonach die Sicherheitsrisiken aus Anwendersicht das größte Hindernis (88 Prozent der Nennungen) für die Cloud-Nutzung darstellen.

  • Wer kontrolliert was?

  • Wer hat Zugriff auf welche Daten?

  • Wo befinden sich die Daten?

  • Sind sie auditierbar?

  • Was ist mit dem Backup?

  • Und lässt sich die Verfügbarkeit sicherstellen?

So heißen die Standardbedenken der potenziellen Kunden.

Als das tatsächliche Problem Nummer eins hat Eckert jedoch ein anderes ausgemacht: Bei der Mehrmandanten-Fähigkeit eines echten Cloud-Services sei die Prozessisolation keineswegs gewährleistet. Es komme immer wieder zu Verletzung der Datensicherheit durch schwache Authentifizierung oder gefälschte Identitäten. In den meisten Fällen sei ein "malicious insider" auf Seiten des Providers der Auslöser. Die Frage müsse also heißen, ob die gewählte Cloud eigentlich "Betreiber-sicher" sei.