Wer sorgt für Sicherheit in der Cloud?

19.04.2012
Wissenschaftler der TU Berlin stellen die wichtigsten Initiativen für Cloud-Sicherheit vor.

Cloud Computing wird gegenwärtig in Forschung und Praxis so intensiv diskutiert wie kaum ein anderer IT-Trend. Dabei geht es häufig um das Thema Sicherheit und insbesondere um die Frage: Wie vertrauenswürdig sind die in der Cloud geltenden Sicherheitsstandards? Aufgrund fehlender Aufklärung durch die Anbieter einerseits und spektakulärer Berichte über einzelne Sicherheitsvorfälle andererseits sehen viele Anwender mögliche Security-Probleme als wesentliches Hemmnis für die Akzeptanz des Cloud Computing. Dabei beschäftigt sich längst eine Vielzahl von Initiativen weltweit mit Fragen der Sicherheit, Governance, Compliance und des Risk-Managments im Cloud Computing.

Orientierung für Anwender

Der Lehrstuhl für Informations- und Kommunikationsmanagement an der TU Berlin hat eine Übersicht dieser Initiativen zusammengestellt und deren Relevanz bewertet. Maßstäbe für die Beurteilung sind Art und Anzahl der Beteiligten, die Marktpräsenz der Aktivitäten sowie bisher veröffentlichte Ergebnisse. So erhalten Anwender eine erste Orientierungshilfe auf der Suche nach zuverlässigen Informationen zum Thema Cloud Security.

Der Handlungsbedarf wächst

Die Untersuchung zeigt: Im Rahmen von Cloud Computing wird es immer wichtiger, die Sicherheit zu verbessern. Zudem erfordert die verstärkte Nutzung von mobilen Endgeräten und privaten Geräten am Arbeitsplatz ("Bring your own Device") zunehmend nicht nur den Einsatz von technischen Sicherheitsmaßnahmen, sondern dar-über hinaus auch organisatorisches Handeln. Glaubt man Marc van Zadelhoff, Director Sicherheitslösungen bei IBM, dann liegt das Problem weniger in der Technik als vielmehr im fehlenden Sicherheitsbewusstsein der Programmierer. Dementsprechend entwickelt die IBM-Initiative Secure by Design ein Secure Engineering Framework, das als eine Art Checkliste für Entwickler und Manager fungiert. Daneben existieren allerdings auch technische Sicherheitsstandards und Protokolle wie das Security Content Automation Protocol der US-Bundesbehörde National Institute of Standards and Technology (NIST) oder das Cloud Trust Protocol der Cloud Security Alliance (CSA). In Deutschland beschäftigen sich verschiedene Initiativen mit dem Thema Sicherheit im Cloud Computing. Zu ihnen zählt beispielsweise das Technologieprogramm Trusted Cloud des Bundesministeriums für Wirtschaft und Technologie (BMWi), welches das Ziel verfolgt, die Entwicklung sicherer und rechtskonformer Cloud-Computing-Lösungen zu fördern. Projekte wie Sealed Cloud, SkIDentity oder TRESOR sollen vor allem das Sicherheitsniveau von Cloud-Computing-Lösungen in Deutschland verbessern.

BSI gibt Empfehlungen

Die Projekte behandeln Themen wie das Risiko eines bewussten oder unbewussten Datenmissbrauchs, die vertrauenswürdige Realisierung von Identitäten in der Cloud oder die Implementierung einer gesetzeskonformen und sicheren Serviceplattform. Darüber hinaus hat das Bundesamt für Sicherheit in der Informationstechnik (BSI) ein Eckpunktepapier mit Sicherheitsempfehlungen für Cloud-Computing- Anbieter und Mindestsicherheitsanforderungen in der Informationssicherheit veröffentlicht. Weitere nationale Initia-tiven sind die herstellerunabhängige Nationale Initiative für Informations- und Internet-Sicherheit (NIFIS e.V.), die das Thema Internet-Security interdisziplinär behandelt, und der Verband EuroCloud Deutschland_eco, der sich für Akzeptanz und bedarfsgerechte Bereitstellung von Cloud-Services am deutschen Markt einsetzt sowie Cloud-Dienste zertifiziert. Auf internationaler Ebene zählen die CSA und die Europäi-sche Agentur für Netz- und Informationssicherheit (engl. European Network and Information Security Agency = ENISA) zu den bedeutendsten Initiativen. Bei der CSA handelt es sich um eine Non-Profit-Organisation, die sich vorgenommen hat, die Akzeptanz des Sicherheits-Managements in der Cloud zu erhöhen und sichere Praktiken dafür zu etablieren.

Technische Ansätze fehlen noch

So wurden ein Katalog von wichtigen Sicherheitsbedrohungen veröffentlicht und Zertifizierungen durchgeführt. Neben der CSA nimmt die ENISA, gegründet von der Europäischen Union, eine zentrale Position bei Sicherheitsbestrebungen ein. Schwerpunkt ist das Vermeiden, Bewältigen und Beheben von Problemen im Bereich der Netz- und Informationssicherheit, unter anderem durch einen Leitfaden zum Thema.

Derzeit ist die Zahl der relevanten Initiativen allerdings noch überschaubar. Überwiegend handelt es sich um Konzepte und Ansätze auf der Management-Ebene und weniger um technische Vorhaben. Es mag dem Inter-operabilitäts-Problem geschuldet sein, dass bislang nur wenige technische Ansätze für die Sicherheitsproblematik im Cloud Computing existieren. In Deutschland sind mehrere vielversprechende Bestrebungen zu beobachten. Vor allem die Förderprojekte des BMWi stellen eine notwendige Grundlage für eine sichere Cloud-Nutzung dar. Um eine Basis für die sichere und vertrauenswürdige Nutzung des Cloud Computing zu schaffen, müssen rechtliche Rahmenbedingungen einheitlich definiert und der Zugang zu sicheren und zuverlässigen Cloud-Lösungen realisiert werden. Standards, Best Practices und Prüfsiegel von Initiativen wie EuroCloud oder ENISA leisten dazu einen wichtigen Beitrag.

Professor Dr. Rüdiger Zarnekow und Diplom-Inf. Jonas Repschläger, Lehrstuhl für IuK-Management, TU Berlin.

Sicherheitsinitiativen im Überblick

Name, Beschreibung

Aktivitäten

Relevanz

Bitkom, Branchenverband der ITK-Branche

Cloud-Computing-Leitfaden; IT-Sicherheit und Datenschutz

l l l l l

BSI (Bundesamt für Sicherheit in der Informationstechnik)

BSI-ESCC (Eckpunktepapier Sicherheitsempfehlungen für Cloud-Computing-Anbieter); IT-Grundschutz-Katalog

l l l l l

CSA (Cloud Security Alliance), Organisation für Sicherheit im Cloud Computing

Katalog: Sicherheitsbedrohungen im Cloud Computing; Sicherheitsleitfaden für kritische Handlungsfelder in der Cloud; CTP (Cloud Trust Protocol); CSA Security, Trust & Assurance Registry (STAR); Certificate of Cloud Security Knowledge (CCSK); Cloud Trust Protocol (CTP)

l l l l l

ENISA (Europäische Agentur für Netz- und Informationssicherheit)

Leitfaden: Informationssicherheit im Cloud Computing; Sicherheit und Zuverlässigkeit in öffentlichen Clouds

l l l l l

EuroCloud Deutschland_eco, europäisches Cloud-Computing- Business-Netzwerk

Leitfaden Recht, Datenschutz und Compliance; EuroCloud-SA (EuroCloud Star Audit): Zertifikat für Anbieter von Cloud-Diensten

l l l l l

Fraunhofer SIT (Fraunhofer-Institut für Sichere Informationstechnologie)

Studie: Cloud-Computing-Sicherheit

l l l l l

NIST (National Institute of Standards and Technology), US-Behörde

NIST-UC (Cloud Computing Use Cases); SCAP (Security Content Automation Protocol)

l l l l l

Cloud Software Program, Initiative des finnischen Strategie-Centers für Wissenschaft, Technologie und Innovation (20 Unternehmen und acht Forschungsinstitute)

Schutzmaßnahmen und Sicherheitskonzepte für die finnische Softwareindustrie; Best Practices im Cloud Computing

l l l l l

Secure by Design, Initiative der IBM

Secure Engineering Framework, eine Anleitung und Checklisten für Softwareentwickler, das Management und die Sicherheitsverantwortlichen

l l l l l

Security Working Group (USA), Federal Cloud Computing Initiative (FCCI)

Prozesse und Handlungsempfehlungen für den öffentlichen Sektor

l l l l l

ISACA, Berufsverband mit mehr als 95.000 praxisorientierten Information-Systems-(IS-)Fachleuten aus mehr als 160 Ländern

Praxis-Leitfaden zur Informationssicherheit; Vorträge zu Cloud-Sicherheit

l l l l l

AICPA (American Institute of Certified Public Accountants) mit über 350.000 Mitgliedern in 128 Ländern

SSAE 16 (Statement on Standards for Attes-tation Engagements No. 16): Zertifikat für Anbieter von Cloud-Diensten

l l l l l

NIFIS (Nationale Initiative für Informations- und Internet-Sicherheit e.V.)

Konzepte für den Schutz vor Angriffen aus dem Datennetz

l l l l l

Trusted Cloud, Initiative des Bundesministeriums für Wirtschaft und Technologie (BMWi)

Cloud-Sicherheit und Interoperabilität; Förderprojekte

l l l l l

Veranstaltungshinweis

Cloud-Experte Professor Dr. Rüdiger Zarnekow, Inhaber des Lehrstuhls für Informations- und Kommunikationsmanagement an der TU Berlin, spricht auf dem 6. IT Operations Day am 10. Mai 2012 in München zum Thema "Nutzer- und Marktsegmente im Cloud Computing". Informationen und Anmeldung: cw.idgevents.de.