Die Endanwender-Cloud
Es mag den wenigsten bewusst sein, doch viele Wohn- und Arbeitszimmer sind bereits über ihre Breitbandverbindung mit der "großen Web-Wolke" vernetzt. Zahlreiche Dienste, deren Anfänge im großen Web-2.0-Paradigma zu finden sind, bilden in ihrer Gesamtheit inzwischen durchaus eine Art Endanwender-Cloud. Eine wesentliche Nebenwirkung dieser Entwicklung besteht darin, dass private Daten und Applikationen - nicht zuletzt dank steigender Breitbandkapazitäten - mehr und mehr von der heimischen Festplatte in Cloud-Umgebungen abwandern.
Professionelle IT-Nutzer sehen sich derzeit mit ähnlichen, wenn auch tiefgreifenderen Veränderungen konfrontiert: Hinter der zunehmenden Virtualisierung von Arbeitsplätzen verbirgt sich die dezentrale Verwaltung von Anwendungen sowie Storage- und Sys-temressourcen. Der Zugriff auf den virtuellen Desktop verlangt nach größeren Bereitstellungskapazitäten - eine Entwicklung, die sich in den kommenden Jahren drastisch verstärken wird.
Für die Administration von Rechenzentren werden in den kommenden Jahren neben unternehmensinternen Cloud-Umgebungen im Wesentlichen hybride Cloud-Computing-Ansätze von wachsender Bedeutung sein. Schon heute sind zur Erweiterung von Datenzentren oder dem Rollout neuer Softwaresysteme enorme Pufferkapazitäten vonnöten, um kostspielige Ausfallzeiten zu vermeiden. Reservekapazitäten sind jedoch teuer, zumal sie die meiste Zeit brachliegen. In so einem Fall könnte es in Zukunft durchaus vorteilhaft für ein Unternehmen sein, zusätzliche Ressourcen je nach Erfordernis über die Public Cloud abzurufen und bedarfsgerecht einzusetzen. Neben der Nutzung von Reservekapazitäten wird das Thema Langzeitarchivierung eine tragende Rolle auf der großen Cloud-Bühne übernehmen. Schließlich wäre eine Cloud-basierende Storage-Lösung um einiges kostengünstiger als Storage-Area-Network-(SAN-) oder Network-attached-Storage-(NAS-)Technologien.
- Datenschutz und Datensicherheit
Saugatuck hat einen Fragenkatalog zur Security im Cloud Computing zusammen gestellt, den Interessenten Ihrem potenziellen Cloud-Provider vorlegen sollten. - Fachliche Anforderungen
Wie kann der Kunde auf seine Daten zugreifen oder diese wiederherzustellen? - Fachliche Anforderungen
Wie wird Sicherung der Daten einschließlich Disaster Recovery gewährleistet? - Fachliche Anforderungen
Wie, in welchem Format und nach welchen Umständen oder Bedingungen werden bei Vertragsende die Daten des Kunden an ihn übergeben? - Die Technik für Datenschutz und -sicherheit
Sind die Rechenzentren uneingeschränkt, rund um die Uhr, physikalisch und auch nach Mehr-Personen-Prinzip gesichert? - Die Technik für Datenschutz und -sicherheit
Ist es sichergestellt, dass das Personal des Providers weder Zugang zu den Benutzerpasswörtern und Berechtigungen des Anwenders hat noch diese einsehen kann? - Die Technik für Datenschutz und -sicherheit
Werden die Vorschriften zu Passwortrichtlinien, Zugriffsbeschränkungen, Anmeldeprotokollierungen, Datenzugriffsmodellen sowie zum Feldebenenzugriff dokumentiert? - Die Technik für Datenschutz und -sicherheit
Werden alle Passwörter verschlüsselt übertragen? - Die Technik für Datenschutz und -sicherheit
Gibt es ein sicheres Session-Key-Management und besteht eine Multi-Tenant-Datenzugriffskontrolle? - Die Technik für Datenschutz und -sicherheit
Werden Sicherheitsverstöße überwacht? Werden Eindringversuche (Intrusion Detection) und sicherheitsrelevante Vorfälle (Security-Event-Management) dokumentiert? - Transaktionen im Internet
Gibt es eine 128-bit SSL-Verschlüsselung für jede Transaktion? - Transaktionen im Internet
Liegen Verisign-Zertifikate vor? - Transaktionen im Internet
Werden Perimeter und Firewalls ständig überwacht? Sind Intrusion Detection sowie vorausschauendes Log-File-Monitoring Standardverfahren? - Sicherheitsmonitoring
Werden erfolgreiche und fehlgeschlagene Logins dokumentiert? - Sicherheitsmonitoring
Werden Eindringversuche (Intrusion Detection) und sicherheitsrelevante Vorfälle (Security-Event-Management) dokumentiert? - Interoperabilität mit On-Premise-Anwendungen
Welchen Einfluss haben Security-Architekturen und -Praktiken des Cloud-Providers auf die lokalen Installationen des Anwenders? - Interoperabilität mit On-Premise-Anwendungen
Legt der Betreiber der Multi-Tenancy- und Cloud-Plattform die verwendeten Techniken und Abläufe für das Data-Partitioning offen und dokumentiert sie? - Gesetzliche Anforderungen
Ist bei Speicherung von personenbezogenen Daten außerhalb der Grenzen des Europäischen Wirtschaftsraumes ein angemessenes Schutzniveau gewährleistet, wie es das Bundesdatenschutzgesetz vorschreibt (Paragraf 4b Absatz 2 Satz 2 BDSG)? - Gesetzliche Anforderungen
Ist es sichergestellt, dass ausschließlich solche Anwender auf Anwendung und deren Daten zugreifen können, die auch dazu berechtigt sind? - Gesetzliche Anforderungen
Können personenbezogenen Daten bei der Verarbeitung, Nutzung und nach Speicherung nicht unbefugt gelesen, kopiert, verändert oder entfernt werden? - Gesetzliche Anforderungen
Lässt sich nachträglich prüfen und feststellen, ob und von wem personenbezogene Daten in Anwendungssystemen eingegeben, verändert oder entfernt worden sind? - Gesetzliche Anforderungen
Können zu unterschiedlichen Zwecken erhobene personenbezogene Daten getrennt verarbeitet werden?
Doch bevor Sicherheitsmechanismen und Deployment-Policies zur Anbindung an die Public Cloud optimiert und standardisiert sind, sollte in den Unternehmen Zurückhaltung gelten: Vorerst ist es sinnvoll, nur nicht sicherheitskritische Daten in Public-Cloud-Storage zu hinterlegen, während sensible Informationen das Unternehmen besser nicht verlassen sollten.