Cloud Computing

Wo die Gefahren lauern

03.07.2008
Von Katharina Friedmann

Drum kläre, wer sich bindet…

Hier ist eine Auswahl der Cloud-Computing-spezifischen Sicherheitsaspekte, mit denen Unternehmen ihre Anbieter in spe laut Gartner-Empfehlung konfrontieren sollten, bevor sie sich endgültig entscheiden:

1. Privilegierter Nutzerzugriff: Sensible Daten, die außerhalb des Unternehmens verarbeitet werden, bergen ein inhärentes Risiko. Der Grund: Ausgelagerte Services umgehen die physischen, logischen und von Mitarbeitern gesteuerten Kontrollmechanismen, die IT-Abteilungen auf interne Programme anwenden. Laut Gartner sollten sich Firmen möglichst viele Informationen über die Personen beschaffen, die ihre Daten verwalten. Dazu müssten Anbieter Details zur Einstellung und Aufsicht privilegierter Administratoren sowie in Sachen Zugriffskontrolle liefern.

2. Compliance: Unternehmen sind letztendlich verantwortlich für den Schutz und die Integrität ihrer eigenen Daten - selbst dann, wenn sie von einem Service-Provider vorgehalten werden. Herkömmliche Dienstleister sind externen Audits und Sicherheitszertifizierungen unterworfen. Cloud-Computing-Provider, die sich dieser Art der Inspektion verweigern, signalisieren im Prinzip, dass sie lediglich für die trivialsten Funktionen in Frage kommen.

3. Ort der Daten: Wer die "Cloud" nutzt, wird nicht genau wissen, wo die eigenen Daten gehostet werden. Vermutlich ist nicht einmal bekannt, in welchem Land die Informationen gespeichert sind. Mit den Providern ist demnach abzuklären, ob sie sich vertraglich verpflichten, Daten gemäß der jeweiligen Rechtsprechung zu speichern und zu verarbeiten, beziehungsweise die lokalen Datenschutzanforderungen im Namen ihrer Kunden zu erfüllen.

4. Trennung der Daten: Daten in der Cloud befinden sich in der Regel in einer von mehreren Parteien genutzten Umgebung, sprich: Seite an Seite mit Daten anderer Unternehmen. Verschlüsselung ist zwar effektiv, laut Gartner aber kein Allheilmittel. Daher müssten Unternehmen in Erfahrung bringen, was zur Trennung der ruhenden Daten konkret unternommen wird. Der Cloud-Provider sollte zudem nachweisen können, dass die angewandten Verschlüsselungsschemata von erfahrenen Spezialisten entworfen und getestet wurden. "Verschlüsselungspannen können Daten völlig unbrauchbar machen - und sogar normale Chiffrierung führt möglicherweise zu Komplikationen im Hinblick auf die Verfügbarkeit", warnen die Gartner-Consultants.

5. Datenwiederherstellung: Ein Cloud-Provider sollte mitteilen, was im Fall eines Desasters mit den Daten beziehungsweise dem Service geschieht. Jedes Angebot, das die Replikation der Daten und der Applikationsinfrastruktur über multiple Sites hinweg vermissen lässt, ist laut Gartner anfällig für den Totalausfall. Daher ist abzuklären, ob - und wenn ja, in welcher Zeit - der Dienstleister in der Lage ist, eine Komplettwiederherstellung zu realisieren.

6. Investigative Unterstützung: Das Aufspüren unangemessener oder illegaler Aktivitäten ist beim Cloud Computing nur schwer möglich, warnt Gartner. "Bei Cloud-Services ist eine dahingehende Überprüfung besonders schwierig, da Logging und Daten mehrerer Unternehmen nebeneinander liegen können und möglicherweise über eine sich ständig wandelnde Gruppe von Hosts und Datenzentren verteilt werden." Lasse sich beim Provider eine vertragliche Verpflichtung auf spezielle Arten der Überprüfung nicht erwirken, bleibe Unternehmen lediglich die Annahme, dass die Anforderungen an Ermittlung und Entdeckung unmöglich sind.

7. Langfristige Lösung: Im Idealfall geht der eigene Cloud-Computing-Anbieter niemals pleite oder wird durch eine Übernahme von einem größeren Unternehmen geschluckt. Für den Fall der Fälle müssten Firmen jedoch sicherstellen, dass die eigenen Daten auch dann verfügbar bleiben, so Gartner. Organisationen sollten demnach vorab klären, wie sie ihre Daten zurückbekommen, und ob diese dann in einem Format vorliegen, das sich in eine Ersatzapplikation importieren lässt.