Die Sicherung der Cloud Die Notwendigkeit von Cloud Computing Sicherheitsstandards

Autor / Redakteur: Ralph Beuth / Florian Karlstetter

In jüngster Zeit ist die Cloud zu einem sehr beliebten Weg geworden, um in Unternehmen Kosten zu sparen und wirtschaftlich erfolgreich zu sein. Mit der wachsenden Popularität steigt aber auch die Notwendigkeit von Sicherheitsstandards rapide an.

Firmen zum Thema

Noch gibt es keine allgemein akzeptierte Definition, wie effektive Sicherheit in der Cloud aussieht.
Noch gibt es keine allgemein akzeptierte Definition, wie effektive Sicherheit in der Cloud aussieht.
(© karika - Fotolia.com)

Anwender in allen Bereichen wollen beruhigt sein, dass ihre Daten in der Cloud sicher aufgehoben sind. Der folgende Experten-E-Guide betont die Notwendigkeit von Sicherheitsstandards in der Cloud.

Die Cloud ist unausweichlich. Schlagworte listen jeden Vorteil und jedes Manko des As-a-Service-Modells mit Leidenschaft auf. Provider posaunen das Modell als Allheilmittel für jedes klamme Budget in die Welt hinaus. Und IT-Profis basteln an Cloud-Strategien, die nicht nur ihre Betriebsausgaben drastisch reduzieren, sondern auch die besondere Beweglichkeit bringen sollen, um am Markt on top zu sein.

Bislang nutzen die meisten Unternehmen die Cloud lediglich für einen sehr kleinen Teil ihrer IT Anforderungen. Eine aktuelle Umfrage von Current Analysis unter nordamerikanischen Unternehmen zur Einführung von Cloud-Anwendungen und Services in Unternehmen (“Enterprise Adoption of Cloud Applications and Services, June 2011“) zeigte auf, dass Unternehmen derzeit weniger als zehn Prozent ihrer IT-Anforderungen auf Cloud Services stützen.

Obwohl sich diese Haltung in den kommenden Jahren zunehmend ändern wird, blicken Betriebe immer noch misstrauisch auf die Cloud als richtige Umgebung für ihre geschäftlichen Anwendungen. Zweifellos gilt die Hauptsorge dabei der Sicherheit. Unternehmen fragen sich, ob ihre Daten in der Cloud gut aufgehoben sind und wie sie einen On-Demand-Service einsetzen können, der den regulatorischen Compliance-Anforderungen entspricht.

Unternehmen sträuben sich, Hals über Kopf in die Cloud zu gehen, ohne irgendwelche Schutzgarantien zu haben. Die potentiell poröse Natur der Cloud bildet ein reizvolles Angriffsziel und die Virtualität des Modells macht die Schaffung beschützender On-Demand-Umgebungen zu einem komplexen, multi-dimensionalen Prozess.

Allgemein akzeptierte Definitionen fehlen

Es hilft alles nichts, es gibt bisher keine allgemein akzeptierte Definition, wie effektive Sicherheit in der Cloud aussieht. Es gibt keine Standards oder wenigstens verbreitete Best Practices, die aufzeigen würden, welche Schutzmaßnahmen und Methoden Anbieter und Anwender benötigen um ausreichende Sicherheit zu gewährleisten. Eher sind Cloud-Anbieter und Unternehmen im Allgemeinen darauf angewiesen, auf eine scheinbar endlose Liste von Prüfrichtlinien vertrauend herumzuprobieren: Datacenter-Standards, regulatorische Anforderungen und Branchenrichtlinien sollen den Weg zum Schutz der Cloud-Umgebungen weisen.

Nicht nur, dass dies die Sicherheit in der Cloud noch viel komplizierter macht, dieser disjunkte Ansatz führt auch kaum zu mehr Sicherheit. Stattdessen sollten sich Anwender und Unternehmen lieber auf die Kernelemente der Cloud-Sicherheit fokussieren, wie Virtualisierungssicherheit, Identitäts- und Zugriffsmanagement, Threat-Management, Content Security und Datenschutz.

Die Arbeit des National Institute of Standards and Technology

Die Branche sollte beim Thema Cloud-Sicherheit auch die Arbeit des National Institute of Standards and Technology (NIST) beachten, die eine gute Basis zum Schutz möglicher zukünftig in der Cloud stattfindender, geschäftskritischer Workloads bietet. Obwohl die Arbeit des Instituts eigentlich ausdrücklich dazu gedacht war, Regierungsorganisationen eine sichere Migration in die Cloud zu ermöglichen, sind deren Prinzipien für Organisationen im privaten Sektor ebenso relevant.

Die Leitlinien des NIST adressieren grundlegende Aspekte von Sicherheit und Vertraulichkeit in der Cloud, darunter Architektur-, Identitäts- und Zugriffsmanagement, Vertrauen, Software-Isolierung, Datenschutz, Compliance, Verfügbarkeits- und Zwischenfall-Response. Darüber hinaus gibt das NIST Ratschläge, die Organisationen im Hinblick auf das Public Cloud Outsourcing berücksichtigen müssen. Man betreibt zudem ein Wiki für Kommentare und Feedback zu den Richtlinien.

Cloud Security Alliance

Die Cloud Security Alliance (CSA) ist eine weitere Quelle, an die sich immer mehr Anbieter und Kunden wenden, um sich über Best Practices zum Schutz von Anwendungen in einer On-Demand-Umgebung zu informieren. Durch Frameworks wie die Cloud Controls Matrix, welche Kontrollanforderungen für die Informationssicherheit in der Cloud aufzeigt, bietet die CSA einen praktikablen Weg um zu beurteilen, ob ein Anbieter alle notwendigen Grundlagen zum adäquaten Schutz eines virtuellen Online-Service abdeckt.

Die Arbeit dieser und anderer Organisationen ist richtungweisend für Anbieter und deren Kunden, indem sie das Fundament für sichere und stabile Cloud Umgebungen legt. Was wir als nächstes haben müssen, ist eine breitere Annahme gemeinsamer Sicherheitsprinzipien. Dies wird bereits überzeugten ebenso wie noch abwartenden potentiellen Anwendern Gewissheit geben, dass die Cloud ein brauchbares Liefermodell für die Unternehmens-IT abgeben kann.

Initiativen auf deutscher und europäischer Ebene

Mittlerweile gibt es auch in Deutschland Initiativen, die sich dem Thema Datensicherheit in der Cloud widmen. So hat beispielsweise das Experten-Netzwerk des Cloud-EcoSystem e.V. das Gütesiegel "Trust in Cloud" ins Leben gerufen. Das Zertifikat soll Anwenderunternehmen die Entscheidung bei der Auswahl einer neuen Cloud-Lösung leichter machen.

Auf europäischer Ebene positioniert sich die Initiative EuroCloud, die mit dem Gütesiegel"Eurocloud Star Audit SaaS" für mehr Rechtssicherheit bei der Wahl eines Cloud Services Provider unterstützt.

(ID:31674440)