Sicherheit als Auswahlkriterium eines Service-Providers IT-Sicherheit beim Cloud Computing darf kein Luftschloss sein

Autor / Redakteur: Stefan Blum, (ISC)²-zertifizierter CISSP / Stephan Augsten

Cloud Computing und Security as a Service versprechen viele Vorteile, doch Sicherheitsfragen dürfen dabei nicht übersehen werden. Damit verbundene Herausforderungen sind lösbar, wenn der Provider kompetent ist und es zwischen den Parteien klare vertragliche Regelungen gibt. In diesem Beitrag erfahren Sie, was man bei der Auswahl eines Service-Anbieters beachten sollte.

Firmen zum Thema

Um ein Donnerwetter bei der IT-Sicherheit zu vermeiden, sollte der Cloud-Computing-Anbieter sorgfältig ausgewählt werden.
Um ein Donnerwetter bei der IT-Sicherheit zu vermeiden, sollte der Cloud-Computing-Anbieter sorgfältig ausgewählt werden.
( Archiv: Vogel Business Media )

Im Bereich des Cloud Computing werden durch verschiedene IT-Provider unterschiedliche Dienstleistungen angeboten. Diese Leistungen beziehen sich auf drei unterschiedliche Architekturebenen:

  • Infrastructure as a Service (IaaS): Server-, Netzwerk- und Speicherkapazitäten
  • Platform as a Service (PaaS): Middleware, Datenbanken, Laufzeit- und Entwicklungsumgebungen
  • Software as a Service (SaaS): Applikationssoftware

Kunden können diese Dienste bei Bedarf in dem Umfang anfordern, den sie für die Unterstützung ihrer Geschäftsprozesse benötigen. Die eingesetzten Hard- und Softwarekomponenten werden durch den Provider hochgradig virtualisiert und verschwinden für den Kunden förmlich „in der Wolke“. Dabei wird zwischen zwei Arten von Clouds unterschieden:

  • „Private Clouds“ werden dediziert für ein einziges Unternehmen betrieben, während
  • „Public Clouds“ als Services über das Internet angeboten und von verschiedenen Kunden gemeinsam genutzt werden.

Neben Flexibilität und Skalierbarkeit gehören die schnellere Einführung neuer, innovativer Technologien und eine deutliche Kostenersparnis zu den Argumenten zur Nutzung von Cloud Computing. Schenkt man den Analysten Glauben, wird die Nachfrage nach Cloud Computing aus diesen Gründen in den nächsten Jahren stark steigen.

Der Schritt hin zum Cloud Computing muss nicht nur technisch und finanziell, sondern auch in Bezug auf Sicherheit gut geplant sein. Die Notwendigkeit dessen ist klar, wenn man sich vor Augen führt, dass ein Unternehmen durch diesen Schritt die Kontrolle über firmeninterne Daten und Informationen an den Betreiber der Cloud weitergibt. Denn es ist für ein Unternehmen völlig transparent, auf welcher Hardware und an welchen geographischen Orten die Cloud betrieben wird.

Seite 2: Wichtige Sicherheitsaspekte beim Cloud Computing

Wichtige Sicherheitsaspekte beim Cloud Computing

Generell unterscheiden sich die Sicherheitsanforderungen an Cloud Computing auf den drei Ebenen IaaS, PaaS, und SaaS. Darüber hinaus gilt es, die Nachvollziehbarkeit über alle drei Ebenen hinweg herzustellen, damit die Basis nachhaltiger IT-Sicherheit geschaffen wird. Denn wichtige Themen wie Datenschutz betreffen alle drei Ebenen (z.B. IaaS: tatsächlicher Speicherort der Daten, PaaS: Zugriffskontrolle auf Plattformebene, SaaS: Verarbeitung der Daten durch die Anwendung).

Unternehmen, die sich für eine Cloud-Computing-Lösung interessieren, sollten daher folgende Punkte beachten:

Einhaltung von IT-Sicherheitsstandards und Compliance: Als Eigentümer der Daten sind die Unternehmen für die Einhaltung von IT-Sicherheits- und Compliance-Anforderungen verantwortlich. Diese müssen klar definiert sein, damit sie vom Provider für den Betrieb der Cloud umgesetzt werden können.

Personenbezogene Daten, die dem deutschen Bundesdatenschutzgesetz unterliegen, dürfen beispielsweise nicht ohne weiteres in ein Land außerhalb der EU übermittelt werden, in dem geringerer Datenschutz besteht. Vor allem in der Public Cloud besteht für den Nutzer und den Provider die Herausforderung, diverse Compliance-Richtlinien sowohl in den Anfordungen als auch im Systembetrieb zu berücksichtigen.

Zugriffsschutz und Trennung von Daten: Sensible Daten, die in der Cloud gespeichert und verarbeitet werden, müssen vor dem Zugriff durch administratives Personal des Providers geschützt werden. Hier kommt es auf die Professionalität des Providers an, dass entsprechende organisatorische (z.B. Rollentrennung), technische (z.B. Verschlüsselung) und personelle Maßnahmen (z.B. Überprüfung des Personals) umgesetzt werden.

Gerade in Public Clouds ist es erforderlich, Daten auch vor unberechtigtem Zugriff durch andere Kunden zu schützen. Dazu muss der Provider Mechanismen zur logischen oder physikalischen Trennung der Daten etablieren (z.B. durch Verschlüsselung) und die Zugriffsberechtigungen entsprechend setzen.

Identity and Access Management: Das Management der Accounts, Berechtigung und Zugangskontrolle zu den Services der Cloud sind essentiell, damit unberechtigter Zugriff verhindert und ein Auditing ermöglicht werden kann. Für den Provider besteht hierbei die Herausforderung, Auditing-Informationen auf Service-Ebene bereitzustellen, auch wenn der Service über verschiedene Server und Standorte hinweg verteilt ist.

Verfügbarkeit und Netzanbindung der Cloud: Mit der Auslagerung von IT-Komponenten in die Cloud, werden die Geschäftsprozesse der Unternehmen abhängig von der Verfügbarkeit der Clouds. Daher ist die Vereinbarung adäquater Service Level Agreements mit dem Provider der Cloud unerlässlich. Dabei sollten Unternehmen darauf achten, dass der Provider über entsprechende Erfahrungen mit Business Continuity und Disaster Recovery verfügt.

Die Verfügbarkeit der Services, die über die Cloud genutzt werden, ist abhängig von der Netzanbindung des Unternehmens an die Cloud. Eine entsprechend leistungsfähige und ausfallsichere Netzanbindung ist daher bereits in der Planungsphase zu berücksichtigen.

Viability: Für den Fall, dass ein Provider den Cloud Service nicht mehr anbieten sollte und diese von einem anderen Provider übernommen werden, sind vertragliche Regelungen erforderlich. Insbesondere ist zu regeln, dass die in der Cloud verteilten Daten und Informationen exportiert, sicherheitstechnisch gelöscht und in die Cloud des neuen Anbieters importiert werden können.

Seite 3: Cloud Computing birgt Verbesserungspotenzial

Cloud Computing birgt Verbesserungspotenzial

Darüber hinaus kann die Verwendung einer Cloud Computing Lösung die IT-Sicherheit durch folgende Aspekte deutlich verbessern:

  • Security as a Service: Managed Security Services können durch Clouds schnell und flexibel bereitgestellt werden. So können beispielsweise ressourcenintensive Funktionen eines Virenscanner als Service in die Cloud ausgelagert werden.
  • Erhöhung der operativen IT-Sicherheit: Erfolgt der Betrieb der Cloud durch einen Provider, der durchgängig IT-Sicherheit umsetzt, kann die operative IT-Sicherheit gegenüber einem Eigenbetrieb erhöht werden. Denn das Unternehmen braucht sich um Themen wie Patch Management, Health Check, Virenschutz, Härtung von Systemen nicht mehr zu kümmern und kann dies dem professionellen Provider überlassen.

Bevor die Entscheidung fällt, ob IT Ressourcen in eine Cloud ausgelagert werden, sollten Unternehmen bestimmte Aspekte anhand einer Checkliste an den Provider adressieren und anschließende Regelungen vertraglich festhalten. Hierzu zählen beispielsweise Compliance, Daten- und Informationsschutz, Identity- und Access-Management und Verfügbarkeit.

Die Sicherheit darf trotz der vielen Vorteile, die Cloud Computing mit sich bringt, nicht dem Zufall überlassen werden. Ferner kommt es darauf an, einen kompetenten und vertrauenswürdigen Provider zu wählen, der großen Wert auf Sicherheitsaspekte legt, entsprechende Lösungen in der Cloud umsetzt und zur Verbesserung der IT-Sicherheit im Unternehmen beiträgt.

Dr. Stefan Blum

Dr. Stefan Blum ist Managing Consultant bei IBM Global Business Services und (ISC)²-zertifizierter CISSP.

(ID:2041651)