Cloud Security Teil 1: Cloud-Computing-Systeme und ihre Schutzziele

Vertraulichkeit, Integrität und Verfügbarkeit beim Cloud Computing

08.02.2010 | Autor / Redakteur: Angelika Ruppel (Fraunhofer SIT) / Peter Schmitz

Daten „in der Cloud“ stehen physikalisch nicht mehr unter Kontrolle der Unternehmen und müssen daher besonders gut geschützt sein.
Daten „in der Cloud“ stehen physikalisch nicht mehr unter Kontrolle der Unternehmen und müssen daher besonders gut geschützt sein.

Die drei wichtigsten Sicherheitsrelevanten Aspekte beim Cloud Computing werden Schutzziele genannt. Um Cloud-Computing-Systeme sicher zu machen müssen Unternehmen sicherstellen können, dass die Vertraulichkeit, die Integrität und die Verfügbarkeit der Daten immer gewährleistet ist. Security-Insider.de beschreibt die drei wichtigsten Schutzziele anhand von Szenarien und zeigt wie man mit ihnen umgehen muss.

Die Grundlage für die Anforderungen an die Sicherheit, die ein IT-System im Allgemeinen und Cloud-Computing-Systeme im Speziellen erfüllen sollten, stellen die Schutzziele dar. Im Folgenden werden die 3 wichtigsten Schutzziele Vertraulichkeit, Integrität und Verfügbarkeit eingeführt und beispielhaft an ausgewählten Cloud-Computing-Szenarien näher erläutert. Abhängig vom Cloud-Szenario können einzelne Schutzziele beispielsweise bei der Speicherung von vertraulichen Daten stärker gewichtet werden oder haben eine eher untergeordnete Rolle beim Betrieb von z.B. Testsystemen in der Cloud.

Vertraulichkeit in Cloud-Computing-Umgebungen

Ein System gewährleistet die Informationsvertraulichkeit, wenn keine unautorisierte Informationsgewinnung möglich ist. Die Gewährleistung der Eigenschaft Informationsvertraulichkeit erfordert die Festlegung von Berechtigungen und Kontrollen der Art, dass sichergestellt ist, dass Subjekte nicht unautorisiert Kenntnis von Informationen erlangen. Dies umfasst sowohl den von Benutzern autorisierten Zugriff auf gespeicherte Daten, wie auch auf Daten, die über ein Netzwerk übertragen werden. Berechtigungen zur Verarbeitung dieser Daten müssen vergeben und entzogen werden können und es müssen Kontrollen vorhanden sein, die eine Einhaltung dieser Rechte durchsetzen.

In Cloud-Computing-Systemen sind die Daten häufig in Bewegung, da Anbieter von Cloud-Ressourcen zur Optimierung ihrer Infrastrukturkapazität und Sicherstellung der Performanz die Daten auf von ihnen ausgewählten Rechnern speichern können und diese Daten auch kopieren und duplizieren dürfen müssen. Diese Prozesse liegen üblicherweise außerhalb der Einflussmöglichkeiten der Kunden und können zu Vertraulichkeitsproblemen führen, wenn die Daten beispielsweise Landesgrenzen überschreiten oder auf weniger sicheren Systemen gespeichert werden.

Durch die eingesetzten Algorithmen und Datenstrukturen der Anbieter kann nicht immer garantiert werden, dass die Daten verschlüsselt auf einem Speichermedium vorliegen. In den Geschäftsbedingungen der meisten Cloud-Anbieter gibt es keine Zusicherungen darüber, wo die Daten gespeichert werden und wie ihre Vertraulichkeit geschützt wird. Häufig ist es dem Kunden selbst überlassen, entsprechende Sicherheitsverfahren anzuwenden. Dabei sollten ruhende Daten immer verschlüsselt auf dem Speichermedium oder in der Datenbank vorliegen. Dies schließt besonders Unternehmensinterna, Behörden- und Verwaltungsdaten, personenbezogene Daten und weitere vertrauliche und gesetzlich geregelte Daten wie Kreditkartennummern mit ein.

In einem typischen Cloud-Szenario sind meist nicht nur ein Konsument und ein Anbieter in einer bilateralen Geschäftsbeziehung verbunden, sondern eine Reihe weiterer Anbieter in verschiedenen Rollen, wie beispielsweise als Intermediär oder Konsument weiterer Cloud-Services, involviert. Kann im Fall einer bilateralen Geschäftsbeziehung die Vertraulichkeit mit bestehenden Verfahren wie beispielsweise SSL/TLS zur sicheren Datenübertragung zugesichert werden, so wird im zweiten Fall eine breite Unterstützung von Technologien benötigt, die die Vertraulichkeit zwischen einer Gruppe von beteiligten Akteuren sicher stellt. Dies umfasst sowohl Richtlinien seitens des Anbieters zum Umgang mit vertraulichen Daten und deren Überprüfung, als auch unterstützende Technologien zum Verwalten von Schlüsseln für die Ver- und Entschlüsselung der Daten.

Seite 2: Schutzziel Integrität

Inhalt des Artikels:

Kommentare werden geladen....

Kommentar zu diesem Artikel

Der Kommentar wird durch einen Redakteur geprüft und in Kürze freigeschaltet.

Anonym mitdiskutieren oder einloggen Anmelden

Avatar
Zur Wahrung unserer Interessen speichern wir zusätzlich zu den o.g. Informationen die IP-Adresse. Dies dient ausschließlich dem Zweck, dass Sie als Urheber des Kommentars identifiziert werden können. Rechtliche Grundlage ist die Wahrung berechtigter Interessen gem. Art 6 Abs 1 lit. f) DSGVO.
  1. Avatar
    Avatar
    Bearbeitet von am
    Bearbeitet von am
    1. Avatar
      Avatar
      Bearbeitet von am
      Bearbeitet von am

Kommentare werden geladen....

Kommentar melden

Melden Sie diesen Kommentar, wenn dieser nicht den Richtlinien entspricht.

Kommentar Freigeben

Der untenstehende Text wird an den Kommentator gesendet, falls dieser eine Email-hinterlegt hat.

Freigabe entfernen

Der untenstehende Text wird an den Kommentator gesendet, falls dieser eine Email-hinterlegt hat.

copyright

Dieser Beitrag ist urheberrechtlich geschützt. Sie wollen ihn für Ihre Zwecke verwenden? Infos finden Sie unter www.mycontentfactory.de (ID: 2043280 / Mobile- und Web-Apps)