Die Administration und der Betrieb von IT-Systemen heute hat sich im Vergleich zu früher stark geändert: Heute verteilen sich die Systeme über mehrere Standorte hinweg und werden teilweise als public oder private Cloud-Services von unterschiedlichen Dienstleistern bezogen. Die Anbindung an das zentrale Firmennetzwerk erfolgt nicht mehr über spezielle Wide Area Networks (WANs), sondern aus Kostengründen über das Internet. Das birgt für Unternehmen zweierlei Herausforderungen: Erstens ist die potenzielle Angriffsfläche um ein Vielfaches größer geworden. Zweitens entzieht sich ein Teil der Infrastruktur bei den Cloud-Modellen schlicht und einfach der direkten Kontrolle durch das Unternehmen. Erschwerend kommt hinzu, dass die Verträge, die die Zusammenarbeit mit Anbietern von Cloud-Services und Outsourcing regeln und Verantwortlichkeiten und Verantwortungen festlegen, oftmals derart komplex sind, dass ihr Abschluss durch juristischen Beistand begleitet werden muss. Welche Risiken es gibt, wie sie behoben oder zumindest eingegrenzt werden können, wird im Folgenden beschrieben. [...]
Solche Bedrohungsszenarien durch Insider sind nicht Cloud-spezifisch. Der Unterschied aber ist der Multiplikatoreffekt, den ein Cloud Provider durch seine eigenen Administratoren und eventuell zusätzlich involvierte Dritte Parteien darstellt. Eine Kontrolle ist durch einen sicherheitsbewussten Kunden kaum möglich.
SICHERE PROZESSE ETABLIEREN
Eine weitere Komponente spielt bei der Sicherheit einer dezentralen Infrastruktur eine wichtige Rolle: die Prozesse, die Kommunikation und Austausch mit den Partnern regeln. Die IT Infrastructure Library (ITIL) hat sich in vielen Unternehmen zumindest als Richtlinie für den Betrieb der Infrastruktur etabliert. Umfragen zeigen jedoch, dass für Cloud-Services sehr selten Prozesse auf Basis von ITIL verwendet werden, obwohl doch die ITIL-Prozesse in der Theorie unabhängig von der verwendeten Technologie betrachtet werden. Warum ist dies so? Zum einen ist sicher die heimliche Verwendung von Cloud-Services innerhalb des Unternehmens zu nennen, ohne dass die IT Abteilung davon überhaupt etwas weiß, Stichwort Schatten-IT. Fachabteilungen nutzen häufig Anwendungen wie DropBox oder Skype – aus Bequemlichkeit, denn sie sind schnell verfügbar und einfach in der Abrechnung. Hier sind Unternehmen gut beraten, ihren Fachabteilungen unternehmensinterne Systeme mit gleicher Verfügbarkeit und Nutzerfreundlichkeit zur Verfügung zu stellen. So können sie Risiken durch Schatten-IT vermeiden. Ein zweiter Punkt ist, dass bei der Verwendung von Cloud-Diensten Unternehmensgrenzen überschritten und Technologien eingesetzt werden, welche deutlich von den bestehenden Unternehmenssystemen abweichen. In der Regel finden sich keine oder wenige brauchbare ITIL-kompatible Schnittstellen, über die Changes und Incidents übermittelt werden können. Zum anderen sind viele Changes in der Cloud durch automatisierte Deployments im Self-Service-Verfahren möglich – das ist ja gerade einer der wesentlichen Vorteile der Cloud. Die Prozess-Definitionen aus ITIL tun sich jedoch schwer, solche Szenarien eins zu eins abzubilden. Was nicht heißt, dass dies nicht möglich wäre. ITIL lässt sich auch flexibler interpretieren und an Cloud-Szenarien anpassen. Dienstleister, die auf ITIL spezialisiert sind, können bei der Interpretation und Umsetzung helfen.
FAZIT
Die Cloud wird in Zukunft durch Anwendungen wie Big Data oder Konzepte wie DevOps eine Enabler-Rolle einnehmen. Die Technologien zur Absicherung von Cloud–Anwendungen sind verfügbar und ohne große Komforteinbuße verwendbar. Der Anwender muss sie nur konsequent einsetzen. Hierbei besteht teilweise noch Unsicherheit, ob Cloud-Sicherheit als Teil einer Cloud- oder einer Security-Strategie zu sehen ist. Beides ist letztlich richtig und sollte daher auch nicht getrennt voneinander betrachtet werden. Um Unternehmen generell die Angst vor Datenmissbrauch in der Cloud zu nehmen, bieten viele Provider bereits das Hosting in lokalen Rechenzentren in Deutschland an. Dann profitieren diese von den wesentlich strengeren Datenschutzbestimmungen in Deutschland im Vergleich zu anderen europäischen und nicht-europäischen Ländern. Unter Einhaltung der grundlegenden, beschriebenen Sicherheitsmaßnahmen können Unternehmen die Cloud also sicher nutzen, und von den positiven Eigenschaften wie Flexibilität, Skalierbarkeit und Kostentransparenz profitieren.
* Henning von Kielpinski ist Cloud-Experte bei Consol.
Be the first to comment