Cloud Computing begünstigt den leichtfertigen Umgang mit Datensicherheit. Das Austrian Chapter der Cloud Security Alliance, das sich gerade in der Gründungsphase befindet, soll heimischen Usern als auch Providern helfen, mehr Verantwortung an den Tag zu legen. [...]
„Was uns Sorge macht, ist der unbekümmerte Umgang mit Informationen durch die User. Neuerdings werden Services einfach von den Fachbereichen der Firmen aus der Wolke gekauft und fleißig personenbezogene Daten, wie etwa Kundeninformation oder kritische Firmendaten, einfach auf einen Server am anderen Ende der Welt geschoben. Alles, was die IT in Sachen Vertraulichkeit, Integrität und Verfügbarkeit von Informationen in den letzten 20 Jahren mühsam an Prozessen, Methoden, Richtlinien und letztendlich technischen Schutzmechanismen aufgebaut hat, wird dabei völlig ignoriert und ad absurdum geführt“, sagt Martin Pscheidl, Geschäftsführer von Averell Consulting, gegenüber der COMPUTERWELT.
Wie sehr das Problem unter den Nägeln brennt, zeigt u.a. die hohe Mitgliederzahl der 2008 gegründeten Cloud Security Alliance (CSA): 46.000 sind registriert, darunter auch 220 Österreicher. Um in der Alpenrepublik, aber auch in der Dachorganisation mit mehr Gewicht agieren zu können, haben sich Pscheidl und Gleichgesinnte entschlossen, noch im Mai dieses Jahres das Austrian Chapter der CSA als gemeinnützigen Verein zu gründen. Um der immensen Dynamik von Cloud Computing und den damit verbundenen Risiken etwas entgegensetzen zu können, bemüht sich die Alliance seit Gründung um einen einheitlichen Industriestandard. „Die CSA hat bereits 2009 begonnen, 13 unterschiedliche Domänen der Informationssicherheit zu definieren sowie konkrete Handlungsanweisungen zu erarbeiten und zu publizieren. Das heißt: Die wirklichen Best Practices für alle diese Bereiche liegen bereits vor und bewähren sich weltweit. Zusätzlich gibt es dafür Trainings zum Certified Cloud Security Knowledge, nachdem wir in Lizenz auch unsere österreichischen Experten weiterbilden werden“, so Gründungsmitglied Martin Pscheidl.
Obwohl Cloud Computing der Prototyp einer globalen Technologie ist, unterstreicht Pscheidl die Wichtigkeit lokaler Ansprechpartner. „Auch wenn Teile der Services aus der EU oder von irgendwo sonst her geliefert werden – oder gerade deshalb –, müssen wir die Möglichkeiten und Gefahren dieser Technologien beherrschen können. Die drei Säulen der Informationssicherheit, nämlich Vertraulichkeit, Integrität und Verfügbarkeit der Informationen, müssen weiterhin gewahrt bleiben, und dazu braucht man lokale Spezialisten mit einem breiten und tiefen Fachwissen in diesem zukunftsträchtigen Technologiebereich. Das kann man – noch nicht – in der Schule lernen!“
Im Zentrum der Aktivitäten der Cloud Security Alliance stehen die beiden Best-Practice-Leitfäden „Security Guidance for Critical Areas in Cloud Computing“ und „Security as a Service Implementation Guidance“, die ständig weiterentwickelt werden und als Grundlage für Cloud-Computing-Strategien in zahlreichen Unternehmen dienen.
Eine aktuelle Publikation der CSA ist zudem der Report „The Notorious Nine: Cloud Computing Top Threats in 2013“, der folgende Bedrohungen auflistet – geordnet nach ihrem Schweregrad:
1. Data Breaches
2. Data Loss
3. Account Hijacking
4. Insecure APls
5. Denial of Service
6. Malicious Insiders
7. Abuse of Cloud Services
8. Insufficient Due Diligence
9. Shared Technology Issues
Alle diese Bedrohungen werden in dem Bericht analysiert und im Detail dargestellt. Dies erleichtert den Benutzern wie auch den Anbietern von Cloud Services die Bewertung von Risiken sowie die Ableitung klarer Cloud-Strategien. Dieses Forschungsdokument sollte, so eine Empfehlung der Cloud Security Allliance, in Verbindung mit den erwähnten Best-Practice-Leitfäden eingesetzt werden.
Unter http://www.cloudsecurityalliance.at finden Sie mehr Infos über die CSA. (su)
Be the first to comment