Cloud-Services sind nicht hundertprozentig sicher. Das ist aber kein Grund, sie kategorisch abzulehnen. Absolut sicher ist der Server im eigenen Haus schließlich auch nicht. Wer seine Hausaufgaben macht, kann ruhigen Gewissens die Vorteile der Cloud nutzen. [...]
Eines kann man vorweg gleich sagen: Trotz des durch Edward Snowden ausgelösten NSA-Spionageskandals steigt die Zahl der Unternehmen, die Cloud-Services nutzen, stetig an. Zu groß sind vielfach die Vorteile, die sich daraus ergeben. Gerade für kleine Unternehmen stellen Cloud-Services oft einen Quantensprung in der IT-Nutzung dar, da sich auf diese Weise zugekaufte Anwendungen im Eigenbetrieb gar nicht realisieren lassen würden. In solchen Fällen heißt es: entweder Cloud oder gar nicht.
Trotzdem beschäftigt die NSA die heimischen IT-Verantwortlichen. „Wir werden tatsächlich häufig darauf angesprochen“, sagt Harald Leitenmüller, CTO von Microsoft Österreich, im Rahmen der Cloud-OS-Präsentation in Wien gegenüber der COMPUTERWELT. „In der Regel ist es eine positive Diskussion, weil es auch etwas Positives bewirkt, und zwar zwei bewusstseinsbildende Maßnahmen. Erstens: Der Kunde beschäftigt sich selbst mit der Frage, was die geschäftskritischen Daten sind – eine Aufgabe, die bis heute oft verschlampt wurde und nun massiv passiert. Das zweite ist eine Diskussion auf politischer Ebene, das Souveränitätsproblem. Was ist hier in Österreich in Sachen Intellectual Property überhaupt schützenswert? Das reicht bis zu Firmengeheimnissen und personenbezogenen Daten.“
Und auch wenn ein Unternehmen über die Ressourcen verfügt, um selbst im eigenen Haus die IT zu betreiben, so heißt das nicht zwangsläufig, dass das sicherer ist als ein Cloud-Service. Eher das Gegenteil ist der Fall: Bei großen auf IT spezialisierten Providern kann man von einem wesentlich höheren Sicherheitslevel ausgehen, als es in chronisch unterbesetzten unternehmenseigenen IT-Abteilungen der Fall ist. Paradoxerweise wird so einer der größten Vorteile von Cloud-Services, nämlich ein Mehr an Sicherheit, oft zu einem der größten Kritikpunkte.
Das soll nun nicht heißen, dass Unternehmen gleich alle Applikationen und Daten an Cloud-Provider auslagern sollten, aber wer sich nicht mit dem Potenzial der Cloud beschäftigt, wird in Zukunft Wettbewerbsnachteile in Kauf nehmen müssen. Da es ja auch die Möglichkeit gibt, die eigene IT mit Services aus einer Public Cloud anzureichern, Stichwort hybride IT, ist derzeit die Evaluierung von Cloud-Möglichkeiten eine der wichtigsten Aufgaben eines CIO. Um die potenziellen Gefahren einschätzen zu können, ist es daher hilfreich, zunächst einmal zu wissen, was denn die größten Risiken im Zusammenhang mit Public Cloud Services sind.
RISIKEN IN PUBLIC CLOUDS
- Verletzung der Vertraulichkeit und Integrität der Daten: Eine Lokalisierung der Daten ist in einer Public oder Hybrid Cloud für den Dateneigentümer nicht mehr einfach möglich. Daher ist der Schutz der Daten auf der Infrastruktur-, Plattform- und Applikationsebene häufig nicht mehr mit üblichen Mitteln zu gewährleisten. Gerade für sensitive Daten kann eine ausreichende Zugriffskontrolle nur schwer realisiert werden. Auch die Infrastruktur der Cloud selbst kann angegriffen oder missbraucht werden.
- Löschung von Daten: Daten müssen in vielen Fällen (etwa aufgrund gesetzlicher Bestimmungen) gelöscht werden. Auch hier besteht das Risiko einer nur unzureichenden oder unvollständigen Löschung auf allen Plattformen und Datenbanken der Cloud, da die Lokalisierung der Daten nur schwer möglich ist. Auch nach Beendigung des Auftrags müssen die verarbeiteten Daten und alle Zwischenergebnisse in der Public Cloud gelöscht werden.
- Ungenügende Mandantentrennung: Bei nicht ausreichend abgesicherter Mandantentrennung besteht die Gefahr, dass Dritte unautorisiert Daten einsehen oder manipulieren können. Dieses Risiko ist in einer Public Cloud erhöht, da durch Virtualisierung und Grid Computing keine physikalische Trennung der Daten unterschiedlicher Mandanten erfolgt.
- Verletzung der Compliance: Da Daten in einer Public Cloud prinzipiell in allen Ländern der Welt in deren spezifischen Rechtsordnungen verarbeitet werden können, wird die Erfüllung aller gesetzlicher Anforderungen – eine wesentliche Aufgabe bei der Nutzung von Public Cloud Services – erschwert.
- Verletzung von Datenschutzgesetzen: Es ist nicht von vornherein klar, in welchen Ländern, Rechenzentren, auf welchen Servern und mit welcher Software die Daten gespeichert und verarbeitet werden. Auch sind die Datenflüsse unbekannt. Es besteht dadurch die Gefahr der Verletzung von Datenschutzvorschriften.
- Insolvenz des Providers: Die Insolvenz eines Providers bedeutet meist nicht die Insolvenz aller Rechenzentren, die der Provider verwendet hat. Rechenzentren werden zudem bei Insolvenz an andere Provider verkauft werden. In diesen Fällen besteht das Risiko, dass Daten nicht vor unberechtigtem Zugriff geschützt sind.
- Problematik der Subunternehmer: Ein weiteres Problem stellt die Auftragsweitergabe an Subunternehmer dar. Der Provider wird häufig Subunternehmer für gewisse Leistungen verpflichten. In einer Public Cloud bleibt auch diese Komplexität dem Benutzer häufig verborgen. Daten können sich dann auf Computing-Ressourcen eines unbekannten Subunternehmers irgendwo in der Welt befinden.
- Beschlagnahmung von Hardware: Eine Beschlagnahmung von Hardware kann in allen Ländern erfolgen, in denen der Provider Computing-Ressourcen nutzt. Meist werden sich Daten des Auftraggebers auf beschlagnahmten Servern befinden. Logdaten auf Servern und Routern können Schlussfolgerungen auf die Geschäftstätigkeit des Kunden auch ermöglichen, wenn keine sonstigen Geschäftsdaten vorliegen.
- Handel mit Ressourcen wird denkbar: Denkbar ist auch, dass Provider einen Handel mit ihren Ressourcen untereinander aufbauen und damit eine Ressourcenbörse realisieren. Auf dieser Börse werden Ressourcen zu einem bestimmten Preis angeboten. In Leistungsspitzen würde etwa der Preis pro CPU-Stunde auf der Börse höher gehandelt. Welche Konsequenzen dies für die Sicherheit der Daten haben kann, ist noch vollkommen unklar.
- Erpressungsversuche: Die Gefahr von Erpressungsversuchen steigt, da der Personenkreis mit Administrationsaufgaben für Ressourcen der Public Cloud unüberschaubar groß ist. Das eingesetzte Personal verfügt im Allgemeinen über unterschiedliches Ausbildungsniveau und Sicherheitsbewusstsein. Auch sind die Motivationslagen der Mitarbeiter in vielen Ländern nicht kalkulierbar.
HINTERHERLAUFEN KEINE OPTION
Wenn Provider diese Punkte ausreichend adressieren und entsprechende Maßnahmen vertraglich festgehalten werden, spricht eigentlich nichts dagegen, Cloud-Services von diesen Providern zu beziehen. Trotzdem beobachtet Tobias Höllwarth, Vorstand der Industrievereinigung Eurocloud Austria, dass „auf Nutzerseite unzureichende Security eine Ausrede dafür ist, sich überhaupt mit Cloud Computing zu beschäftigen.“ Er rät Unternehmen daher dringend, die notwendigen Hausaufgaben zu machen: Erarbeitung einer Cloud-Strategie, Anpassung von Prozessen und Organisation und Aufbau des erforderlichen internen Knowhows. „Vor allem die Qualifizierung von Mitarbeitern, die die Steuerung von mehrfachen Cloud-Services und deren Integration in eine hybride IT-Umgebung bewältigen können, lässt sich nicht von einem Tag auf den anderen erreichen“, sagt Höllwarth gegenüber der COMPUTERWELT.
Sind die technischen und organisatorischen Hausaufgaben gemacht, dann könnten schon jetzt in sensibelsten Unternehmensumgebungen Public Cloud Services genutzt werden. „Ich warne vor dem Risiko sich mit dem Thema Cloud nicht jetzt und substantiell zu beschäftigen – zumindest in Form einer Cloud-Strategie und mit der Erstellung von Cloud-Policies. Der Zug fährt schon lange und sehr schnell, und Hinterherlaufen ist keine betriebswirtschaftlich sinnvolle Option.“ (idg/oli)
Be the first to comment