Cloud Computing Sicherheit und Datenschutz

Sicherheit und Datenschutz bei Cloud Computing

Die Sicherheitsbedenken sind noch nicht ausgeräumt. Datenschutz und IT-Sicherheit. Datenschutz, Datensicherheit: Sicheres Cloud Computing Das Angebot in der Cloud nimmt zu - von Virtual Servers und Textverarbeitern bis hin zu CRM-Suiten, auf die Benutzer per Knopfdruck aus dem Netz zugreifen können. Dabei kommen drei unterschiedliche Servicemodelle zum Einsatz: Infrastructure-as-a-Service (IaaS) versorgt den Nutzer mit Infrastrukturen wie z. B.

Virtual Machines oder Storage Space. Mit Software-as-a-Service (SaaS) schliesslich offeriert der Cloud-Anbieter eine komplette Softwarelösung, die der Nutzer z.B. über einen Web-Browser bedienen kann.

Cloud -Dienste sind durch den Kontakt mit dem Netz einer Vielzahl von Angriffen und Gefährdungen unterworfen. Die Mitarbeiter sind allgemein zugänglich und Dritte bedienen in der Regel ihre eigene Infrastuktur, was beide Risiken mit sich bringt. Das Cloud Security Alliance (CSA) hat die aus seiner Sicht sieben grössten Bedrohungen für die Verwendung von (öffentlichem) Cloud Computing beschrieben: Günstig durch die grundlegenden Merkmale von Cloud-Infrastrukturen (wie die rasche und unkomplizierte Bereitstellung von neuen Resourcen mit sehr guter Netzwerkkonnektivität), ist die Verwendung von Cloud-Resourcen für Angriffe sehr attraktiv, z.B. um Denial-of-Service-Angriffe (DoS) durchzuführen oder Malware zu gastzuwerben.

Cloud-Dienste und die von den Providern bereitgestellten Managementschnittstellen sind für Public-Cloud-Angebote über das Netz zugänglich und können daher leicht angegriffen werden. Zusätzlich gibt es Programmieroberflächen, mit denen Benutzer Cloud-Dienste steuern und konfigurieren können. Sicherheitslücken an diesen Schnittstellen können Zutrittsschranken eröffnen, z.B. um unberechtigten Zugang zu den Daten der Kunden zu erlangen.

Softwaresicherheitsmaßnahmen sind oft ineffektiv, wenn der Täter auf die Infra-struktur des Cloud-Anbieters ausweichen kann. Dies gilt insbesondere für böswillige Insider - Mitarbeiter des Cloud-Providers, die Zugang zu den Daten der Kunden erhalten. Ein weiteres Merkmal von Cloud Computing ist das sogenannte Ressourcenpools. Dementsprechend werden die materiellen Resourcen von allen Nutzern von Cloud Services genutzt.

Da die Informationen in der Cloud abgelegt werden und viele Benutzer dieselbe Infra-struktur zur gleichen Zeit nutzen, gibt es spezielle Voraussetzungen für die Datenschutz. Frühere Problemstellungen mit Cloud-Anbietern haben gezeigt, dass bei technischen Problemen auch Datenverlust auftreten kann. Um den Nutzern eine schnelle und einfache Nutzung ihrer Services zu ermöglichen, sind viele Cloud-Anbieter auf einen einfachen Login-Prozess angewiesen.

Wenn es einem Angriff gelungen ist, die Zugriffsdaten eines Debitorenkontos herauszufinden, kann er unter einem falschen Vornamen auf externe Dateien zurückgreifen, Mittel mißbrauchen und Schäden verursachen. Zur Beurteilung der Gefahren von Cloud-Diensten müssen die Nutzer die Sicherheitsmaßnahmen der Provider bewerten und in ihre eigenen Überlegungen miteinbeziehen. Erfolgt diese Gefährdungsanalyse nicht oder nur ungenügend, weil der Cloud-Anbieter nicht alle erforderlichen Angaben macht, verbleibt das Gefährdungspotenzial unkalkulierbar.

Erfahren Sie mehr über die Sicherheitsrisiken bei der Nutzung einer öffentlichen oder hybriden Cloud und was Sie dagegen tun können. Wesentliche Voraussetzungen für eine Cloud-Infrastruktur sind eine stabile Security-Architektur und eine gesicherte Clienttrennung auf allen Infrastruktur-Ebenen (Virtualisierung, Network, Platform, Application, Data). Darüber hinaus sollten die Nutzer sicherstellen, dass der Cloud-Anbieter nach einem festgelegten Verfahrensmodell für das Verwalten von IT-Prozessen - wie ITIL oder COBIT - vorgehen.

Denn nur so kann sichergestellt werden, dass die vielen Aufgabenstellungen des Safety Managements systematisch angegangen werden können. Um die Cloud vor Unterbrechungen und Notfällen zu schützen, muss ein zusätzliches Notfallmanagementsystem vorhanden sein. Zertifikate - zum Beispiel ISO 27001 - können dem Benutzer anzeigen, dass der Anbieter solche Verfahren eingerichtet hat. Sauatuck hat eine Liste von Fragen zur Sicherheit im Cloud Computing zusammengestellt, die interessierte Parteien an ihren potentiellen Cloud-Anbieter richten sollten.

Eine weitere wichtige Auswahlkriterien ist die Zentrale des Cloud-Anbieters. Hierzu zählt vor allem der Patriot Act, der den US-Behörden einen umfassenden Zugang zu Benutzerdaten ermöglicht, ohne dass der Benutzer darüber unterrichtet werden muss. Dabei ist die Problematik des Einsatzes von Cloud-Technologien und des Outsourcings von Services vor allem aus der Sicht der Steuerbarkeit und der damit einhergehenden Risken zu betrachten.

Je nach Anwendungsszenario gibt es verschiedene Sicherheitsbedürfnisse. Sie werden in vielen Untersuchungen und Richtlinien, wie z.B. von Frauenhofer AISEC, Bitkom, EuroCloud, Enisa, CSA und im Leitfaden des Bundesamtes für Sicherheit in der Informationstechnologie (BSI) "Sicherheitsempfehlungen für Cloud Computing-Anbieter" erklärt. Ein Nutzer sollte vor oder zu Anfang der Nutzungsdauer von Cloud-Diensten die folgenden Punkte beachten:

Beim Erzeugen oder Übertragen von Inhalten in die Cloud sollte der Nutzer seine Inhalte einordnen ( "niedrig" bis "sehr hoch"), seinen Sicherheitsbedarf auswerten und so feststellen, welche Inhalte von einem Cloud-Provider abgelegt und wie übermittelt werden können. Dazu kann z. B. die Anwendung gewisser kryptographischer Methoden oder eine umfassende Rechtepolitik für den Zugang zu bestimmten Inhalten gehören.

Auch interessant

Mehr zum Thema