Cloud Computing Sicherheitsrisiken

Sicherheitsrisiken beim Cloud Computing

In der Cloud - Wachstumspotenzial mit Sicherheitsrisiko? Cloud Computing Advisor: Sicherheitsrisiken in der Cloud umgehen Mit Skepsis sehen viele IT-Manager den Einsatz von Cloud Services. Insbesondere mißtrauen sie der Absicherung von Applikationen und Informationen in der Cloud. In unseren Tips erfahren Sie, wie Sie Sicherheitsrisiken beim Cloud Computing einschränken können. Laut einer kürzlich veröffentlichten Untersuchung der American Inform Technology Intelligence Corporation (ITIC) zögern große Konzerne, den Weg zum Cloud Computing zu gehen, um bei der Inanspruchnahme von Cloud Services nicht unvorhergesehen im Regenguss zu sein.

Größte Befürchtungen bestehen in Bezug auf die Sicherheit: Einerseits ist es in der Regel nicht bekannt, wo sensible Informationen auf der Welt aufbewahrt werden. Andererseits ist zu befürchten, dass das Unternehmen aufgrund eines länger andauernden Stromausfalls zu einem verlustbringenden Betriebsausfall kommen wird. Lediglich wenige dt. IT-Manager wollen heute Cloud-Services einsetzen. Dies ist oft auf Sicherheitsaspekte zurückzuführen.

Die Befürchtungen entspringen, wie so oft, aus der Kritik am Neuen: Es verbreiten sich Geschichten und es mangelt an Erleuchtung. Aber wer weiss, welche Sicherheitslöcher bedrohlich sind und wie er sich verteidigen kann, braucht weniger Angst zu haben, weil die Gefahren auf ein Mindestmaß reduziert werden können. Cloud Computing-Anbieter sind hier verpflichtet, ihre Kundinnen und Kunden über die für sie am besten geeignete Sicherheitsmaßnahme zu unterrichten.

Doch nur wer sein persönliches Sicherheits-Niveau richtig beurteilen kann, wird mehr als nur unheilvollen Schleier für sein Unternehmen in der Cloud entdecken.

Achtung, Cloud - Sicherheitsrisiken beim Cloud Computing

Immer mehr Privatanwender und Firmen verlassen sich heute auf die Versprechungen der Cloud-Anbieter - und geben Bilder, Unternehmensdaten, Lohnbuchhaltung oder sogar das gesamte Firmen-Computing aus. Der vorliegende Artikel ist Teil einer 6-teiligen Artikelserie von Klaus Manhart zum Themenbereich Cloud Computing. Stell dir vor, du hast ein kleines Start-up und wickelst deine IT größtenteils über die Cloud-Services von Google:

Eine Situation, die viele kleine Firmen heute vorfinden. Mit dem Internet-Startup Radi. de war es so. Die Anfragen von Zuhörern und Kunden mussten offen gelassen werden. Da ein geringerer Betrag von einigen hundert EUR nicht belastet werden konnte, hatte der Suchmaschinenbetreiber den Zugriff auf seine Cloud-Software blockiert. Eine 48-stündige Abwesenheit von Informationen, Bürosoftware und Mail-Konnektivität kann für ein kleines Geschäft, das dem Potenzial von Cloud Computing verfallen ist, fatal sein.

Das Beispiel ist nur ein kleiner Ausschnitt aus dem Mosaik kritischer Cloud-Vorfälle, die immer wieder bekannt werden. Wolkenplattformen wie Google's sind manchmal nicht verfügbar. Wenn der Fehler längere Zeit andauert, kann es für einige Firmen eine Gefahr darstellen. In den zehn schwersten Cloud-Katastrophen hat die IT-Abteilung der IT-Abteilung die zehn schwersten aufgetretenen Katastrophen protokolliert, die von einer Ausfallstunde für zehntausend Vertriebsmitarbeiter bei der Vertriebsorganisation bis hin zu einer Ausfallzeit reichten.

24 Cloud-Ausfälle, die allein 2012 öffentlich wurden, werden auf Clouduser.de eingeloggt. Die Kühlunterbrechung in einem Microsoft-Rechenzentrum bewirkte in der Regel einen Teilstopp der Outlook-Cloud-Services mit sich. Der normale Betrieb konnte erst nach 16 Std. wiederhergestellt werden. In der Cloud ist die Informationstechnologie nicht hundertprozentig intakt.

Laut der International Working Group on Cloud Computing Resiliency (IWGCR) haben 568 Ausfallstunden von 13 großen Cloud Services seit 2007 mehr als 71 Mio. US-Dollar gekostet. Allerdings ist der eventuelle Ausfälle des Cloud Services nur eine - wenn auch sehr aktuelle - Gefährdung im Cloud Computing. Aber auch der Schutz der Daten ist eine Sicherheitsschwäche.

Der Datenschutz auf dem Weg zum Anbieter und auf dessen Server ist ohne Vorsichtsmaßnahmen nicht garantiert. Ein besonderes Problem ist, dass beim Betreten der öffentlichen Cloud geschäftskritische Informationen in eine Arbeitsumgebung verschoben werden, die weder im Besitz des Unternehmens selbst noch von ihm selbst ist. Beispielsweise haben Forscher der Ruhr-Universität Bochum für 2011 Sicherheitslöcher in den Cloud-Angeboten von Amazon aufgezeigt.

Die Fachleute sind mit unterschiedlichen Verfahren in das Netz eingebrochen und hätten die Informationen verändern oder vernichten können. Im Jahr 2011 ermöglichte der beliebte Speicherdienst DSropbox den Benutzern, sich für mehrere Std. mit jedem Kennwort in jedem Konto anzumelden. Sicherheits- und Datenschutzfragen waren daher in den letzten Jahren die Haupthindernisse dafür, warum Cloud Computing bei vielen Anbietern immer noch auf Widerstände trifft.

Die vom Beratungsunternehmen Deloitte im Jahr 2011 durchgeführte Befragung europäischer IT-Manager hat ergeben, dass mehr als die Hälfe der Experten den Verlust der Kontrolle über das Thema Data und Applications und mangelnde Informationssicherheit als gravierende Defizite des Cloud-Konzeptes werten. Governance (34 Prozent) und Compliance (24 Prozent) sowie Leistungs- und Verfügbarkeitszweifel (24 Prozent) sind laut der IDC-Studie Cloud Computing in Deutschland 2011 die wichtigsten und am häufigsten erwähnten Hindernisse für die weitere Ausbreitung von Public Cloud Services.

Laut einer Deloitte-Studie sind Unsicherheiten in Themen wie Datenschutz, Konformität und Gesetzessicherheit Anlass für Firmen, gegenüber Cloud-Services skeptisch zu sein (in Prozent). Die jüngste IDC-Studie Cloud Computing in Deutschland 2012 bestätigt jedoch zwischenzeitlich, dass die Security-Aspekte sichtbar ausgereift sind. "Die " Security-Konzepte für Cloud Computing " sind zurzeit noch Gegenstand vieler Diskussionen, werden aber gleichzeitig immer ausgereifter.

"Doch auch heute, im Jahr 2013, sollte man sich nicht in ein falsches Sicherheitsgefühl einbringen. Vieles ist noch in einem traurigen Zustand, wie das SIT herausgefunden hat. In seiner Untersuchung On the Security of Cloud Speicherservices hat das namhafte Unternehmen die Security von Cloud Speicherservices überprüft. Die Schlussfolgerung: "Ein zentrales Resultat der Untersuchung ist, dass alle Anbieter sich der großen Wichtigkeit von Datenschutzbestimmungen und -maßnahmen bewußt sind und diese getroffen haben.

Nichtsdestotrotz konnte bei den Betreibern, die alle zugrunde liegenden Sicherheitsvoraussetzungen erfüllten, keine Einigung erzielt werden. "â??Eines der geprÃ?ften Produkte, das Schwedisch CloudMe, wurde von den Wissenschaftlern in allen Untersuchungspunkten als unzureichend erachtet. Die Fraunhofer-Gesellschaft für Sicherheit in der Informationstechnik hat mehrere Public Store Cloud Services auf Sicherheitsrisiken hin durchleuchtet. Selbst viele Jahre Cloud Computing haben die Sicherheitsprobleme nicht befriedigend gelöst: Die größte Belastung durch den Betrieb einer sicheren Cloud besteht zurzeit noch beim Anbieter.

Der einfachste Weg, dies zu erreichen, ist der des Schutzes Ihrer eigenen Informationen. Beschädigungen durch Datendiebstahl, Verfälschung oder unberechtigten Zugriff können durch die Chiffrierung der Informationen verhindert werden. Für die Übermittlung von Informationen zum und vom Anbieter kann im einfachen Sinne eine gesicherte Datenübertragung über SSL verwendet werden. Zur Sicherstellung der Datenübertragung innerhalb der Cloud-Infrastruktur werden die Produkte zur Datenübertragung in der Praxis meist auf Storage-Ebene oder mit Hilfe von Software-Verschlüsselungstechnologien verwendet.

Firmen sollten am besten mit digitalen Schlüsseln verschlüsseln, die nicht in der Cloud gespeichert sind. Es werden Sicherheitsmodule mit hardwarebasiertem Schlüsselschutz empfohlen, damit der kryptografische Key unter keinen Umständen die Anwendung verlässt. In der Authentisierung wird sichergestellt, dass der Zugriff des Benutzers auf die gesammelten Informationen tatsächlich demjenigen entspricht, der auf sie zugreifen darf.

Für sensible Informationen sollte zumindest eine 2-faktorige Authentisierung - zum Beispiel mit Smartcards oder Zertifizierungen - sowie die Verwendung von digitalen Unterschriften zum Schutz aller Informationen auf dieser Grundlage eingesetzt werden. Obwohl sich die Bereiche Datenverschlüsselung und -authentisierung in den Händen des Cloud-Benutzers befinden, liegt die Zuverlässigkeit immer in der Verantwortung des Anbieters.

Bei Cloud-Verträgen sind Reichweiten von 99,5 bis 99,9 Prozentpunkten die Devise. Die dazugehörigen GAVs müssen festlegen, wie rasch ein Anbieter über Ausfallzeiten informiert werden muss, wie viele geplante Ausfallzeiten erlaubt sein sollen, wie diese exakt auszusehen haben, wie sie zu messen sind, auf welche Entschädigung der Kunde im Falle von Zweifeln Anspruch hat, welche Notfallmassnahmen zu treffen sind.

Wie sollen die Angaben lauten? Bei mehr als möglichen Ausfällen sind viele Firmen jedoch besorgt über die Fragestellung, wo sich die gesammelten Datensätze befinden, wenn sie in die Cloud wechseln. So dürfen z. B. gewisse Angaben nur in Deutschland aufbewahrt werden. Aber in der Cloud weiss kaum jemand ganz genau, wohin die gesammelten Dateien gehen - und was mit ihnen dort abläuft.

Laut einem Beschluss des EuGH können die Informationen nur in die USA übertragen werden, wo sich über 90 Prozentpunkte der Cloud Computing-Infrastruktur befinden, und zwar in begrenztem Umfang. Einige Grundlagen für die Verhandlung zwischen Cloud Service Providern und Kunden findet man z.B. in dem vom Bundesamt für Informationstechnik veröffentlichten Schwerpunktpapier Security Recommendations for Cloud Computing Provider oder bei der European Network and Information Security Agency ENISA, die einen Guideline for Monitoring Cloud Computing Contracts herausgegeben hat.

Vereinigungen wie EuroCloud, die den Cloud-Markt transparenter machen und mit Zertifizierungen und Prüfsiegeln mehr Sicherheit in die Cloud-Technologie schaffen wollen, können ebenfalls helfen. Das Verschieben von Dateien in die Clouds ist kein verlässliches Back-up. Machen Sie Ihr eigenes cloud-unabhängiges Back-up Ihrer Dateien! Wenn vertrauliche Informationen in die Cloud migriert werden sollen, sollten sie in verschlüsselter Form gespeichert werden!

Firmen sollten sich die folgende Fragestellung stellen: Firmen sollten überprüfen, ob die SDBs ihren Bedürfnissen entsprechen!

Mehr zum Thema