Cloud Computing ist ein Hype-Thema der IT. Doch viele Reseller fragen sich, ob das Sicherheitsrisiko nicht viel zu hoch ist, um wirklich ihren Kunden den Schritt in die Cloud zu empfehlen. Martin Kuppinger* klärt auf.

Bevor man sich der Frage nach der Sicherheit des Cloud Computings widmet, gilt es aber zunächst zu klären, was Cloud Computing überhaupt ist. Wie bei allen populären Themen gibt es unzählige Definitionen, oft von den Marketing-Abteilungen der Hersteller entsprechend vorhandener oder auch neuer Produktangebote geprägt.

Cloud Computing - es geht um Services

Die Quintessenz des Cloud Computings ist der Schritt zu einer service-orientierten IT, die in der Lage ist, die für die Business-Anforderungen erforderlichen Dienste flexibel bereitzustellen und dabei unterschiedliche IT-Services zu "orchestrieren". Diese Services können intern oder extern erbracht werden. Deutlich wird, dass es in erster Linie um eine optimale Service-Erbringung geht - und nur im zweiten Schritt um externe Dienste, die eben manchmal besser geeignet sind, um das zu erreichen, manchmal aber auch nicht.

Das erklärt auch, warum so viel über verschiedene Clouds wie eine Public Cloud, die Private Cloud oder die Hybrid Cloud gesprochen wird, wobei auch diese Begriffe keineswegs klar und eindeutig definiert sind. Letztlich kann man aber von einer externen, einer internen und einer gemischten Leistungserbringung sprechen. Mit Blick auf die Gesamt-IT ist dabei heute schon der hybride Ansatz die Regel. Welches Unternehmen bezieht nicht schon einzelne Leistungen, vom Backup über eMail-Services, Updates von Virendefinitionen, Web-Hosting oder Web Conferencing bis hin zu spezialisierten Leistungen wie denen von DATEV von externen IT-Dienstleistern? Auch das Outsourcing kann durchaus als eine sehr spezialisierte Form des Cloud Computings mit spezialisierten statt generischen Leistungen verstanden werden.

Wie so oft zeigt sich bei näherer Betrachtung, dass keineswegs alles neu ist. Cloud Computing ist ein neuer Dachbegriff in einer Entwicklung, die schon viel früher begonnen hat. Themen wie SaaS (Software as a Service) oder On Demand-Computing spielen schon seit Jahren eine Rolle.

Sicherheit und Cloud Computing

Das bedeutet aber, dass auch die Sicherheitsthemen des Cloud Computings keineswegs ganz neu sind. Denn die grundsätzlichen Fragestellungen gibt es schon, seit Unternehmen begonnen haben, irgendwelche IT-Leistungen nach außen zu vergeben. Allerdings verändern sich manche dieser Herausforderungen mit dem Cloud Computing und es ergeben sich durch technische Änderungen durchaus auch neue Anforderungen.

Einer der wichtigsten Aspekte beim Cloud Computing ist, dass dieses den Übergang von einer taktischen, opportunistischen Nutzung einzelner externer Dienste hin zu einem strategischen Ansatz darstellt, in dem der jeweils beste Diensterbringer flexibel ausgewählt und auch gewechselt werden kann. Das birgt Chancen und Risiken. Die Chance liegt darin, dass man in einem solchen strategischen Ansatz standardisiert und mit festen Kriterien entscheidet und damit das Thema Sicherheit potenziell genauer beleuchtet als das oft bei ad hoc-Entscheidungen der Fall ist. Das Risiko liegt darin, dass man zukünftig mit deutlich mehr externen Leistungserbringern zusammen arbeiten wird und damit natürlich auch die Überwachungsanforderungen steigen.

Neue Anforderungen entstehen zudem durch die zunehmende Virtualisierung, die einige spezielle technische Herausforderungen birgt, die man nicht unterschätzen darf.

Die Compliance-Sicht

Nicht unterschätzen darf man zudem die Compliance-Anforderungen beim Cloud Computing. Im Bereich des Datenschutzes kann man als Faustregel nehmen, dass eine Verarbeitung von personenbezogenen und anderen sensitiven Daten außerhalb der EU bedenklich ist, da hier teilweise unterschiedliche Regelungen beispielsweise der USA mit europäischem Recht in Konflikt stehen. Das ist ein Feld, das derzeit zunehmend diskutiert wird. Beispielsweise gilt nach Ansicht beispielsweise des Berliner Datenschutzbeauftragten, dass eine Cloud basierte Verarbeitung von personenbezogenen Daten außerhalb der EU nach dem deutschen Recht nicht zulässig ist.

Es gibt aber auch andere Regelungen, die zu beachten sind. So gibt es beispielsweise in der Finanzindustrie und in anderen Industrien branchenspezifische Regelungen dazu, was in welcher Form ausgelagert werden darf und was nicht. Outsourcing-Regelungen und -Standards lassen sich analog auf das Cloud Computing anwenden.

Die wichtigsten Maßnahmen für sicheres Cloud Computing

Der erste Schritt hin zum sicheren Cloud Computing heißt IT-Risiko-Management. Man muss die Risiken kennen, um entscheiden zu können, welche Services unter welchen Voraussetzungen wo ausgeführt werden können. Das setzt eine Risikobewertung von Diensten und der von diesen verarbeiteten Daten voraus.

Es setzt aber auch eine konsistente Service-Beschreibung voraus, zu der neben diesen Risiken auch die Ausführungsbedingungen gehören. Dort muss beispielsweise festgehalten sein, welche Sicherheitsanforderungen gestellt werden und wo die Verarbeitung erfolgen soll - wie beispielsweise bei personenbezogenen Daten. Auch spezifische Anforderungen wie eine verschlüsselte Übertragung und Speicherung sind hier zu nennen. Das muss auch in SLAs (Service Level Agreements) gefasst werden. Service-Beschreibungen können mit den vorgegebenen SLAs von Anbietern abgeglichen werden, um zu erkennen, ob die Voraussetzungen beispielsweise für eine Externalisierung gegeben sind. Und falls ein (interner oder externer) Anbieter keine geeigneten SLAs anbietet, ist das auch ein Ausschlusskriterium.

Wichtig sind aber auch Überwachungsmechanismen, mit denen man die Einhaltung von SLAs überwachen kann. Das ist oft noch eine Herausforderung, da viele Cloud-Anbieter den Standpunkt vertreten, dass sie ihre Leistung erbringen und die Details den Kunden wenig oder nichts angehen. Natürlich ist es aber zwingend, dass man Informationen über relevante Ereignisse beim Provider erhält.

Unverzichtbar sind bei der Cloud auch durchgängige Konzepte für die Administration, Authentifizierung, Autorisierung und eben das Auditing. Ein Identity und Access Management muss auch die Cloud-Angebote mit erfassen und sicherstellen, dass interne Sicherheitsanforderungen und Richtlinien eingehalten und bei externen Cloud Services umgesetzt werden können. Hier liegt allerdings bei den externen Cloud-Anbietern noch vieles im Argen. Schnittstellen für ein externes Management dieser Themen fehlen oft noch oder sind sehr rudimentär, obwohl es in fast allen Bereichen geeignete Standards gibt. Die Unterstützung von Standards wie SAML, SPML oder XACML muss daher bei der Service-Beschreibung zu zwingenden Anforderungen führen und die Anbieterauswahl beeinflussen.

Schließlich muss man sich auch mit den speziellen Sicherheitsrisiken beschäftigen, die sich durch die Virtualisierung als einer der Basistechnologien des Cloud Computings ergeben. Wenn nicht mehr wie bisher mit physischen Maschinen, sondern mit virtuellen Systemen gearbeitet wird, müssen sich manche Konzepte, die bisher auf festgelegte physische Systeme ausgerichtet waren, auch entsprechend ändern.

Ein weiteres Thema, das häufig im Zusammenhang mit der Sicherheit angesprochen wird, ist das Risiko, das entsteht, wenn die Service-Erbringung durch eine Kombination von Diensten verschiedener (interner und externer) Anbieter entsteht. Das ist eher ein Verfügbarkeits- als ein Sicherheitsproblem, wenn man die Herausforderung "IAM für die Cloud" gelöst hat.

Dienstleister brauchen Mandantenfähigkeit

Für Anbieter von externen Cloud Services spielt das Thema Sicherheit entsprechend ebenfalls eine wichtige Rolle. Denn Fehler bei der Sicherheit können einen solchen Anbieter schnell in den Ruin treiben, wenn sie publik werden und zu einem Image-Verlust und damit auch Verlust von Kunden führen. Klare Sicherheitsstrategien, entsprechende SLAs und eine sehr differenzierte Überwachung sind hier absolut zwingend.

Wichtig ist auch die Mandantenfähigkeit, um eine Trennung verschiedener Kunden sicherstellen zu können. Das ist vor allem bei der Migration von bestehenden Anwendungen in die (externe) Cloud eine Herausforderung, weil die meisten Standardanwendungen eben genau das nicht oder nicht sauber unterstützen.

Anbieter müssen außerdem an offen gelegten Schnittstellen und einer Unterstützung für wesentliche Standards wie eben SAML, SPML und XACML arbeiten, um ihre Services steuer- und kontrollierbar zu machen. Hier wird der Markt mit Sicherheit dafür sorgen, dass Anbieter das entweder liefern oder aus dem Markt verschwinden.

Cloud Computing - ein kalkulierbares Risiko

Klar ist aber, dass das Cloud Computing ein kalkulierbares Risiko für die IT darstellt - auch bei der Nutzung externer Dienste. Es ist weder neu noch gibt es grundlegend neue Herausforderungen. Man muss allerdings in der eigenen IT-Organisation den Schritt hin zu einem strategischen Ansatz mit einem definierten, durchgängigen Service-Management schaffen, um die Nutzung von Cloud Services auf allen Ebenen kontrollieren zu können. Nur dann kann man die Risiken kennen und entsprechend agieren. Wer einfach mal so externe Cloud Services nutzt, geht in der Tat ein unkalkulierbares Risiko ein. (rw)