Weil Anwender Public-Cloud-Angeboten oft noch misstrauen, suchen sie Sicherheit in einer Private oder Corporate Cloud oder kombinieren beide Cloud-Varianten.
Die Wolke lässt sich (leider) nicht einfach abschließen... Foto:
Weil Anwender Public-Cloud-Angeboten oft noch misstrauen, suchen sie Sicherheit in einer Private oder Corporate Cloud oder kombinieren beide Cloud-Varianten. von Ludger Schmitz (freiberuflicher Journalist in München) Cloud Computing entsteht nicht aus dem Nichts. Es setzt immer auf bestehenden IT-Strukturen auf, die eine Cloud zum Teil ersetzt, zum größten Teil aber erweitert. Diese On-Premise-Umgebungen sind oft schon weitgehend virtualisiert, viele Anwender verfügen daher bereits über eigene Erfahrungen mit einer Basistechnik des Cloud Computing. Da liegt es nahe, sogenannte Private oder Corporate Clouds einzuführen, die dann schrittweise durch Nutzung von Services aus der Public Cloud erweitert werden. Als ein Hauptargument für dieses Hybridmodell der Cloud-Technologie wird immer wieder das Thema Sicherheit genannt. Denn in einer Provate Cloud könne der Anwender sensible Daten im Unternehmen belassen und gleichzeitig von zusätzlichen Services aus der Public Cloud profitieren.
So weit das Konzept. Bei seiner praktischen Umsetzung sind jedoch viele Detailfragen zu klären: Die Integration von interner und externer Infrastruktur sowie das zentrale Management beziehungsweise die Administration beider Seiten sind keine triviale Angelegenheit. Tatsächlich sieht sich manches Anwenderunternehmen gar nicht in der Lage, seine bestehenden Technologien auf neue Cloud-Parameter auszurichten. Die Gewährleistung des IT-Betriebs erfordert erfahrenes Personal. Und das hat seine praktischen Erfahrungen meist nur mit den klassischen IT-Komponenten.
Die 10 größten Security-Risiken in der Cloud Lesen Sie, welche Security-Risiken der Einsatz einer Public oder Hybrid Cloud birgt und was Sie dagegen tun können.
Verletzung der Vertraulichkeit und Integrität der Daten: Eine Lokalisierung der Daten ist in einer Public oder Hybrid Cloud für den Dateneigentümer nicht mehr einfach möglich. Daher ist der Schutz der Daten auf der Infrastruktur-, Plattform und Applikationsebene häufig nicht mehr mit üblichen Mitteln zu gewährleisten.
Löschung von Daten: Daten müssen in vielen Fällen (etwa aufgrund gesetzlicher Bestimmungen) gelöscht werden. Auch hier besteht das Risiko einer nur unzureichenden oder unvollständigen Löschung auf allen Plattformen und Datenbanken der Cloud, da die Lokalisierung der Daten nur schwer möglich ist.
Ungenügende Mandantentrennung: Bei nicht ausreichend abgesicherter Mandantentrennung besteht die Gefahr, dass Dritte unautorisiert Daten einsehen oder manipulieren können.
Verletzung der Compliance: Da Daten in einer Public Cloud prinzipiell in allen Ländern der Welt in deren spezifischen Rechtsordnungen verarbeitet werden können, ist die Erfüllung aller gesetzlicher Anforderungen eine wesentliche Aufgabe bei der Nutzung von Public Cloud Leistungen.
Verletzung von Datenschutzgesetzen: Es ist nicht von vornherein klar, in welchen Ländern, Rechenzentren, auf welchen Servern und mit welcher Software die Daten gespeichert und verarbeitet werden.
Insolvenz des Providers: Die Insolvenz eines Providers bedeutet meist nicht die Insolvenz aller Rechenzentren, die der Provider verwendet hat. Rechenzentren werden zudem bei Insolvenz mit großer Wahrscheinlichkeit an andere Provider verkauft werden.
Problematik der Subunternehmer: Ein weiteres Problem stellt die Auftragsweitergabe an Subunternehmer dar. Der Provider wird häufig Subunternehmer für gewisse Leistungen verpflichten. In einer Public Cloud bleibt auch diese Komplexität dem Benutzer häufig verborgen (und soll ja nach der Philosophie des Cloud Computing verborgen bleiben).
Beschlagnahmung von Hardware: Eine Beschlagnahme von Hardware kann in allen Ländern erfolgen, in denen der Provider Computing-Ressourcen nutzt. Meist werden sich Daten des Auftraggebers auf beschlagnahmten Servern befinden.
Handel mit Ressourcen wird denkbar: Denkbar ist auch, dass Provider einen Handel mit ihren Ressourcen untereinander aufbauen und damit eine "Ressourcenbörse" realisieren wie sie in obiger Abbildung angedeutet ist. Auf dieser Börse werden Ressourcen zu einem bestimmten Preis angeboten.
Erpressungsversuche: Die Gefahr von Erpressungsversuchen steigt, da der Personenkreis mit Administrationsaufgaben für Ressourcen der Public Cloud unüberschaubar groß ist. Das eingesetzte Personal verfügt im Allgemeinen über unterschiedliches Ausbildungsniveau und Sicherheitsbewusstsein.
Sicherheitsprobleme wandern nach oben
Außerdem hemmen oft eingeschliffene Prozesse die Verbreitung von Cloud Computing. Das Modell des IT-Self-Service, bei dem sich die Fachabteilung ihre Ressourcen bei Bedarf kurzfristig selbst besorgt, klingt für viele Entscheider verlockend, doch wie wird dabei eine Anforderung autorisiert? Die alte Methode über drei Unterschriften wie bei jedem Bestellvorgang ist in der Cloud absurd. Eine mögliche Lösung sind sogenannte Quotas, Handlungsspielräume, in deren Rahmen jeder Benutzer selbst entscheiden darf, wie und wann er ihn nutzt.
"Anwenderunternehmen erleben auch auf dem Weg in die Cloud die Schwächen ihrer bisherigen IT-Strukturen und Unternehmensprozesse", erklärt Maximilian Ahrens, Chief Product Officer beim Berliner Unternehmen Zimory, einem Anbieter von Cloud-Lösungen für Provider. "Das gilt auch für alle Sicherheitsprobleme und Gefahrenmomente. Die werden in der Cloud auf ein höheres, weniger bekanntes Niveau gehoben."
Auf dieser Ebene entstehen eigene Probleme, die sich so in der hausinternen IT nicht stellen. So gibt es in einer Cloud-Umgebung beispielsweise höhere Anforderungen an die Anonymisierung von Testdaten. Für die Anwender gilt es zum Beispiel zu klären: Wo läuft eine Testumgebung in der Cloud? Es ist keinesfalls anzunehmen, dass sie exklusiv beim Provider läuft. Denn der hat in der Regel weitere externe Service-Rechenzentren eingeschaltet. Die Frage ist dabei nicht nur, ob sich die Daten nun beim Partner X, Y oder Z befinden und wo die Rechenzentren geografisch verortet sind. Es geht außerdem darum, wie und in welcher Form verschlüsselt sie übertragen und zurücktransportiert werden.
Anwendungsszenarien vorab klären!
Hinzu kommen weitere Fragen: Wie werden Daten bei Subunternehmen verarbeitet - in physikalisch separierten Servern oder in virtuellen Maschinen? Ist deren Trennung vertrauenswürdig organisiert? Mit welchen Verschlüsselungsmethoden werden Daten an den verschiedenen Stellen zwischengespeichert? Wie erfolgt das Backup, wie werden Recovery-Medien transportiert und abgelegt? Und wie sieht es eigentlich mit der Langzeitarchivierung aus?
Schon ist aus einem Datenschutzproblem eine bedeutende Sicherheitsfrage geworden. Zimory-Manager Ahrens empfiehlt deshalb: "Anwender sollten sich erstens sehr detailliert mit ihren Use Cases befassen, also mit den Szenarien der geplanten Cloud-Anwendungen. Zweitens müssen sie in Erfahrung bringen, wie Cloud-Provider arbeiten. Daraus können Anwender ableiten, welche Anbieter überhaupt für sie in Frage kommen und für welche Applikationen Cloud-Formen nicht zu empfehlen sind."
Viele deutsche, global agierende Großunternehmen haben ihre Private Cloud aufgebaut. Diese Firmen haben große und kompetente IT-Stäbe. Trotzdem fällt auf, dass sie ihre Private Cloud oft nicht selbst betreiben. Den Outsourcing-Auftrag dafür haben Firmen wie T-Systems, die bestimmte Sicherheitsniveaus wie die Trennung der Mandanten zwischen physikalisch separierten Servern garantieren. Im Übrigen aber gelten für Hosted Private Clouds grundsätzlich die gleichen Rahmenbedingungen wie bei Public Clouds. Sie sind lediglich, wenn gut verhandelt, in ihrer Arbeitsweise genauer bekannt.
So gelingt der Sprung in die Private Cloud Der Aufbau einer Private Cloud hält einige Herausforderungen bereit. Hier sind die wichtigsten:
Budget: Eine Private Cloud ist nicht billig zu haben. Legen Sie den Rahmen für einen Return on Investment frühzeitig und möglichst exakt fest.
Public-Cloud-Integration: Gestalten Sie die Private Cloud so, dass sie im Bedarfsfall Services aus der Public Cloud integrieren können. Dazu müssen die Systeme so sicher und nachprüfbar sein, dass die Nutzlasten simultan in beiden Welten abgearbeitet werden können.
Scale: Im Regelfall können Private Clouds nicht mit derselben Masse aufwarten wie Public Clouds. Das heißt, die Economies of Scale sind deutlich geringer.
Neukonfigurationen "im Flug": Möglicherweise müssen Sie Server und andere Infrastrukturelemente in die Private Cloud übertragen, ohne sie abzuschalten. Das kann problematisch werden.
Legacy-Hardware: Wenn ihre alten Server keine Automatisierung und Orchestrierung erlauben, lassen Sie sie einfach zurück. Sie ersparen sich eine Menge Aufwand.
Obsolete Technologie: Nicht nur kleine It-Organisationen werden an der Komplexität und Geschwindigkeit des technologischen Wandels zu knabbern haben. Haben Sie erst einmal in eine Private Cloud investiert, gibt es nur einen Weg, diese Investition zu schützen: Sie müssen technisch up to date bleiben.
Angst vor dem Wandel: Ihr IT-Team muss mit Sicherheit erst einmal eine Lernkurve erklimmen. Neue oder geänderte Betriebsprozesse setzen die Mitarbeiter unter Stress und erzeugen Ängste. Hier ist der CIO als Motivator gefordert: Erinnern Sie Ihre Leute daran, dass sie hier Fähigkeiten erlernen, die in einer modernen Business-Umgebung heute unabdingbar sind, weshalb ihnen die Neuorientierung auch persönlich nutzt.
Sicherheit ist nicht nur Technik
Die komplexe Aufgabe, den Ressourcenpool aus der Cloud dynamisch in die firmeneigene IT einzubinden, liegt beim Kunden - und damit auch das Risiko. Es gibt allerdings Private-Cloud-Hoster, die sich auch damit befassen - und um mit einem wichtigen Aspekt mehr. "Es liegt doch nahe, dass solch ein Hoster sich auch gleich um alle Security-Aspekte kümmern sollte", erklärt Pim van der Poel, als Regional Sales Manager Central Europe zugleich Leiter eines großen europäischen Sicherheitsteams bei Cisco. Die vom Hos-ter verwendeten Technologien wie HTTPS und Virtual Private Networks (VPNs) sind auch den Anwendern bekannt.
Gleichwohl bleibt die Frage, ob ein Mix aus On-Premise und Private Cloud angesichts des zusätzlichen Integrationsaufwands unter dem Strich wirklich sicherer ist als eine Public-Cloud-Lösung aus einer Hand. Sicherheit ist jedenfalls auch in Cloud-Zeiten kein allein technisches Problem. Die Cloud-Anwender müssen vielmehr vor allem lernen, dass IT-Sicherheit nicht mit Firewalls, Virenschutz, Spam-Blockade, VPNs etc. automatisch erzeugt wird. Und dass "Private Cloud" nicht mit "sicherer Wolke" gleichzusetzen ist. (uk/sh)
Best in Cloud 2011 Die COMPUTERWOCHE präsentiert Ihnen die fünf Best in Cloud"-Finalisten aus der Kategorie Platform as a Service (PaaS).
Brainloop AG Das Document Compliance Management von Brainloop ermöglicht eine sichere Zusammenarbeit mit vertraulichen Dokumenten über Firmengrenzen hinweg, bei Einhaltung der Compliance Richtlinien. <br>Projekt: Renesse - Document Compliance Management in der Cloud (Datentresor).
Materna GmbH Das Unternehmen Materna mit Hauptsitz in Dortmund wurde 1980 gegründet. Der Anbieter verfügt über eine Vielzahl von Niederlassungen und Tochtergesellschaften innerhalb Europas. Im Angebot stehen diverse Produkte und Dienstleistungen, die sowohl als Gesamtlösung wie auch als Lösungsmodule in Unternehmen und der öffentlichen Verwaltung eingebunden werden können. <br>Projekt: "MAN Service Support Desk", Service- und Support-Lösung aus der Private Cloud für 4000 User weltweit.
Pervasive Software Pervasive Software ist ein amerikanisches Unternehmen mit Hauptsitz in Austin Texas. Das Unternehmen verfügt über Vertriebspartner in China, Japan oder auch Deutschland. Persuasive Software entwickelt und vertreibt Software und Tools mit denen Kunden Daten aus verschiedenen Quellen sammeln, administrieren und analysieren können. <br>Projekt: Bereinigen und Migrieren von Katalog- und Produktdaten in der Private Cloud.
Wassermann AG Die Wassermann AG ist seit über 25 Jahren aktiv und bietet Prozess- und IT-Beratung in den Bereichen Supply Chain Management, Einkaufsmanagement, Lean Management, Distributions- & After Sales Management und IT Management sowie innovative Softwarelösungen an. <br>Projekt: Planungs- und Steuerungssoftware "wayRTS" aus der Cloud.
Zendesk Zendesk wurde 2007 in Kopenhagen gegründet. Das Unternehmen bietet eine Cloud-basierte Help Desk Software an. Neben einem Ticket-System können die Kunden auch eine Online-Plattform des Anbieters für eigene Service-Angebote nutzen. <br>Projekt: Helpdesk-SW/Ticketing aus der Cloud.