Cloud Computing: Eine Schweizer Gebrauchsanleitung

      Doppelte Verschlüsselung, Hybrid-Cloud, rigorose SLAs - wie profitieren Schweizer Unternehmen am meisten von der Cloud? Das Information Center Schweiz (ICMF/ITS) gibt Praxistipps.

      Ist Cloud-Computing zu unsicher für Business-Apps?
        

      weitere Artikel

      » Von Michael Kurzidim, 27.11.2009 11:34.

      Immer noch dominieren Sicherheitsbedenken die Diskussionen um Cloud Computing in der Schweiz. Auch die Online-Umfrage von Unisys unter Schweizer IT-Chefs, im Sommer dieses Jahres durchgeführt, hat diesen Befund noch einmal bestätigt: 72 Prozent der IT-Heads lassen aus Sorge um die Sicherheit ihrer IT von Cloud-Dienstleistungen die Finger.

      Eine mögliche Lösung des Problems heisst Stealth-Technologie, eine doppelte Verschlüsselungstechnik nach AES 256 (Advanced Encryption Standard), die ursprünglich das US-amerikanische Verteidigungsministerium entwickelt hat. Denen geht Sicherheit über alles, daran besteht "sicher" kein Zweifel.

      Praktisch unknackbar

      Stealth dechiffriert nicht nur die Daten nach dem herkömmlichen AES 256, sondern verändert in einem zweiten Schritt auch die Reihenfolge beliebig langer Zeichenketten (bit slicing), ebenfalls nach AES 256. Dadurch potenziert sich die Sicherheit.: Gibt es nach dem einfachen Verschlüsselungsverfahren gerundet 1,16 mal 10 hoch 77 Möglichkeiten, Chffrierschlüssel zu erstellen - das ist eine Zahl mit 77 Nullen - potentziert sich diese Mega-Gigazahl danach noch einmal mit 10 hoch 77. Ein solcher Chiffrierschlüssel ist nach menschlichem Ermessen praktisch unknackbar.

      Andreas Sommer, Leiter Enterprise Solution Services bei Unisys Schweiz, stellte die Sicherheitstechnologie auf der ICMF/ITS-Tagung im Zürcher Technopark vor. Stealth verhindert eigentlich nicht den Diebstahl von Daten - dafür müssen klassische Perimeter-Technologien und Intrusion Detection Systeme Sorge tragen - sondern variiert das alte Bankräuber-Problem: Wir haben zwar den Safe, können ihn aber nicht knacken. Im Endeffekt kommt jedoch das Gleiche dabei heraus: Eine extrem hohe Datensicherheit. Unisys will Stealth Sicherheitstechnologie in wenigen Wochen auf den Schweizer Markt bringen, und könnte damit den gordischen Knoten des Schweizer Cloud Computing zerschlagen oder zumindest ein wenig lockern.

      Chiffrierter Auslandstransfer: rechtlich unbedenklich

      Cloud-Computing-Gegner führen oft Compliance- und regilatorische Argumente ins Feld. Die Daten, ganz besonders von Bankhäusern und Versicherungen, dürften die Schweiz nicht verlassen. Auf einen wichtigen Aspekt machte David Rosenthal, Konsulent der Homburger, auf der ICMF/ITS-Tagung in Zürich aufmerksam. Werden Daten verschlüsselt ins Ausland übertragen und existiert dort kein Dechiffrierschlüssel, der etwa Kundendaten in Klartext übersetzen könnte, dann befinden sich die Schweizer Daten streng rechtlich gesehen gar nicht im Ausland. Eine Schweizer Botschaft im Ausland bleibt ja auch rein rechtlich Schweizer Territorium.

      Julius Baer sagt NEIN

      Safety first - CC steht bei Banken und Versicherungen kaum auf der Agenda.
      Safety first - CC steht bei Banken und Versicherungen kaum auf der Agenda.
      Ob diese sicherlich stringente Argumentation allerdings Cloud-Computing-Kunden überzeugt? Computerworld sprach mit den IT-Chefs der Privatbank Julius Baer. Cloud Computing und Software-as-a-Service stehe momentan überhaupt nicht auf der Agenda, betonte Managing Director Dr. Mario Crameri. Julius Baer habe in den vergangenen Monaten erwogen, das Kernbankensystem von Avaloq zu erwerben, habe sich aber dagegen entschieden. Die eigene IT, seit Jahrzehnten bewährte und immer wieder modernisierte Eigenentwicklungen, seien völlig ausreichend. Immerhin will sich das Bankhaus ein wenig öffnen und bastelt an einer Online-Banking-Lösung für seine Kunden, die aber lediglich passive Informationsbedürfnisse bedienen soll. Aktives Online-Banking werde damit nicht möglich sein, so Crameri.

      Angstfaktor negativer PR-Effekt

      Vielen Kunden ist Cloud Computing zu wolkig.
      Vielen Kunden ist Cloud Computing zu wolkig.
      Banken nähern sich modernen Beschaffungsmodellen wie Cloud oder SaaS mit äusserster Vorsicht. Das Problem dabei ist noch nicht einmal die tatsächlich realisierte IT-Sicherheit, sondern die Wahrnehmung aufseiten der Kundschaft. Unsere Sicherheitstechnologie ist viel besser als die Security-Hürden der meisten unternehmensinternen IT-Systeme, betonen Anbieter von Cloud-Computing-Dienstleistungen zwar immer wieder. Mal angenommen, diese Behauptung stimmt, sehen potenzielle Kunden und deren Kunden das genauso? In der Praxis wohl nicht. Cloud legt eben nahe, dass es auch um die Sicherheit hochsensibler Daten eher wolkig bestellt ist. Bankhäuser wie Julius Baer fürchten den negativen PR-Effekt, eine grosse Zürcher Versicherung mag gar nicht kommunizieren, dass sie CC-Services nutzt.

      Praxistipps für Schweizer Unternehmen

      Aufbruch in die Wolke, darauf müssen Sie achten.
      Aufbruch in die Wolke, darauf müssen Sie achten.
      Worauf sollten Schweizer Unternehmen, die CC-Dienstleistungen in Anspruch nehmen, ganz besonders achten? Ein recht hohes Mass an Sicherheit geben anerkannte Zertifizierungen von Rechenzentren wie ISO 27001, ISO 20000 (ITIL v.3) und SAS 70 Typ II. Der Cloud-Computing-Provider sollte diese Sicherheitszertifikate vorweisen können. Aber auch bei der individuellen Ausgestaltung der Verträge werde gerne geschlampt, sagt Homburger-Konsulent Rosenthal. Die drei vertraglichen Schlüsselthemen betreffen die Leistungen des Providers, Kostenkontrolle und die Verantwortlichkeiten des Anbieters. Insbesondere gilt es frühzeitig abzuklären:

      1) Wer ist verantwortlich für Schnittstellen zu anderen Systemen?

      2) Gibt es End-to-End Service Level Agreements (SLAs)?

      3) Welche Rechte haben Sie als Kunde bei Leistungsstörungen (z.B. variable Exit-Rechte)?

      4) Wie weit ist der Abbau / Ausbau der Services möglich? Welche Änderungen darf der Provider von sich aus vornehmen?

      5) Der Kunde muss seinem Provider den Missbrauch von Daten etwa für Marktanalysen explizit verbieten. Das US-amerikanische "Safe Harbour Agreement" zum Beispiel geht nicht weit genug. In den USA gibt es kein Datenschutzgesetz wie in der Schweiz.

      6) Garantiert der Provider Revisionssicherheit?

      7) Der Beizug von Subunternehmern sollte nur unter definierten Bedingungen erlaubt sein.

      8) Genügt die Lösung auch noch in fünf bis zehn Jahren den unternehmerischen Anforderungen?

      9) Gibt es einen Notfallplan für den Konkurs des Providers?

      Realerfüllung sei wichtiger als Schadensersatz, unterstreicht Rosenthal. Denn was nutze eine hohe Schadensersatzsumme, wenn die Kundendaten verloren seien, weil im Konkursfall die Server des Providers verkauft oder verschrottet werden. Bei der Heirat schon an die Scheidung denken, sei daher die Devise. In der anfänglichen Begeisterung über Kostenreduktionen werde diese Maxime schnell und gerne vergessen.

       

      Weiterführende Lektüre:
      IBM Technology Forum: Sicherheit fürs Virtualisierungs-Layer

      Werbung

      KOMMENTARE

      Keine Kommentare

      KOMMENTAR SCHREIBEN

      *
      *
      *
      *

      Alles Pflichfelder, E-Mail-Adresse wird nicht angezeigt.

      Die Redaktion hält sich vor, unangebrachte, rassistische oder ehrverletzende Kommentare zu löschen.
      Die Verfasser von Leserkommentaren gewähren der IDG Communications AG das unentgeltliche, zeitlich und räumlich unbegrenzte Recht, ihre Leserkommentare ganz oder teilweise auf dem Portal zu verwenden. Eingeschlossen ist zusätzlich das Recht, die Texte in andere Publikationsorgane, Medien oder Bücher zu übernehmen und zur Archivierung abzuspeichern.

       
       
       
       
       
       
       
       

      Partnerzonen Aktuelle Artikel

       
       
       
       
       
       
       
       

      MiniAds

      Unified Communications 2012 – 12. Juni 2012

      Neue Lösungsansätze für neue Herausforderungen

      » Jetzt anmelden

      HP - HP Invent am 22. Mai 2012

      Film ab und Action!
      Holen Sie das IT-Drehbuch zum Unternehmenserfolg.

      » Registration

      Microsoft SQL Day – 31. Mai 2012

      Erleben Sie bei Digicomp 14 Referate rund um MS SQL Server!

      » Jetzt Platz sichern!

      RICOH Schweiz AG

      Ihr Partner für Büroautomation & Printmanagement.

      » www.ricoh.ch

       
       
       
       
       
       
       
       

      ANZEIGE

      Kaderstellen ab 120.000 CHF

      Headhunter suchen Spitzenkräfte für exklusive Kaderstellen.

      Jetzt kostenlos anmelden!

       
       
       
       
       
       
       
       

      ICT-Presseticker

      mehr
       
       
       
       
       
       
       
       

      Special CIO-Channel

      IT-Verträge, Rechts- & Fachwissen im Abo.

      Zum Angebot.

       
       
       
       
       
       
       
       

      Computerworld: Aktuelle Ausgabe

      Computerworld aktuelle Ausgabe

      Risiko Smartphone: CIOs fürchten die Schussligkeit der Anwender.

      Patentkrieg: Wenn Oracle gewinnt, verlieren alle!

      Enterprise-Software: Der Nutzen lässt sich doch beziffern.

      » Bestellen