Cloud? Aber sicher doch!

Der Autor ist Chief Strategy Officer der Zuger Icomasoft und entwickelte opvizor, eine Lösung zur Fehleranalyse und -verhinderung in VMware-Umgebungen Cloud Computing ist eigentlich gar kein neues Konzept, sondern nur ein neuer Versuch zu einer alten Idee: Die Server stehen nicht mehr im eigenen Keller, sondern beim Serviceprovider. Die Software wird nicht mehr lokal installiert, sondern über das Netz direkt genutzt. Das Schlüsselwort heisst Effizienz. Eine eigene IT-Abteilung zu betreiben, zählt bei den wenigsten Unternehmen zur Kernkompetenz. In aller Regel wird die IT als notwendiges Übel oder – noch schlimmer – als intransparenter Kostentreiber wahrgenommen. Der Cloud-Gedanke versucht, genau dieses Dilemma zu adressieren. Der Betrieb von Hard- und Software wird ausgelagert und IT-Dienste können nach Bedarf bezogen werden –  Stichwort: Utility Computing. Allerdings nicht in Form der üblichen Outsourcing-Modelle, sondern in einer wesentlich flexibleren Art. Technologisch können wir heute ganze Serversysteme aus den eigenen Räumen in die virtualisierten Infrastrukturen von Cloud-Hosting-Anbietern verschieben, ohne dafür übermässig viele Anpassungen vornehmen zu müssen. Etablierte Cloud-Software-Hersteller wie Salesforce, Boxnet oder Dropbox bieten nicht nur eigenständige Funktionen an, die komplett von der heimischen Infrastruktur getrennt sind, sondern integrieren sich über Schnittstellen auch in viele andere Software-Produkte. Will man über einzelne Dienste hinausgehen und komplexe Infrastrukturen auslagern, bleibt man aufgrund der Kompatibilitäts- und Schnittstellenprobleme aktuell besser in der privaten Cloud und betreibt nach wie vor selbst.

Warum also hat sich dieses Konzept nicht schon viel früher durchsetzen können? Eine berechtigte Frage. Integrationsfähigkeit, Flexibilität, Kosten und rechtliche Aspekte waren bisher die grössten Hemmschwellen. Allerdings haben sich in den letzten Jahren zwei Kerntechnologien entscheidend weiterentwickelt und etabliert: Virtualisierung (Server, Desktop, Applikation) und Internetbandbreite. Zusammen bilden sie das entscheidende Fundament für den Erfolg der Cloud-Bewegung. Denn ohne eine entsprechend hohe Bandbreite und zu-verlässige Internetverbindung ist es nicht möglich, auf Serversysteme oder Software-Produkte über WAN/Internet zuzugreifen. Die Virtualisierung wiederum ist Voraussetzung für die Unabhängigkeit von Hardware und Hersteller bzw. Anbieter. Bleiben noch die Integrationsfähigkeit und  Rechtskonformität als grösste Hürden für die Cloud. Momentan wählen die meisten Unternehmen einzelne Komponenten der IT aus und betreiben diese in der Cloud. CRM-Software, Mailsysteme, Backup-Systeme oder Buchhaltungs-Software sind einige Beispiele dafür. Der Schritt in Richtung Internetapplikation hat übrigens noch einen anderen Antreiber, und zwar das Mobile Computing: Anwender möchten ohne grossen Aufwand von nahezu überall mit Smartphone, Netbook oder Tablet auf Informationen und Anwendungen zugreifen können. Eine weitere Hürde darf man weder vergessen noch unterschätzen: die menschliche Gewohnheit und der physikalische Besitz. Besonders öffentliche Cloud-Systeme laufen dem Besitzdenken entgegen. Die Server stehen nicht mehr im eigenen Keller, sondern irgendwo; man kauft neu den Dienst ein und nicht mehr die Hardware. Dadurch stellt sich automatisch die Vertrauensfrage. Um Vertrauen zum Provider gewinnen zu können, muss sich der Unternehmer eingehend mit dem jeweiligen Cloud-Anbieter auseinandersetzen.

Vergleichbar ist diese Situation mit dem Wechsel von einer eigenen Stromquelle zum Strom aus der Steckdose. Vor Jahrzehnten betrieb jedes grössere Unternehmen mit Produktion eigene Stromgeneratoren, um den reibungslosen Ablauf in den Fabriken sicherzustellen. Der Schritt weg vom eigenen Generator und hin zum Strom aus dem zentralen Kraftwerk war für viele Unternehmen ein grosses Risiko. Der Unternehmer war plötzlich gezwungen, sich mit einem für ihn fremden Player auseinanderzusetzen – dem Stromproduzenten. Um bei diesem Beispiel zu bleiben: Jeder wird zugestehen, dass ein grosser Energieanbieter wesentlich grössere Kompetenzen in der Stromversorgung hat als man selbst. Zwar ist der Strom nicht kostenlos verfügbar, allerdings ist er günstig genug, dass Sie beim Einschalten der Kaffeemaschine nicht über die Kosten nachdenken. Die Möglichkeiten des Cloud-Computings stellen die IT-Verantwortlichen vor ein ähnliches Dilemma: Man verabschiedet sich von Teilen des internen Betriebs und überlässt diese einem zentralen Anbieter. Dieser hat spezialisiertes Know-how und zumeist deutlich mehr Möglichkeiten zur Systemabsicherung als die eigene IT. Die Kosten- und Nutzenvorteile liegen in vielen Fällen auf der Hand. Die Vorbehalte bezüglich des Vertrauens und damit der Sicherheit bleiben jedoch erst einmal bestehen.

Gerade die Frage der Datensicherheit muss beim Public Cloud Computing gut überlegt sein. Zwar gibt es bis heute nur unzureichende Sicherheitsstandards oder Zertifizierungen, die den Kunden beim Evaluieren der Anbieter unterstützen. Sie können sich jedoch umso detaillierter beim Provider über dessen konkrete Sicherheitsbemühungen informieren. Am Anfang steht die Frage, welche Systeme oder Daten überhaupt ausgelagert werden sollen. Sobald erste Informationen bekannt sind, können Sie bereits mit den Anbietern Kontakt aufnehmen. Recherchieren Sie, wie der Cloud-Provider arbeitet, fragen Sie konkret, wo die Daten gespeichert werden, ob diese ausgewertet oder anderweitig genutzt werden. So überprüfen Sie, ob der Anbieter Ihre Probleme und Bedenken ernst nimmt. Bei vertraulichen Daten sollten Sie zusätzlich darauf achten, den Datenverkehr zu verschlüsseln (etwa HTTPS-Nutzung mit SSL-Verschlüsselung) oder die Daten an sich  verschlüsseln (AES256). Um eine möglichst hohe Datensicherheit zu gewährleisten, muss der SaaS/Cloud-Anbieter die genutzten Daten End-to-End verschlüsseln. Wobei diese zu keinem Zeitpunkt unverschlüsselt auf Cloud-Storage (z.B. Amazon S3) abgelegt werden dürfen. Denn auch die Storage-Anbieter arbeiten mit Daten-Backups. Im schlimmsten Fall landen die vertraulichen Daten unverschlüsselt auf dem Backup-Medium des Cloud-Betreibers. Hier empfiehlt es sich, mit dem Provider in die Diskussion zu gehen und auch in den Nutzungsverträgen darauf hinzuweisen.

Eine weitere Schutzmassnahme, die auf Provider-Seite getroffen werden kann, ist die Datentrennung. Hierbei werden die Kontaktdaten des Kunden von den Nutzdaten getrennt, um bei einer Kompromittierung die Zuordnung der Daten zum Kunden zu erschweren. Technisch ist dies über Relationen realisierbar. Wichtig ist, die Kontaktdaten mit anderen Techniken zu verschlüsseln wie die Nutzdaten. Je nach Anwendungsform der SaaS/Cloud-Anwendung ist es auch möglich, Daten mit einem Verfallsdatum zu versehen. Spezialisierte Lösungen wie Icomasofts opvizor können die analysierten Kundendaten bei Bedarf automatisch nach ein paar Tagen restlos löschen. Da alle Daten durchgehend verschlüsselt sind, führt auch ein Backup auf dem Cloud-Storage nicht dazu, dass Nutzerdaten lesbar in falsche Hände geraten. Technisch ist es schon heute möglich, Anwendungen in der Cloud sicher zu nutzen und die Daten sicher abzulegen. Ihre Verantwortung als Kunde besteht darin, sich vorab mit dem Provider in Verbindung zu setzen, über die Bedenken auszutauschen und die Funktionen zur Absicherung der Daten festzulegen.