04.07.2008, 14:29 Uhr

Gefährliche Wolke

Aus Sicht von Gartner birgt das viel diskutierte Cloud Computing eine Fülle von Sicherheitsrisiken. Das Beratungshaus beschreibt, worin die grössten Bedrohungen bestehen - und wie sie zu vermeiden sind.
Rechenleistung aus der Computerwolke wird derteit heftig diskutiert.
Unternehmen sollten knallharte Fragen stellen, bevor sie sich an einen "Cloud"-Anbieter binden, mahnt Gartner in seinem aktuellen Bericht "Assessing the Security Risks of Cloud Computing". Für Gartner bedeutet Cloud Computing "die Bereitstellung massiv skalierbarer, IT-verwandter Fähigkeiten als Service für externe Kunden mittels Internet-Techniken". Als Cloud-Beispiele gelten etwa der Amazon-Service "Elastic Compute Cloud" (EC2), über den Unternehmen Rechenleistung für ihre Web-basierenden Applikationen beziehen können, sowie Googles Google-App-Engine.
Laut Gartner erfordert das Cloud Computing aufgrund seiner spezifischen Merkmale nicht nur ein Risiko-Assessment etwa in den Bereichen Datenschutz sowie Datenintegrität und -wiederherstellung, sondern auch hohe Aufmerksamkeit für legale Belange im Bezug auf E-Discovery, Compliance und Auditing. Organisationen sollten demnach auf Transparenz pochen und Anbieter, die detaillierte Informationen zu Sicherheitskonzepten verweigern, tunlichst meiden.
In diesem Kontext gilt es für Unternehmen, viele Fakten abzuklären - etwa bezüglich der Qualifikationen der Policy-Ersteller, Architekten, Entwickler und der Betreiber sowie im Hinblick auf die Prozesse für die Risikokontrolle und die entsprechenden technischen Mechanismen. Darüber hinaus empfehlen die Gartner-Experten zu eruieren, wie ausführlich die Funktionsfähigkeit der Service- und Kontroll-Prozesse getestet wurde, und ob der Anbieter in der Lage ist, unerwartete Schwachstellen zu identifizieren.

Gefährliche Wolke

Drum kläre, wer sich bindet...

Hier ist eine Auswahl der Cloud-Computing-spezifischen Sicherheitsaspekte, mit denen Unternehmen ihre Anbieter in spe laut Gartner-Empfehlung konfrontieren sollten, bevor sie sich endgültig entscheiden:
1. Privilegierter Nutzerzugriff: Sensible Daten, die ausserhalb des Unternehmens verarbeitet werden, bergen ein inhärentes Risiko. Der Grund: Ausgelagerte Services umgehen die physischen, logischen und von Mitarbeitern gesteuerten Kontrollmechanismen, die IT-Abteilungen auf interne Programme anwenden. Laut Gartner sollten sich Firmen möglichst viele Informationen über die Personen beschaffen, die ihre Daten verwalten. Dazu müssten Anbieter Details zur Einstellung und Aufsicht privilegierter Administratoren sowie in Sachen Zugriffskontrolle liefern.
2. Compliance: Unternehmen sind letztendlich verantwortlich für den Schutz und die Integrität ihrer eigenen Daten - selbst dann, wenn sie von einem Service-Provider vorgehalten werden. Herkömmliche Dienstleister sind externen Audits und Sicherheitszertifizierungen unterworfen. Cloud-Computing-Provider, die sich dieser Art der Inspektion verweigern, signalisieren im Prinzip, dass sie lediglich für die trivialsten Funktionen in Frage kommen.
3. Ort der Daten: Wer die "Cloud" nutzt, wird nicht genau wissen, wo die eigenen Daten gehostet werden. Vermutlich ist nicht einmal bekannt, in welchem Land die Informationen gespeichert sind. Mit den Providern ist demnach abzuklären, ob sie sich vertraglich verpflichten, Daten gemäss der jeweiligen Rechtsprechung zu speichern und zu verarbeiten, beziehungsweise die lokalen Datenschutzanforderungen im Namen ihrer Kunden zu erfüllen.
4. Trennung der Daten: Daten in der Cloud befinden sich in der Regel in einer von mehreren Parteien genutzten Umgebung, sprich: Seite an Seite mit Daten anderer Unternehmen. Verschlüsselung ist zwar effektiv, laut Gartner aber kein Allheilmittel. Daher müssten Unternehmen in Erfahrung bringen, was zur Trennung der ruhenden Daten konkret unternommen wird. Der Cloud-Provider sollte zudem nachweisen können, dass die angewandten Verschlüsselungsschemata von erfahrenen Spezialisten entworfen und getestet wurden. "Verschlüsselungspannen können Daten völlig unbrauchbar machen - und sogar normale Chiffrierung führt möglicherweise zu Komplikationen im Hinblick auf die Verfügbarkeit", warnen die Gartner-Consultants.
5. Datenwiederherstellung: Ein Cloud-Provider sollte mitteilen, was im Fall eines Desasters mit den Daten beziehungsweise dem Service geschieht. Jedes Angebot, das die Replikation der Daten und der Applikationsinfrastruktur über multiple Sites hinweg nicht vermissen lässt, ist laut Gartner anfällig für den Totalausfall. Daher ist abzuklären, ob - und in welcher Zeit - der Dienstleister in der Lage ist, eine Komplettwiederherstellung zu realisieren.
6. Investigative Unterstützung: Das Aufspüren unangemessener oder illegaler Aktivitäten ist beim Cloud Computing nur schwer möglich, warnt Gartner. "Bei Cloud-Services ist eine dahingehende Überprüfung besonders schwierig, da Logging und Daten mehrerer Unternehmen nebeneinander liegen können und möglicherweise über eine sich ständig wandelnde Gruppe von Hosts und Datenzentren verteilt werden." Lasse sich beim Provider eine vertragliche Verpflichtung auf spezielle Arten der Überprüfung nicht erwirken, bleibe Unternehmen lediglich die Annahme, dass die Anforderungen an Ermittlung und Entdeckung unmöglich sind.
7. Langfristige Lösung: Im Idealfall geht der eigene Cloud-Computing-Anbieter niemals pleite oder wird durch eine Übernahme von einem grösseren Unternehmen geschluckt. Für den Fall der Fälle müssten Firmen jedoch sicherstellen, dass die eigenen Daten auch dann verfügbar bleiben, so Gartner. Organisationen sollten demnach vorab klären, wie sie ihre Daten zurückbekommen, und ob diese dann in einem Format vorliegen, das sich in eine Ersatzapplikation importieren lässt.


Das könnte Sie auch interessieren