Sicherheit in der Cloud


Cloud Computing ist als Begriff in aller Munde. Was bedeutet er aber für Unternehmen? Er verspricht eine bis dato ungekannte Agilität für die unternehmens-eigene Informatik und grosse Kostenersparnisse, dank der Verrechenbarkeit auf die bezogene Dienstleistung. Verschiedene Begriffe haben sich im Cloud Computing etabliert wie etwa Public Cloud, Private Cloud und Hybrid Cloud oder Software-As-A-Service (SaaS), Platform-As-A-Service und Infrastructure-As-A-Service. Public Cloud umschreibt die Dienstleistungen, die ein Unternehmen extern, bspw. bei Service-Providern bezieht, Private Cloud sind hauseigene Angebote und von einer Hybrid Cloud spricht man bei der Nutzungen von Public als auch Private Cloud, bei letzteren Begriffen handelt es sich  um Modelle auf welche Art diese bezogen werden.

Dieser Artikel verfolgt die Absicht die Sicherheit in der Cloud zu durchleuchten und Anregungen zum Betrieb oder Bezug eines Cloud Services zu geben. Zu diesem Thema gilt es verschiedene Aspekte zu beachten:

  • Sicherheit im engeren Sinne, wie sicher kann ich einen Cloud Service gestalten (Schutz vor unbefugtem Zugriff, Anti-Virus-Lösungen)?
  • Sicherheit im erweiterten Sinne, wie vertrauenswürdig ist ein Cloud Service (Einhaltung von gesetzlichen Vorschriften und Unternehmens-Richtlinien, Risikoanalyse zum Betrieb des Services)?

Beim Thema Sicherheit dreht sich alles um Informationen, Identitäten und Infrastruktur. Das bedeutet, dass Individuen mit ihrer autorisierten und authentifizierten Identität auf für sie zugängliche Informationen über eine ICT-Infrastruktur zugreifen.

Die Grundsätze der Sicherheit sind:

  • Vertraulichkeit (Confidentiality – Schutz der persönlichen oder geschäftskritischen Daten)
  • Integrität (Integrity – Nachweisbarkeit von und Autorisierung für den Zugriff auf Daten)
  • Verfügbarkeit (Availability – Datenverfügbarkeit und Wiederherstellung)

Wie ist GRC (Governance, Risk Management and Compliance) mit Sicherheit verkoppelt:

  • Risiko-Management (der Vorsatz von IT Security ist die Minderung von Risiken. IT-Risiken sind heute eng an Geschäftsrisiken gekoppelt)
  • Einhaltung von Gesetzen (Compliance – Datenschutz und gesetzliche Bestimmungen bedürfen Sicherheitskontrollen, die den Zugriff zu Informationen regeln und forcieren. Diese ist vom Unternehmen strategisch gewollte oder gesetzlich vorgeschriebene und durchgeführte Gesetzesbefolgung unterstützt mit einem Sicherungssystem)
  • Geschäftsführung (Governance – die aktive Gewaltentrennung von  Rechten zur Entscheidungsfindung und Verantwortlichkeit unterschiedlicher Interessensvertreter innerhalb eines Unternehmens sowie die Regeln und Prozeduren zur Erstellung und Überwachung dieser Entscheide um die gewünschten Verhaltensweisen und Resultate festzulegen und diese zu erreichen)

Doch welchen Bezug haben diese Sicherheitsaspekte bei der Eruierung des Betriebs oder auf den Bezug von Cloud Services? Es gibt somit zwei Sichten:

  • Aus Sicht der Private Cloud
  • Aus Sicht der Public Cloud (beim Outsourcing eines IT-Services)

Für den Betrieb eines Services in der Private Cloud müssen interne Kontrollmechanismen vorhanden sein, die den Lebenszyklus von Informationen ganzheitlich erfassen, d.h. von der Entstehung bis zur sicheren Beseitigung selbiger. Weiter bedarf es klarer Richtlinien zur Handhabung von Daten allgemein und von solchen, die gesetzlichen Vorschriften unterliegen und u.U. verschlüsselt werden müssen; also wer darf welche Informationen verwalten und warum (Data Loss Prevention). Letztere müssen revisionssicher und auditierbar sein (Security Information and Event Management).

Entscheidet sich ein Unternehmen eine Dienstleistung beim Service Provider (Public Cloud) zu beziehen, so ist das Eigentum der Informationen abzuklären. Das klingt banal, ein seriöser Service Provider muss aber eine gültige rechtskräftige Stellungnahme über das Eigentum der, auf seiner Infrastruktur gespeicherten Daten aufweisen und damit gewährleisten, dass die vom Kunden generierten und gespeicherten Informationen dem Kunden gehören und sich dieser für deren Inhalt verantwortlich zeichnet. Sollte der Service Provider selbst Infrastruktur für seinen angebotenen Service mieten (bspw. bei Software-As-A-Service-Modellen), so ist er verpflichtet für Transitivität zu sorgen. D.h. das sich sein Vertragspartner nachweislich auch an diese Pflichten hält. Weitere Prüfpunkte bei der Evaluation des geeigneten Service Provider sind: Vertrauenswürdigkeit (Bilanz, Grösse, Alter des Unternehmens), Zugriff und Verfügbarkeit des Services und eigenen Informationen, Mandantenfähigkeit der Infrastruktur und des Services, gesetzeskonforme Datenhaltung (Lokalität und Datenmaskierungs- und Verschlüsselungs-Techniken) falls erforderlich, Rücktrittsklauseln (Migration und Wechsel des Providers, sichere Löschung der Daten inklusive Backup) sowie Einsicht von Audits und vertragliche zugesicherte Transparenz über sämtliche genannten Punkte. Bringt der Service Provider in spe gar entsprechende Zertifikate mit?

Was erleichtert einem Unternehmen einen geeigneten Service Provider zu finden oder welche Aspekte gilt es zu beachten? Nebst Dienstleistungen von Beratungsfirmen, die einen „Cloud Audit“ durchführen, um den für das eigene Unternehmen geeigneten Service Provider zu finden, gibt es zwei namhafte Konsortien, die sich dem Thema Cloud verschrieben haben:

  • CSA (Cloud Security Alliance, USA)
  • ENISA (European Network and Information Security Agency)

Diese Konsortien erarbeiten Richtlinien für Cloud Provider und behandeln diverse interessante Themen im Rahmen von Cloud Computing. Ein, zu diesem Artikel Passendes ist „Compliance Risk“. Dabei geht es die Investitionen, die ein Service Provider tätigt, um Zertifikationen im Bereich von Industriestandards und Gesetzeskonformität zu erreichen. Kann er das nicht nachweisen, so gilt es als Risiko den IT-Service bei diesem zu beziehen.

Die Zukunft der unternehmens-eigenen IT liegt im Cloud Computing, dafür sprechen die vielen Vorteile, die diese neue Technologie verspricht. Der Bezug von Dienstleistungen und die Wahl des Service Providers will aber wohl überlegt und geplant sein.

Leave a Reply

Fill in your details below or click an icon to log in:

WordPress.com Logo

You are commenting using your WordPress.com account. Log Out / Change )

Twitter picture

You are commenting using your Twitter account. Log Out / Change )

Facebook photo

You are commenting using your Facebook account. Log Out / Change )

Google+ photo

You are commenting using your Google+ account. Log Out / Change )

Connecting to %s