Server  /  Cloud Weitere Artikel

Datenschutz und Datensicherheit

Ratgeber: Sicheres Cloud Computing

von Dr. Niels FallenbeckIryna Windhorst, 13.03.2013 (aktualisiert)
PDF PDF | eBook eBook
Foto: Jakub Jirsak, Fotolia.de
In der Cloud gibt es von Storage über virtuelle Server bis hin zu CRM-Suiten mittlerweile unzählige Services. Doch Vorsicht: Augen auf bei der Providerwahl! Die Risiken, die Cloud-Infrastrukturen für Anwenderdaten bedeuten, sind nur zum Teil abzuschätzen. Wir geben Tipps für die Cloud-Wahl.
Die Zahl der Cloud-Angebote wächst. Anwender können heute per Mausklick unzählige Dienstleistungen aus dem Internet beziehen. Dabei muss zwischen Private-Cloud-Angeboten, die nur einem bestimmten Nutzerkreis wie Angehörigen der gleichen Firma offensteht, und Public-Cloud-Lösungen, die alle Interessierten verwenden können, unterschieden werden.
Drei verschiedene Service-Modelle sind im Einsatz:
  • Infrastructure-as-a-Service (IaaS) stellt dem Anwender Infrastruktur wie virtuelle Maschinen oder Speicherplatz zur Verfügung.
  • Platform-as-a-Service (PaaS) offeriert eine Ausführungs- und Entwicklungsumgebung.
  • Software-as-a-Service (SaaS) ist eine Software-Komplettlösung des Cloud-Providers, die der Anwender beispielsweise über den Webbrowser bedient. Gängigstes Beispiel für SaaS-Angebote sind Office-Suiten.

Bedrohungen

Cloud-Services sind durch ihre Exponiertheit im Internet zahlreichen Angriffsmöglichkeiten und Gefahren ausgesetzt. Sie sind öffentlich erreichbar und zumeist betreiben Dritte ihre Infrastruktur, was beides Sicherheitsrisiken zur Folge hat. Die Cloud Security Alliance (CSA) hat die aus ihrer Sicht sieben größten Gefahren bei der Nutzung von (Public) Cloud Computing beschrieben:
  • Missbrauch und schädliche Nutzung von Cloud Computing: Begünstigt durch grundlegende Eigenschaften von Cloud-Infrastrukturen (wie die schnelle und einfache Verfügbarkeit neuer Ressourcen mit sehr guter Netzanbindung) ist die Nutzung von Cloud-Ressourcen für Angreifer sehr interessant, um beispielsweise Denial-of-Service-Attacken (DoS) zu starten oder Schadsoftware zu hosten.
  • Unsichere Schnittstellen und APIs: Cloud-Services und die von den Anbietern zur Verfügung gestellten Management-Schnittstellen sind bei Public-Cloud-Angeboten über das Internet erreichbar und lassen sich daher leicht angreifen. Darüber hinaus existieren Programmierschnittstellen, die von den Anwendern zur Steuerung und Konfiguration der Cloud-Services verwendet werden können. Schwachstellen an diesen Interfaces öffnen möglicherweise Einfallstore, um beispielsweise unrechtmäßigen Zugriff auf Kundendaten zu erhalten.
  • Böswillige Insider: Sicherheitsmaßnahmen der Software sind oft wirkungslos, wenn der Angreifer auf die Infrastruktur des Cloud-Anbieters zugreifen kann. Das ist besonders bei böswilligen Insidern der Fall - also Mitarbeitern des Cloud-Anbieters, die sich Zugriff auf Kundendaten verschaffen.
  • Risiken durch geteilte Technologien: Eine weitere Eigenschaft von Cloud Computing ist das so genannte Pooling von Ressourcen. Das bedeutet, dass die physischen Ressourcen von allen Anwendern der Cloud-Services gemeinsam verwendet werden. Dabei können sich Probleme bei der zuverlässigen Trennung der Nutzerdaten ergeben.
  • Datenverlust und -kompromittierung: Weil die Daten in der Cloud gespeichert sind und viele Anwender gleichzeitig dieselbe Infrastruktur verwenden, ergeben sich besondere Anforderungen an die Datensicherheit. Vergangene Probleme bei Cloud-Providern zeigen, dass es auch durch technische Probleme zu Datenverlusten kommen kann.
  • Diebstahl von Benutzerkonten oder Cloud-Diensten: Damit Anwender ihre Dienste schnell und einfach benutzen können, setzen viele Cloud-Anbieter auf einen simplen Anmeldeprozess. Gelingt es einem Angreifer, die Zugangsdaten eines Kundenkontos in Erfahrung zu bringen, kann er unter falschem Namen auf fremde Daten zugreifen, Ressourcen missbrauchen und Schaden anrichten.
  • Unbekannte (neue) Risiken: Um die Risiken von Cloud-Services abzuschätzen, müssen Anwender die Sicherheitsvorkehrungen der Anbieter analysieren und in die eigene Betrachtung mit einbeziehen. Findet diese Risikoanalyse nicht oder nur unzureichend statt, weil der Cloud-Provider nicht alle benötigten Informationen bereitstellt, bleibt ein nicht einschätzbares Risiko.
Quelle Teaserbild: Jakub Jirsak, Fotolia.de
Jetzt Newsletter bestellen und einen Hotel-Gutschein gewinnen!
Auf der nächsten Seite: Anforderungen an Cloud-Infrastrukturen
 
Seite 1 von 5
Nächste Seite
Inhalt dieses Artikels

Kostenlose AppsGratis-Apps für Smartphones und Tablet-PCs
Holen Sie sich die kostenlosen TecChannel-Apps für iPhone, iPad, Android, bada und Windows 7 Slate. Oder nutzen Sie mobil.tecchannel.de für alle Geräte.



Das könnte Sie auch interessieren
Identitäts- und Berechtigungsmanagement in der Cloud Zu den Kernkomponenten einer Cloud-Computing-Plattform gehört das Identitäts- und Berechtigungsmanag ...mehr » Ratgeber - Cloud Computing für kleine und mittelständische U... Cloud Computing wird oftmals mit Großunternehmen und der Erneuerung von Rechenzentren assoziiert. Cl ...mehr » Wie Benutzerrechte Verwaltungskosten senken Benutzerverwaltung und Access-Management fristen in der IT-Administration häufig ein Schattendasein. ...mehr » Lückenhafte Benutzerverwaltung ist ein Sicherheitsrisiko Viele Unternehmen setzen bereits eine automatisierte Benutzerverwaltung ein. Allerdings sind diese I ...mehr » Identity- und Access-Management in der Cloud richtig anwende... Ein angepasstes Identity- und Access-Management (IAM) kann helfen, aktuelle Cloud-Dienste sicher und ...mehr »
Ihre Meinung zum Artikel
Benutzername:
Passwort:



NEU IM FORUM