Datenschutz und Datensicherheit

Ratgeber: Sicheres Cloud Computing

In der Cloud gibt es von Storage über virtuelle Server bis hin zu CRM-Suiten mittlerweile unzählige Services. Doch Augen auf bei der Provider-Wahl! Die Risiken, die Cloud-Infrastrukturen für Anwenderdaten bedeuten, sind nur zum Teil abzuschätzen. Wir geben Tipps für die Cloud-Wahl.

Die Zahl der Cloud-Angebote wächst. Anwender können heute per Mausklick unzählige Dienstleistungen aus dem Internet beziehen. Dabei muss zwischen Private-Cloud-Angeboten, die nur einem bestimmten Nutzerkreis wie Angehörigen der gleichen Firma offenstehen, und Public-Cloud-Lösungen, die alle Interessierten verwenden können, unterschieden werden.

Drei verschiedene Servicemodelle sind im Einsatz:

  • Infrastructure-as-a-Service (IaaS) stellt dem Anwender Infrastruktur wie virtuelle Maschinen oder Speicherplatz zur Verfügung.

  • Platform-as-a-Service (PaaS) offeriert eine Ausführungs- und Entwicklungsumgebung.

  • Software-as-a-Service (SaaS) ist eine Softwarekomplettlösung des Cloud-Providers, die der Anwender beispielsweise über den Webbrowser bedient. Gängigstes Beispiel für SaaS-Angebote sind Office-Suiten.

Bedrohungen

Cloud-Services sind aufgrund ihrer Exponiertheit im Internet zahlreichen Angriffsmöglichkeiten und Gefahren ausgesetzt. Sie sind öffentlich erreichbar, und zumeist wird ihre Infrastruktur von Dritten betrieben, was beides Sicherheitsrisiken zur Folge hat. Die Cloud Security Alliance (CSA) hat die aus ihrer Sicht sieben größten Gefahren bei der Nutzung von (Public) Cloud Computing beschrieben:

  • Missbrauch und schädliche Nutzung von Cloud Computing: Begünstigt durch grundlegende Eigenschaften von Cloud-Infrastrukturen - etwa die schnelle und einfache Verfügbarkeit neuer Ressourcen mit sehr guter Netzanbindung - ist die Nutzung von Cloud-Ressourcen für Angreifer sehr interessant, um beispielsweise Denial-of-Service-Attacken (DoS) zu starten oder Schadsoftware zu hosten.

  • Unsichere Schnittstellen und APIs: Cloud-Services und die von den Anbietern zur Verfügung gestellten Managementschnittstellen sind bei Public-Cloud-Angeboten über das Internet erreichbar und lassen sich daher leicht angreifen. Darüber hinaus existieren Programmierschnittstellen, die von den Anwendern zur Steuerung und Konfiguration der Cloud-Services verwendet werden können. Schwachstellen an diesen Interfaces öffnen möglicherweise Einfallstore, die von Unbefugten genutzt werden, um beispielsweise unrechtmäßigen Zugriff auf Kundendaten zu erhalten.

  • Böswillige Insider: Sicherheitsmaßnahmen der Software sind oft wirkungslos, wenn der Angreifer auf die Infrastruktur des Cloud-Anbieters zugreifen kann. Das ist besonders bei böswilligen Insidern der Fall - also Mitarbeitern des Cloud-Anbieters, die sich Zugriff auf Kundendaten verschaffen.

  • Risiken durch geteilte Technologien: Eine weitere Eigenschaft von Cloud Computing ist das sogenannte Pooling von Ressourcen. Das bedeutet, dass die physischen Ressourcen von allen Anwendern der Cloud-Services gemeinsam verwendet werden. Dabei können sich Probleme bei der zuverlässigen Trennung der Nutzerdaten ergeben.

  • Datenverlust und -kompromittierung: Weil die Daten in der Cloud gespeichert sind und viele Anwender gleichzeitig dieselbe Infrastruktur verwenden, ergeben sich besondere Anforderungen an die Datensicherheit. Probleme bei Cloud-Providern in der Vergangenheit zeigen, dass es auch durch technische Schwierigkeiten zu Datenverlusten kommen kann.

  • Diebstahl von Benutzerkonten oder Cloud-Diensten: Damit Anwender ihre Dienste schnell und einfach benutzen können, setzen viele Cloud-Anbieter auf einen simplen Anmeldeprozess. Gelingt es einem Angreifer, die Zugangsdaten eines Kundenkontos in Erfahrung zu bringen, kann er unter falschem Namen auf fremde Daten zugreifen, Ressourcen missbrauchen und Schaden anrichten.

  • Unbekannte (neue) Risiken: Um die Risiken von Cloud-Services abzuschätzen, müssen Anwender die Sicherheitsvorkehrungen der Anbieter analysieren und in die eigene Betrachtung mit einbeziehen. Findet diese Risikoanalyse nicht oder nur unzureichend statt, etwa weil der Cloud-Provider nicht alle benötigten Informationen bereitstellt, bleibt ein nicht einschätzbares Risiko bestehen.

Quelle Teaserbild: Jakub Jirsak, Fotolia.de