13.03.2013 von Dr. Niels Fallenbeck und Iryna Windhorst
In der Cloud gibt es von Storage über virtuelle Server bis hin zu CRM-Suiten mittlerweile unzählige Services. Doch Augen auf bei der Provider-Wahl! Die Risiken, die Cloud-Infrastrukturen für Anwenderdaten bedeuten, sind nur zum Teil abzuschätzen. Wir geben Tipps für die Cloud-Wahl.
Die Zahl der Cloud-Angebote wächst. Anwender können heute per Mausklick unzählige Dienstleistungen aus dem Internet beziehen. Dabei muss zwischen Private-Cloud-Angeboten, die nur einem bestimmten Nutzerkreis wie Angehörigen der gleichen Firma offenstehen, und Public-Cloud-Lösungen, die alle Interessierten verwenden können, unterschieden werden.
Drei verschiedene Servicemodelle sind im Einsatz:
Infrastructure-as-a-Service (IaaS) stellt dem Anwender Infrastruktur wie virtuelle Maschinen oder Speicherplatz zur Verfügung.
Platform-as-a-Service (PaaS) offeriert eine Ausführungs- und Entwicklungsumgebung.
Software-as-a-Service (SaaS) ist eine Softwarekomplettlösung des Cloud-Providers, die der Anwender beispielsweise über den Webbrowser bedient. Gängigstes Beispiel für SaaS-Angebote sind Office-Suiten.
Bedrohungen
Cloud-Services sind aufgrund ihrer Exponiertheit im Internet zahlreichen Angriffsmöglichkeiten und Gefahren ausgesetzt. Sie sind öffentlich erreichbar, und zumeist wird ihre Infrastruktur von Dritten betrieben, was beides Sicherheitsrisiken zur Folge hat. Die Cloud Security Alliance (CSA) hat die aus ihrer Sicht sieben größten Gefahren bei der Nutzung von (Public) Cloud Computing beschrieben:
Missbrauch und schädliche Nutzung von Cloud Computing: Begünstigt durch grundlegende Eigenschaften von Cloud-Infrastrukturen - etwa die schnelle und einfache Verfügbarkeit neuer Ressourcen mit sehr guter Netzanbindung - ist die Nutzung von Cloud-Ressourcen für Angreifer sehr interessant, um beispielsweise Denial-of-Service-Attacken (DoS) zu starten oder Schadsoftware zu hosten.
Unsichere Schnittstellen und APIs: Cloud-Services und die von den Anbietern zur Verfügung gestellten Managementschnittstellen sind bei Public-Cloud-Angeboten über das Internet erreichbar und lassen sich daher leicht angreifen. Darüber hinaus existieren Programmierschnittstellen, die von den Anwendern zur Steuerung und Konfiguration der Cloud-Services verwendet werden können. Schwachstellen an diesen Interfaces öffnen möglicherweise Einfallstore, die von Unbefugten genutzt werden, um beispielsweise unrechtmäßigen Zugriff auf Kundendaten zu erhalten.
Böswillige Insider: Sicherheitsmaßnahmen der Software sind oft wirkungslos, wenn der Angreifer auf die Infrastruktur des Cloud-Anbieters zugreifen kann. Das ist besonders bei böswilligen Insidern der Fall - also Mitarbeitern des Cloud-Anbieters, die sich Zugriff auf Kundendaten verschaffen.
Risiken durch geteilte Technologien: Eine weitere Eigenschaft von Cloud Computing ist das sogenannte Pooling von Ressourcen. Das bedeutet, dass die physischen Ressourcen von allen Anwendern der Cloud-Services gemeinsam verwendet werden. Dabei können sich Probleme bei der zuverlässigen Trennung der Nutzerdaten ergeben.
Datenverlust und -kompromittierung: Weil die Daten in der Cloud gespeichert sind und viele Anwender gleichzeitig dieselbe Infrastruktur verwenden, ergeben sich besondere Anforderungen an die Datensicherheit. Probleme bei Cloud-Providern in der Vergangenheit zeigen, dass es auch durch technische Schwierigkeiten zu Datenverlusten kommen kann.
Diebstahl von Benutzerkonten oder Cloud-Diensten: Damit Anwender ihre Dienste schnell und einfach benutzen können, setzen viele Cloud-Anbieter auf einen simplen Anmeldeprozess. Gelingt es einem Angreifer, die Zugangsdaten eines Kundenkontos in Erfahrung zu bringen, kann er unter falschem Namen auf fremde Daten zugreifen, Ressourcen missbrauchen und Schaden anrichten.
Unbekannte (neue) Risiken: Um die Risiken von Cloud-Services abzuschätzen, müssen Anwender die Sicherheitsvorkehrungen der Anbieter analysieren und in die eigene Betrachtung mit einbeziehen. Findet diese Risikoanalyse nicht oder nur unzureichend statt, etwa weil der Cloud-Provider nicht alle benötigten Informationen bereitstellt, bleibt ein nicht einschätzbares Risiko bestehen.
Datenschutz und Datensicherheit Saugatuck hat einen Fragenkatalog zur Security im Cloud Computing zusammen gestellt, den Interessenten Ihrem potenziellen Cloud-Provider vorlegen sollten.
Fachliche Anforderungen Wie kann der Kunde auf seine Daten zugreifen oder diese wiederherzustellen?
Fachliche Anforderungen Wie wird Sicherung der Daten einschließlich Disaster Recovery gewährleistet?
Fachliche Anforderungen Wie, in welchem Format und nach welchen Umständen oder Bedingungen werden bei Vertragsende die Daten des Kunden an ihn übergeben?
Die Technik für Datenschutz und -sicherheit Sind die Rechenzentren uneingeschränkt, rund um die Uhr, physikalisch und auch nach Mehr-Personen-Prinzip gesichert?
Die Technik für Datenschutz und -sicherheit Ist es sichergestellt, dass das Personal des Providers weder Zugang zu den Benutzerpasswörtern und Berechtigungen des Anwenders hat noch diese einsehen kann?
Die Technik für Datenschutz und -sicherheit Werden die Vorschriften zu Passwortrichtlinien, Zugriffsbeschränkungen, Anmeldeprotokollierungen, Datenzugriffsmodellen sowie zum Feldebenenzugriff dokumentiert?
Die Technik für Datenschutz und -sicherheit Werden alle Passwörter verschlüsselt übertragen?
Die Technik für Datenschutz und -sicherheit Gibt es ein sicheres Session-Key-Management und besteht eine Multi-Tenant-Datenzugriffskontrolle?
Die Technik für Datenschutz und -sicherheit Werden Sicherheitsverstöße überwacht? Werden Eindringversuche (Intrusion Detection) und sicherheitsrelevante Vorfälle (Security-Event-Management) dokumentiert?
Transaktionen im Internet Gibt es eine 128-bit SSL-Verschlüsselung für jede Transaktion?
Transaktionen im Internet Liegen Verisign-Zertifikate vor?
Transaktionen im Internet Werden Perimeter und Firewalls ständig überwacht? Sind Intrusion Detection sowie vorausschauendes Log-File-Monitoring Standardverfahren?
Sicherheitsmonitoring Werden erfolgreiche und fehlgeschlagene Logins dokumentiert?
Sicherheitsmonitoring Werden Eindringversuche (Intrusion Detection) und sicherheitsrelevante Vorfälle (Security-Event-Management) dokumentiert?
Interoperabilität mit On-Premise-Anwendungen Welchen Einfluss haben Security-Architekturen und -Praktiken des Cloud-Providers auf die lokalen Installationen des Anwenders?
Interoperabilität mit On-Premise-Anwendungen Legt der Betreiber der Multi-Tenancy- und Cloud-Plattform die verwendeten Techniken und Abläufe für das Data-Partitioning offen und dokumentiert sie?
Gesetzliche Anforderungen Ist bei Speicherung von personenbezogenen Daten außerhalb der Grenzen des Europäischen Wirtschaftsraumes ein angemessenes Schutzniveau gewährleistet, wie es das Bundesdatenschutzgesetz vorschreibt (Paragraf 4b Absatz 2 Satz 2 BDSG)?
Gesetzliche Anforderungen Ist es sichergestellt, dass ausschließlich solche Anwender auf Anwendung und deren Daten zugreifen können, die auch dazu berechtigt sind?
Gesetzliche Anforderungen Können personenbezogenen Daten bei der Verarbeitung, Nutzung und nach Speicherung nicht unbefugt gelesen, kopiert, verändert oder entfernt werden?
Gesetzliche Anforderungen Lässt sich nachträglich prüfen und feststellen, ob und von wem personenbezogene Daten in Anwendungssystemen eingegeben, verändert oder entfernt worden sind?
Gesetzliche Anforderungen Können zu unterschiedlichen Zwecken erhobene personenbezogene Daten getrennt verarbeitet werden?
Quelle Teaserbild: Jakub Jirsak, Fotolia.de
Anforderungen an Cloud-Infrastrukturen
Wichtige Anforderungen an eine Cloud-Infrastruktur sind eine solide Sicherheitsarchitektur und eine sichere Mandantentrennung auf allen Infrastrukturebenen (Virtualisierung, Netzwerk, Plattform, Anwendung, Daten). Des Weiteren sollten Anwender darauf achten, dass der Cloud-Provider nach einem definierten Vorgehensmodell für das Management von IT-Prozessen arbeitet - wie ITIL oder COBIT. Nur so schafft er es, die vielen Aufgaben des Sicherheitsmanagements strukturiert anzugehen. Dazu gehören Patch-Management, Konfigurations-Management, Änderungs-Management, System-Management und Application-Management.
Anwendungsabhängig: Verschiedene Cloud-Nutzungsarten bringen verschiedene Sicherheitsanforderungen mit. Foto: SafeNet
Als Absicherung der Cloud gegen Störungen und Notfälle muss zusätzlich ein Notfallmanagement existieren. Zertifizierungen - beispielsweise ISO 27001 - können dem Anwender signalisieren, dass der Provider solche Prozesse etabliert hat.
Ein weiteres wichtiges Auswahlkriterium ist der Hauptsitz des Cloud-Providers. Viele bekannte Anbieter operieren von den USA aus und unterliegen den dortigen Gesetzen. Dazu gehört insbesondere auch der Patriot Act, der US-Behörden den umfangreichen Zugriff auf Anwenderdaten erlaubt, ohne dass die Anwender darüber informiert werden müssen.
Die 10 größten Security-Risiken in der Cloud Lesen Sie, welche Security-Risiken der Einsatz einer Public oder Hybrid Cloud birgt und was Sie dagegen tun können.
Verletzung der Vertraulichkeit und Integrität der Daten: Eine Lokalisierung der Daten ist in einer Public oder Hybrid Cloud für den Dateneigentümer nicht mehr einfach möglich. Daher ist der Schutz der Daten auf der Infrastruktur-, Plattform und Applikationsebene häufig nicht mehr mit üblichen Mitteln zu gewährleisten.
Löschung von Daten: Daten müssen in vielen Fällen (etwa aufgrund gesetzlicher Bestimmungen) gelöscht werden. Auch hier besteht das Risiko einer nur unzureichenden oder unvollständigen Löschung auf allen Plattformen und Datenbanken der Cloud, da die Lokalisierung der Daten nur schwer möglich ist.
Ungenügende Mandantentrennung: Bei nicht ausreichend abgesicherter Mandantentrennung besteht die Gefahr, dass Dritte unautorisiert Daten einsehen oder manipulieren können.
Verletzung der Compliance: Da Daten in einer Public Cloud prinzipiell in allen Ländern der Welt in deren spezifischen Rechtsordnungen verarbeitet werden können, ist die Erfüllung aller gesetzlicher Anforderungen eine wesentliche Aufgabe bei der Nutzung von Public Cloud Leistungen.
Verletzung von Datenschutzgesetzen: Es ist nicht von vornherein klar, in welchen Ländern, Rechenzentren, auf welchen Servern und mit welcher Software die Daten gespeichert und verarbeitet werden.
Insolvenz des Providers: Die Insolvenz eines Providers bedeutet meist nicht die Insolvenz aller Rechenzentren, die der Provider verwendet hat. Rechenzentren werden zudem bei Insolvenz mit großer Wahrscheinlichkeit an andere Provider verkauft werden.
Problematik der Subunternehmer: Ein weiteres Problem stellt die Auftragsweitergabe an Subunternehmer dar. Der Provider wird häufig Subunternehmer für gewisse Leistungen verpflichten. In einer Public Cloud bleibt auch diese Komplexität dem Benutzer häufig verborgen (und soll ja nach der Philosophie des Cloud Computing verborgen bleiben).
Beschlagnahmung von Hardware: Eine Beschlagnahme von Hardware kann in allen Ländern erfolgen, in denen der Provider Computing-Ressourcen nutzt. Meist werden sich Daten des Auftraggebers auf beschlagnahmten Servern befinden.
Handel mit Ressourcen wird denkbar: Denkbar ist auch, dass Provider einen Handel mit ihren Ressourcen untereinander aufbauen und damit eine "Ressourcenbörse" realisieren wie sie in obiger Abbildung angedeutet ist. Auf dieser Börse werden Ressourcen zu einem bestimmten Preis angeboten.
Erpressungsversuche: Die Gefahr von Erpressungsversuchen steigt, da der Personenkreis mit Administrationsaufgaben für Ressourcen der Public Cloud unüberschaubar groß ist. Das eingesetzte Personal verfügt im Allgemeinen über unterschiedliches Ausbildungsniveau und Sicherheitsbewusstsein.
Die Frage nach der Nutzung von Cloud-Technologien und der Auslagerung von Diensten muss in erster Linie aus der Perspektive der Beherrschbarkeit mit den damit verbundenen Risiken betrachtet werden. Abhängig vom Einsatzszenario ergeben sich unterschiedliche Sicherheitsanforderungen. Diese werden in zahlreichen Studien und Leitfäden, wie beispielsweise von Fraunhofer AISEC, dem Bitkom, EuroCloud, Enisa und der CSA sowie im Eckpunktepapier Sicherheitsempfehlungen für Cloud-Computing-Anbieter des deutschen Bundesamts für Sicherheit in der Informationstechnik (BSI) erläutert.
Cloud-Dienste sicher nutzen
Folgende Maßnahmen sollte ein Anwender im Vorfeld oder zu Beginn der Nutzung von Cloud-Services beherzigen:
Schutzniveau der Daten definieren: Bei der Datenerzeugung oder beim Datentransfer in die Cloud sollte der Anwender seine Daten klassifizieren (Sicherheitslevel "niedrig" bis "sehr hoch"), ihren Schutzbedarf analysieren und damit festlegen, welche Daten bei einem Cloud-Anbieter auf welche Weise gespeichert und übertragen werden dürfen. Dies kann beispielsweise die Verwendung bestimmter kryptografischer Verfahren oder ein umfassendes Rechtekonzept für den Zugriff auf bestimmte Informationen umfassen.
Sicheres Speichern der Daten in die Cloud: Beim Speichern der Daten spielt die Verschlüsselung eine zentrale Rolle. Die Verwaltung der Schlüssel stellt für viele Anwender eine Herausforderung dar. Ihr Verlust bedeutet immer auch den Verlust verschlüsselter Daten; eine Kompromittierung der Schlüssel gefährdet der Datensicherheit.
Sicherer Transfer der Daten in die Cloud: Neben der sicheren, isolierten Aufbewahrung der Daten spielt der sichere Transport der Daten vom Kunden in die Cloud und zwischen den Cloud-Rechenzentren eine wichtige Rolle. Daten sollten nur über verschlüsselte Kanäle übertragen werden und lassen sich beispielsweise über ein verschlüsseltes virtuelles privates Netzwerk (VPN) in die bestehende IT-Infrastruktur des Anwenders einbinden. Um Managementschnittstellen oder die Verwendung von SaaS-Angeboten via Web-Browser abzusichern, sind ausschließlich sichere HTTPS-Verbindungen anzuraten.
Sichere Datenverarbeitung: Was die Datenverarbeitung angeht, ist es besonders wichtig, alle Zugriffe und Aktivitäten innerhalb der Speicherdienste und Cloud-Anwendungen zu protokollieren, um Angriffe zu erkennen. Des Weiteren spielen Portabilität und Interoperabilität eine wichtige Rolle, wenn es darum geht, die Gefahren eines Vendor-Lock-ins - die zwangsweise Bindung an einen Anbieter aufgrund fehlender Datenexportschnittstellen oder wegen unüblicher Exportdatenformate - zu minimieren. Um einen Lock-in-Effekt zu vermeiden, müssen gegebenenfalls Vereinbarungen mit dem Cloud-Anbieter getroffen werden, um die gespeicherten Daten in einem Standardformat zur Verfügung gestellt zu bekommen. Das kommt dem Anwender dann zugute, wenn er später den Cloud-Provider wechseln möchte. Für die Integration von Cloud-Services in die eigene Infrastruktur und bei der Nutzung mehrerer Angebote (Hybrid Cloud) ist die Interoperabilität der Infrastrukturen wichtig. Mit standardisierten und offenen Schnittstellen, Protokollen und Open-Source-Plattformen lässt sich dieser Zustand erreichen.
Sicherer Zugang zu den Cloud-Diensten: Nicht nur die Daten selbst, sondern auch die Zugangsdaten für Cloud-Dienste und eigene Anwendungen müssen geschützt werden. Eine verschlüsselte Übertragung und ein regelmäßiger Wechsel des Log-Ins sind zu empfehlen. Hier sollten starke Authentifizierungsmechanismen wie eine Zwei-Faktor-Authentifizierung verwendet und Zugriffsrechte individuell nach dem Need-to-know-Prinzip vergeben werden. Die verteilten Rollen und Rechte sind regelmäßig zu überprüfen.
Sichere Datenarchivierung: Das verschlüsselte Archivieren von Daten ist ratsam. Um regulatorische Vorgaben zu erfüllen und forensische Untersuchungen zu ermöglichen, sind hier Mechanismen anzuwenden, die die Suche nach und die Extraktion von Daten jederzeit möglich machen.
Sichere Datenlöschung/-vernichtung: Das dauerhafte Löschen der Daten in der Cloud ist sehr wichtig, egal ob dies durch gesetzliche Vorgaben vorgeschrieben oder beim Wechsel des Anbieters nötig geworden ist. Da ein Anwender oft keinen Zugriff auf das vom Cloud-Provider vorgehaltene Backup hat, bietet es sich an - sofern der Service dies ermöglicht -, die Daten ausschließlich verschlüsselt zu speichern. Beim Löschvorgang wird dann der zugehörige Schlüssel vernichtet, und eine Datenentschlüsselung ist damit ausgeschlossen.
So schützen Sie sich vor Cloud Katastrophen "Die Cloud hat keine Fehler, die es zuvor nicht auch beim In-House-Betrieb gegeben hat", meint Rackspace CSO Moorman. Eine absolute Sicherheit gibt es auch mit der Cloud nicht. Wer sich dessen bewusst ist, wird nicht unvorbereitet in einen Wolkenbruch geraten. Unsere Tipps für Sie:
Tipp 1: Wenn Sie einen Teil ihrer IT in die Cloud verlagern wollen, sollten sie bei der System-Planung Verluste und Ausfälle von Anfang an berücksichtigen.
Tipp 2: Wenn es um ihre Daten geht, sollte Sie nicht auf andere vertrauen, sondern sich selber darum kümmern. Sorgen Sie selbst für ein Backup und überprüfen sie das Disaster Recovery-Setup Ihres Cloud-Providers.
Tipp 3: Es ist nicht unbedingt nötig, alle Daten doppelt zu sichern. Ein zusätzliches Backup der kritischsten Daten kann aber sinnvoll sein.
Tipp 4: Cloud-Nutzer sollten gründlich auf die Sicherungsmechanismen achten und eventuell vorsorglich eine Backup- oder Offline-Zugriffs-Lösung aufsetzen.
Tipp 5: Bei Cloud-Diensten kann es sinnvoll sein, Daten auf verschiedenen Servern in unterschiedlichen Rechenzentren zu sichern – Es lohnt sich auch, die Dienste mehrerer Provider zu nutzen.
Tipp 6: Sie sollten sich folgende Frage stellen: Ist es für unser Unternehmen tragbar, wenn Geschäftsdaten temporär nicht abrufbar sind?
Der rechtliche Rahmen
Eine Verarbeitung der Daten in der Cloud unterliegt speziellen Datenschutz- und Sicherheitsanforderungen, die sich aus nationalen und internationalen Datenschutzvorgaben ableiten lassen. Neben dem Bundesdatenschutzgesetz (BDSG) in Deutschland ist auf europäischer Ebene die sogenannte Datenschutzrichtlinie 95/46/EG anwendbar. Wenn es beispielsweise um einen öffentlich verfügbaren Telekommunikationsdienst wie einen E-Mail-Service geht, gelten innerhalb Deutschlands zusätzlich das Telekommunikationsgesetz (TKG) sowie die Richtlinie 2002/58/EG in der EU allgemein. Darüber hinaus gibt es eine Reihe weiterer Compliance-Anforderungen wie den Sarbanes-Oxley Act (SOX), den Health Insurance Portability and Accounting Act (HIPAA) und den Federal Information Security Management Act (FISMA). Diese Richtlinien müssen Unternehmen erfüllen, wenn sie selbst ihre IT betreiben oder in die Cloud verlagern. Ergo: Die Cloud ändert nichts an der unternehmerischen Verantwortung für die Daten und den Datenschutz, sie kann nicht vertraglich auf einen Dienstleister übertragen werden!
Das BDSG verpflichtet die Unternehmen zur "sorgfältigen Auswahl" des Cloud-Providers und darüber hinaus dazu, alle vorgenommenen Datenschutzmaßnahmen zu überprüfen. Das gestaltet sich in der Praxis wegen der nicht ausreichenden Expertise oft schwierig. Hier helfen Gütesiegel und Zertifizierungen der Cloud-Anbieter respektive -Services durch eine unabhängige Instanz. Zertifikate liefern einen Nachweis über die Erfüllung der Sicherheits-, Compliance- und Datenschutz-Anforderungen. Zu den wichtigsten Zertifikaten mit Cloud-Computing-Bezug zählen:
Bitkom, Branchenverband der ITK-Branche Cloud-Security-Aktivitäten: Cloud-Computing-Leitfaden; IT-Sicherheit und Datenschutz / Relevanz: 3 von 5 Punkten
BSI Cloud-Security-Aktivitäten: BSI-ESCC (Eckpunktepapier Sicherheitsempfehlungen für Cloud-Computing-Anbieter); IT-Grundschutz-Katalog / Relevanz: 4 von 5 Punkten
CSA, Organisation für Sicherheit im Cloud Computing Cloud-Security-Aktivitäten: Katalog zu den Sicherheitsbedrohungen im Cloud Computing; Sicherheitsleitfaden für kritische Handlungsfelder in der Cloud; CTP (Cloud Trust Protocol); CSA Security, Trust & Assurance Registry (STAR); Certificate of Cloud Security Knowledge (CCSK); Cloud Trust Protocol (CTP) / Relevanz: 5 von 5 Punkten
ENISA (Europäische Agentur für Netz- und Informationssicherheit) Cloud-Security-Aktivitäten: Leitfaden zur Informationssicherheit im Cloud Computing; Sicherheit und Zuverlässigkeit in öffentlichen Clouds / Relevanz: 4 von 5 Punkten
EuroCloud Deutschland_eco, europäisches Cloud-Computing- Business-Netzwerk Cloud-Security-Aktivitäten: Leitfaden Recht, Datenschutz und Compliance; EuroCloud-SA (EuroCloud Star Audit): Zertifikat für Anbieter von Cloud-Diensten / Relevanz: 4 von 5 Punkten
Fraunhofer SIT (Fraunhofer-Institut für Sichere Informationstechnologie) Cloud-Security-Aktivitäten: Studie zur Cloud-Computing-Sicherheit / Relevanz: 4 von 5 Punkten
NIST (National Institute of Standards and Technology), US-Behörde Cloud-Security-Aktivitäten: NIST-UC (Cloud Computing Use Cases); SCAP (Security Content Automation Protocol) / Relevanz: 2 von 5 Punkten
Cloud Software Program, Initiative des finnischen Strategie-Centers für Wissenschaft, Technologie und Innovation (20 Unternehmen und acht Forschungsinstitute) Cloud-Security-Aktivitäten: Schutzmaßnahmen und Sicherheitskonzepte für die finnische Softwareindustrie; Best Practices im Cloud Computing / Relevanz: 3 von 5 Punkten
Secure by Design, Initiative der IBM Cloud-Security-Aktivitäten: Secure Engineering Framework, eine Anleitung und Checklisten für Softwareentwickler, das Management und die Sicherheitsverantwortlichen / Relevanz: 2 von 5 Punkten
Security Working Group (USA), Federal Cloud Computing Initiative (FCCI) Cloud-Security-Aktivitäten: Prozesse und Handlungsempfehlungen für den öffentlichen Sektor / Relevanz: 2 von 5 Punkten
ISACA, Berufsverband mit mehr als 95.000 praxisorientierten Information-Systems-(IS-)Fachleuten aus mehr als 160 Ländern Cloud-Security-Aktivitäten: Praxis-Leitfaden zur Informationssicherheit; Vorträge zu Cloud-Sicherheit / Relevanz: 4 von 5 Punkten
AICPA (American Institute of Certified Public Accountants) mit über 350.000 Mitgliedern in 128 Ländern Cloud-Security-Aktivitäten: SSAE 16 (Statement on Standards for Attes-tation Engagements No. 16): Zertifikat für Anbieter von Cloud-Diensten / Relevanz: 4 von 5 Punkten
NIFIS (Nationale Initiative für Informations- und Internet-Sicherheit e.V.) Cloud-Security-Aktivitäten: Konzepte für den Schutz vor Angriffen aus dem Datennetz / Relevanz: 3 von 5 Punkten
Trusted Cloud, Initiative des Bundesministeriums für Wirtschaft und Technologie (BMWi) Cloud-Security-Aktivitäten: Cloud-Sicherheit und Interoperabilität; Förderprojekte / Relevanz: 5 von 5 Punkten
Selbst-Zertifizierung nach Safe Harbor reicht nicht aus
Allerdings sollte der Anwender nicht blind auf Zertifikate und Gütesiegel vertrauen, sondern genau prüfen, was zertifiziert wurde und welche Gültigkeit ein Zertifikat hat. Empfehlenswert ist, eine Kopie des Zertifikates und des dazugehörigen Evaluationsberichts vom Cloud-Anbieter anzufordern. Das Hauptproblem besteht allerdings darin, dass alle bislang verfügbaren Zertifikate nur eine Betrachtung des aktuellen Zustands darstellen. Sie sind damit lediglich eine Momentaufnahme der Erfüllung technischer und organisatorischer Maßnahmen zum Zeitpunkt der Ausstellung, obwohl sie für ein bis drei Jahre nach der Auditierung gültig sind. Ob die Anforderungen des Zertifikats seit dem Ausstellungszeitpunkt eingehalten wurden, lässt sich selbst von erfahrenen IT-Sicherheitsexperten und Datenschützern nur schwer feststellen. Unter diesem Aspekt ist beispielsweise die kontinuierliche Zertifizierung der Cloud-Angebote ein interessanter Ansatz, den es zu evaluieren gilt.
Was taugen Cloud-Zertifikate? Bestehende Sicherheitsstandards wie SAS70 und ISO 27001 können dem Cloud Computing nicht uneingeschränkt gerecht werden, weil sie sich nicht den besonderen Risiken widmen, die sich durch die Cloud-Architektur ergeben. Um Transparenz zu schaffen und Bedenken potenzieller Kunden zu zerstreuen, streben die Cloud-Anbieter vermehrt eine Auditierung durch externe Wirtschaftsprüfungsunternehmen an. Hans Paulini, Architekt und Experte für das Thema Cloud bei Logica in Deutschland hat für uns einige Zertifkate unter die Lupe genommen. Anbei ein Überblick: <br /><br /> <a href="http://www.computerwoche.de/management/cloud-computing/2487626/" target="_blank"> hier geht es zum Beitrag "Was taugen Cloud-Zertifikate?"</a>
Das EuroCloud-Zertifikat EuroCloud ist ein Zusammenschluss europäischer Cloud-Anbieter. Der deutsche Ableger zertifiziert Unternehmen i nach dem Standard "Euro Cloud SaaS Star Audit". Der etwas sperrige Name beinhaltet eine anspruchsvolle Palette an Prüfungen, die ein Cloud-Anbieter durchlaufen muss. Hierbei wird anhand eines detaillierten Fragenkatalogs die Einhaltung von Sicherheitsrichtlinien bewertet. Das Zertifikat sieht maximal fünf Sterne vor. Wird die Höchstwertung erreicht, kann der Kunde von einem sehr vertrauenswürdigen Cloud-Anbieter ausgehen.
Zertifikat mit Tradition: ISO 27001 Die seit 2005 in der jetzigen Form angebotene Zertifizierung ISO 27001 wird vom Bundesamt für Sicherheit in der Informationstechnik (BSI) erteilt und ist eines der vertrauenswürdigsten Zertifikate im IT-Sektor. Das Audit besteht aus zwei Phasen: Zuerst wird anhand einer Dokumentenprüfung die grundsätzliche Eignung für die Zertifizierung festgestellt, danach folgt eine detaillierte Analyse der Sicherheitsprozesse. In der zweiten Phase werden Prozesse und sicherheitsrelevante Systeme vor Ort in Augenschein genommen. Diese Zertifizierung ist weltweit als Standard anerkannt und damit quasi auch ein Muss für alle Cloud-Anbieter.
In Europa weniger genutzt: SAS 70 vom AICPA Die Zertifizierung SAS 70 testiert die Kontrolle über die unternehmenseigenen Steuerungsprozesse nach den Vorgaben des American Institute of Certified Public Accountants (AICPA). Die SAS-70-Zertifizierung kann auf zwei Arten erfolgen. Während die Typ-1-Zertifizierung nur eine Beschreibung der Kontrollmechanismen verlangt, werden bei Typ 2 auch die tatsächliche Umsetzung und die Effizienz der Maßnahmen im Unternehmen kontrolliert. In Europa ist diese Art der Zertifizierung nicht sehr bekannt, jedoch können einige der amerikanischen Cloud-Anbieter diese Zertifizierung nachweisen. Der Nachteil von SAS 70 ist, dass die Zertifizierung weder auf IT-Prozesse noch auf die Cloud-Fragestellung ausgerichtet ist.
Nicht ausreichend: Safe Harbour Agreement Safe Harbour ist eine Datenschutzvereinbarung zwischen der EU und den Vereinigten Staaten, die es europäischen Unternehmen ermöglicht, personenbezogene Daten legal in die USA zu übermitteln. Europäische Rechtsstandards werden von Unternehmen, die sich nach der Safe-Harbour-Regelung zertifizieren, voll akzeptiert und respektiert. Die zugesicherten Rechte in der Praxis durchzusetzen, ist oft problematisch. Der Düsseldorfer Kreis empfiehlt daher eine zusätzliche Erklärung zwischen den Vertragspartnern. Außerdem sollen deutschen Firmen einige Mindestkriterien überprüfen, bevor sie Daten an Safe-Harbor-zertifizierte US-Firmen abgeben.
Der Patriot Act und der Cybersecurity Act Der Patriot Act erlaubt amerikanischen Geheimdiensten seit 2002 per Gerichtsbeschluss den Zugriff auf abschließend definierte Datenbestände. Seit dem ist immer wieder der Verdacht zu hören, die amerikanische Regierung könne problemlos auf vertrauliche Inhalte ausländischer Unternehmen zugreifen, die ihre Daten bei amerikanischen Cloud-Anbietern speichern oder verarbeiten lassen. Das geht zwar nicht ohne weiteres, zeigt aber ein gewisses Vertrauensproblem auf. Richtig ist, dass sich aufgrund des Patriot Acts der Zugang zu Cloud-Server und Daten nicht vollständig ausschließen lässt, wenn bestimmte Voraussetzungen erfüllt sind. <br /><br /> <a href="http://www.computerwoche.de/management/cloud-computing/2487626/" target="_blank"> hier geht es zum Beitrag "Was taugen Cloud-Zertifikate?"</a>
Fazit
Den Vorteilen von Cloud Computing - zum Beispiel Skalierbarkeit, Elastizität und Pay-per-Use - stehen Herausforderungen gegenüber, mit denen sich ein Anwender auseinandersetzen muss. Er sollte zum einen überlegen, wie ihn Cloud-Infrastrukturen in seinen Prozessen unterstützen können, und sich zum anderen Gedanken darüber machen, welche Daten er in der Cloud verarbeitet möchte respektive überhaupt verarbeiten kann.
Darüber hinaus muss sich der Anwender bewusst sein, dass auch Cloud-Computing-Systeme zeitweise nicht erreichbar sind, und geeignete Strategien für Ausfallzeiten entwickeln. Wird eine hohe Erreichbarkeit benötigt, besteht die Möglichkeit, mehrere unterschiedliche Clouds zu verwenden, was durch fehlende Schnittstellen aber in der Umsetzung schwierig sein kann.
Nichtsdestotrotz hebt die Nutzung von Cloud-Infrastrukturen das Sicherheitsniveau von Anwendern, die kein Wissen im Bereich IT-Sicherheit und bei der sicheren Administration der eigenen Server besitzen, oft sogar an: Cloud-Anbieter beschäftigen spezialisierte IT-Security-Mitarbeiter, die über aktuelle Angriffe frühzeitig informiert sind und die Systeme bei kritischen Schwachstellen zeitnah aktualisieren.
Dieser Artikel basiert auf einem Beitrag unserer Schwesterpublikation Computerwoche. (cvi)