Gefahren und Risiken der Cloud
Artikel erschienen in Swiss IT Magazine 2010/04
Cloud Computing hat den Sprung in den Mainstream geschafft. Die fehlende Schärfe des Begriffs macht es Anbietern allerdings sehr leicht, sich darunter einzuordnen. Die Spanne reicht inzwischen von Anbietern wie Amazon, der in der Wolke pure Rechenkraft vermietet, bis hin zu Salesforce.com. Auf deren Cloud kann der Kunde sein komplettes Customer-Relationship-Management beim Dienstleister abwickeln.
Zwischen diesen beiden haben sich Dutzende verwandter Angebote angesiedelt. Die Industrie hat den Begriff Cloud selbst bereits eingefärbt und spricht inzwischen von «Software-», «Platform-» oder «Infrastructure-as-a-Service» – «SaaS», «PaaS» und «IaaS». Für mehr Ordnung und Verständnis hat das gewiss nicht gesorgt.
Trotz der teils gravierenden Unterschiede teilen die Angebote eine Gemeinsamkeit: Sie alle werden über eine im Web platzierte Infrastruktur abgewickelt. Und ihre Verkaufsargumente klingen ähnlich: Keine langfristige Kapitalbindung für Ressourcen und Systeme, technisch stets auf dem neusten Stand, kaum Aufwand für Unterhalt, Wartung und Pflege. Diese Gründe verhelfen dem Thema zu media-lem Aufwind und lassen den Eindruck entstehen, die klassische hausinterne Hard- und Software habe ausgedient.
Mit Cloud Computing wird eine schöne sorgenfreie Welt gezeichnet. Der Anwender schiebt seine Daten einfach in die Wolke oder mietet dortige Dienste. Und schon hat er sich zahlreicher Probleme entledigt. Das ist optimistisch und zu kurz gedacht. Kritiker weisen zu Recht auf altbekannte, ungelöste Probleme hin. So wandern wertvolle Informationen «in die Wolke» und ziehen so Hacker, Spione und andere Übeltäter an. Ganz zu schweigen von Fragen zum Datenschutz, der bekanntlich nur an wenigen Orten der Welt einen hohen Stellenwert geniesst. Es ist sogar berechtigt zu behaupten, dass sich die Risiken, die Administratoren bereits in einer wolkenfreien Welt auf Trab hielten, in der Cloud beträchtlich verstärken. Die Ursache hierfür ist Macht und ihr Verlust oder anders formuliert die Deutungshoheit über die Sicherheit.
Nach altem Modell ist ein Administrator Herr im eigenen Serverraum, mit allen Vor- und Nachteilen. In Cloud-Infrastrukturen stellen sich dagegen Fragen in Hinblick auf Zuständigkeit, Verantwortung und Schuld, wenn es zum Ernstfall kommt. Zumal es in der Cloud wegen der Natur des Dienstes oft nebulös bleibt, auf welchen Servern in welchem Land die Daten tatsächlich landen.
Angesichts eines solchen Szenarios wird kein Unternehmen leichtfertig die eigenen Daten ausser Haus geben und die Deutungshoheit über die Security verlieren, indem es diese Macht an einen Dritten abtritt.
Statt den Sicherheitsversprechungen und Tools des Cloud-Anbieters blind zu vertrauen, sollten Administratoren selbst bestimmen, wie hoch das Security-Niveau ist und mit welchen Mitteln es erreicht wird. Vor allem sollte ein Unternehmen darauf bedacht sein, dieses möglichst durchgängig und homogen zu definieren. Und zwar unabhängig davon, wo die Daten am Ende landen und von welchen Diens-ten welcher Provider sie gerade transportiert oder gespeichert werden.
Den Weg der Selbstbestimmung sind Unternehmen schon einmal gegangen: Als sie begannen, ihre Netzwerke per Internet an eigene Aussenstellen und später an die Netze von Kunden und Partnern zu koppeln, schufen sie gut gesicherte Verbindungen zwischen «drinnen» und «draussen». Zu keinem Zeitpunkt haben sich die IT-Verantwortlichen damals gänzlich auf vorkonfigurierte Security-Angebote verlassen.
Der eine oder andere mag sich noch an die dazugehörige Diskussion im Bereich Virtual Private Network (VPN) erinnern. Provider wollten Unternehmen damals davon überzeugen, ausschliesslich deren sicheren MPLS-basierenden Verbindungen zu vertrauen. Das eigene IPsec-VPN könne man ruhig abschalten und Kosten sparen. Durchgesetzt hat sich dieses Konzept nicht. Denn niemand mag die Kontrolle und die Deutungshoheit gänzlich abtreten.
Erfahrungen wie die beschriebenen sind beim Wechsel zur beziehungsweise in die Cloud hilfreich. Mit der Nutzung von Cloud Computing wird der Nachweis besonders wichtig, wer wann und warum auf welche Informationen zugegriffen hat. Dabei gilt es besonders die kritischen Übergänge zwischen den Welten im Auge zu behalten. Denn mit einer Vielzahl an mobilen und flexiblen Zugriffsmöglichkeiten wachsen auch die Chancen von Hackern und Malware-Autoren.
Hier zeigt sich, dass das Konzept des Network Access Control (NAC) gerade auch in der Wolke eine Berechtigung hat. Eine optimale NAC-Lösung garantiert, dass jede Schnittstelle puncto Zugriffsmöglichkeiten nach eindeutigen Regeln arbeitet, auch in der Cloud.
Schon die klassischen «Data Loss Prevention»-Systeme basieren auf der Philosophie, Daten unabhängig von ihrem Speicherort vor dem Weg nach draussen zu schützen. Dieser Ansatz spielt im Cloud-Konzept seine Vorteile aus. Denn besonders in der Wolke ist es essenziell, dass Mitarbeitende einerseits frei und flexibel mit den Informationen arbeiten dürfen, die sie für ihre Arbeit benötigen. Alles andere würde die Cloud ad absurdum führen. Andererseits aber sollten alle Zugriffe auf die Information selbst genau protokolliert und kontrolliert werden, damit eben Anwender keinen Zugriff auf Daten erhalten, die für sie nicht freigeschaltet sind.
Eine Data-Loss-Prevention-Lösung hilft dabei: Stellt das System den versuchten Export eines vertraulichen Dokuments fest, sind eine Reihe von Sanktionsmöglichkeiten vom einfachen Hinweis, einem Logging der Operation bis hin zu einem Alarm denkbar. Auch ein automatischer Dialog mit dem Anwender, bei dem dieser seinen Datenexport begründen muss, kann eine Option sein.
Wichtig ist, dass ein Unternehmen selbst die Kontrolle über die Regeln und Zugriffe erhält, unabhängig welchen Cloud-Dienst und wie viele verschiedene Angebote es gebucht hat. Denn das Unternehmen und deren Mitarbeitende wissen am besten, welchen Wert ihre Daten haben.
Natürlich sollte ein Dienstleister, der seine Services in die Cloud geschoben hat, von sich aus dem Kunden mit vertrauensbildenden Massnahmen entgegenkommen. Klar dokumentierte Prozesse, angemessene Zertifizierungen und vor allem Transparenz sind wichtig, um sich dieses Vertrauen zu verdienen. Denn gerade bei uns im deutschsprachigen Raum herrscht eine grundlegende Skepsis, was das Auslagern von Daten an Dritte betrifft. Das kulturell und sehr wohl durch handfeste Vorgaben aus dem Datenschutzgesetz motivierte Misstrauen muss ein Cloud-Provider nicht nur mit detaillierten Service-Level-Agreements entkräften.
Auch klare, nachvollziehbare Antworten auf Dutzende von berechtigten Fragen sind unausweichlich: Kann der Cloud-Provider klar darlegen, in welchem Land die Daten des Unternehmens abgelegt werden? Was geschieht im Ernstfall, wenn das primäre Datencenter des Providers ausfällt und die Daten an ein sekundäres Rechenzentrum transferiert werden? Existieren Zugangskonzepte, in denen eindeutig dokumentiert ist, welcher Techniker des Dienstleisters wann und wie auf die Maschine zugegriffen hat? Auf welche Verfügbarkeit legt sich der Provider fest? Wie misst er das und wie kann der Kunde diese Messung verifizieren? Sind die Hardware und die wichtigen internen Prozesse zertifiziert? Werden diese organisatorischen Aspekte regelmässig überprüft? Hält der Cloud-Provider die Zusagen bei Antwortzeit, Transfergeschwindigkeiten oder beispielsweise Konfigurationsänderungen ein? Wie lange ist der Support erreichbar und wie gut ist die Qualität der Lösungsvorschläge? Wie sehr geht der Provider auf lokale gesetzliche Rahmenbedingungen ein? Es ist für beide Seiten von unschätzbarem Vorteil, wenn ein Cloud-Provider diese kritischen Anforderungen aus dem Effeff kennt, die Sicherheit seines Dienstes als elementare Voraussetzung versteht, sie sozusagen im Blut hat.
Vor den Wolken braucht also niemand Angst zu haben: Jahrelang etablierte Technologien garantieren auch in der Cloud ein hohes Sicherheitsniveau. Schon heute haben die grossen Sicherheitsspezialisten Lösungen im Angebot, die sich im Netzwerkeinsatz täglich millionenfach bewähren. Mit geringem Aufwand lassen sie sich an die spezifischen Anforderungen einer Cloud anpassen. Wer bereits in der Vergangenheit auf die kritischen Bereiche Network Access Control und Data Loss Prevention geachtet hat, findet auch beim Weg in die Wolke schnell die richtige Lösung, um gegen alle Arten von Bedrohungen gewappnet zu sein. Nur sollte er bei der Wahl des Cloud-Providers wie erwähnt auch darauf achten, dass wichtige Voraussetzungen bei Transparenz, Zertifizierung, Support und SLAs eingehalten werden.
Komplexer wird es deshalb trotzdem: Welche Daten unter welchen Umständen die Unternehmensgrenzen passieren dürfen, ist zunehmend ausgefeilter geworden. Das liegt auch daran, dass die IT-Infrastruktur heute nicht nur den eigenen Mitarbeitenden dienen muss, sondern auch zahlreiche Gateways zu Lieferanten, Partnern und Kunden enthält. Unternehmen werden in einem solchen Szenario sehr genau überlegen, wem sie ihre Daten und deren Schutz anvertrauen. Die Deutungshoheit jedenfalls sollten Unternehmen in der Wolke nicht leichtfertig opfern und sich zum Spielball der Security-Prozesse eines globalen Cloud-Anbieters machen.
· Erlauben die Applikationslizenzen das Hosting in einer Cloud?
· Wo landen die Daten? Macht der Provider klare Angaben, in welchem Datacenter die Informationen gespeichert werden?
· Erlauben Verträge mit Dritten die Auslagerung von Unternehmensdaten in die Cloud?
· Welche Service-Level sind notwendig und können garantiert werden?
· Welche Sicherheits-Standards sind nötig und wie werden sie eingehalten?
· Was passiert, wenn Daten verloren gehen? Was ist in Sachen Data-Recovery geplant?
· Wie leicht ist der Ausstieg? Lassen sich Daten ohne Schwierigkeiten zu anderen Anbietern transferieren?
· Gibt es den Provider morgen noch?