René Büst, Senior Analyst, Crisp Research
René Büst
Sorgen um die Sicherheit von Cloud-Lösungen sind weit verbreitet. Sind Cloud-Computing-Anwendungen wirklich weniger sicher als eine eigene IT-Infrastruktur. Springer für Professionals sprach mit René Büst, Senior Analyst bei Crisp Research.
Springer für Professionals: Ist die Cloud unsicherer als eine betriebseigene IT-Infrastruktur?
René Büst: Nein, ganz im Gegenteil. Eine Public Cloud ist bei weitem sicherer als eine selbstbetriebene IT-Infrastruktur. Das hängt damit zusammen, dass Cloud Anbieter gezielt in den Aufbau und die Wartung ihrer Cloud Infrastrukturen investieren und ebenfalls das dafür notwendige Personal beschäftigen und die entsprechenden organisatorischen Strukturen geschaffen haben.
Beispielweise investiert Google jährlich 10 Milliarden US-Dollar in seine Rechenzentren und beschäftigt 175 hochqualifizierte Sicherheitskräfte nur im Bereich Cloud Computing. Es gibt kein nicht IT-affines Unternehmen weltweit, dass solche beträchtlichen Investitionen vornimmt, geschweige denn vornehmen kann. Dass ein eigenes Rechenzentrum, beziehungsweise die eigene IT-Infrastruktur, sicherer ist, als eine professionell betriebene Public Cloud, ist ein Mythos.
Beim Thema Sicherheit sollte aber auch unbedingt zwischen dem Datenschutz und der Datensicherheit unterschieden werden. Dies wird leider immer wieder vermischt. Datensicherheit bedeutet die technischen und organisatorischen Maßnahmen umzusetzen, um Vertraulichkeit, Verfügbarkeit und Integrität der IT-Systeme sicherzustellen. Beim Datenschutz geht es um den Schutz der Persönlichkeitsrechte während der Datenverarbeitung oder den Schutz der Privatsphäre.
Welche Anforderungen sollte man an einen Cloud Service Provider stellen?
Die oberste Prämisse besteht darin, dass der Cloud Anbieter die Anforderungen des Use- beziehungsweise Business-Case erfüllen kann. Hierzu muss zunächst ein eigenes Cloud Assessment durchgeführt werden, bei dem die Potenziale der Cloud für das eigene Unternehmen bewertet werden. Das bedeutet konkret: Was möchte das Unternehmen mit dem Einsatz der Cloud erreichen und was erwartet es. Zum Beispiel eine schnellere Marktreife, eine bessere Zusammenarbeit, Kostenersparnis oder mehr Flexibilität und Skalierbarkeit.
Erst danach werden die Details des Anbieters betrachtet. Das fängt bereits damit an, für welche Art der Cloud man sich entscheiden möchte. Neben der Public Cloud haben sich mittlerweile auch Hosted Private oder Managed Cloud Modelle etabliert, die neben der gleichen Skalierbarkeit und Flexibilität wie bei einer Public Cloud jedoch deutlich weniger Self-Service und mehr Beratungsleistungen von Anbieterseite ermöglichen.
Für ein deutsches Unternehmen gilt grundsätzlich auf die folgenden Themen zu achten: Gegebenenfalls lokaler Anbieter, deutsches Rechenzentrum, Verträge nach deutschem Recht, Zertifizierungen, Transparenz bei der Sicherheit, Integrationsunterstützung beziehungsweise Ökosystem von Integrationspartnern.
Welche Prozesse und Sicherheitstechnologien sind geeignet, um Cloud Computing sicher und den Compliance-Anforderungen entsprechend nutzen zu können?
Je nach Nutzung von Software-as-a-Service (SaaS), Platform-as-a-Service (PaaS) oder Infrastructure-as-a-Service (IaaS) ist der Verantwortungsbereich unterschiedlich verteilt. Für den sicheren Betrieb einer SaaS-Applikation ist einzig und allein der Anbieter zuständig. Er muss dafür sorgen, dass die mandantenfähigen Systeme strikt voneinander getrennt sind und kein unautorisierter Zugriff zwischen den verschiedenen Kunden stattfindet. Hierzu gehört auch die verschlüsselte Speicherung der Daten. Für den Zugriff durch den Kunden sollten sichere Browserverbindungen etwa anhand von SSL (trotz Heartbleed), eine Multifaktor-Authentifizierung, Identity und Access Management vom Anbieter bereitgestellt werden. Weitere Absicherungen können durch dedizierte Verbindungen zu den Infrastrukturen und Applikationen anhand von VPNs oder MPLS-Verbindungen erfolgen. Jeder einzelne Nutzer steht hier in der Verantwortung sicher mit den Passwörtern und Zugängen umzugehen.
Im Falle von IaaS stellt der Anbieter lediglich die Möglichkeiten bereit, mit denen der Nutzer die virtuelle Infrastruktur selbst absichern muss. Dazu gehören unter anderem Zugriffsberechtigungen auf Datei-, Benutzer- und Gruppenebene oder bekannte Firewallfunktionalitäten auf Port- und IP-Ebene. Anbieter wie Amazon AWS, Google und Microsoft schließen in ihren AGBs explizit die eigene Verantwortung aus und nehmen im Falle von Sicherheitslöchern durch den Kunden diesen in Regress.
Um Compliance-Anforderungen und -Prozesse zu erfüllen sollte sichergestellt sein, dass der Anbieter über diverse Branchenzertifizierungen verfügt und eine entsprechende Sicherheitsreife nachweisen kann. Das kann durch ausgebildete Mitarbeiter im Sicherheitsbereiche und unabhängige Zertifikate wie ISO/IEC 27001, HIPAA, SOC 1/SSAE, 16/ISAE 3402, SOC 2, SOC 3, PCI DSS Level 1, FedRAMP, DIACAP, FISMA, ITAR, FIPS 140-2, CS