Cloud-Computing bietet Unternehmen viele Chancen und Vorteile, wirft aber auch neue Sicherheitsfragen auf.
Andreas Burkert
Laut "Cloud-Monitor 2016" nutzt hierzulande bereits mehr als jedes zweite Unternehmen Cloud-Dienste. Mit Hilfe von Private- und Public-Cloud-Umgebungen integrierten viele Unternehmen heute Partner, Lieferanten und Kunden nahtlos in ihre Geschäftsprozesse und können so flexibler und schneller auf die sich ständig verändernde Marktbedingungen reagieren. Begriffe wie Dynamik, Innovation, Nutzungsflexibilität, bedarfsgerechter Verbrauch und Bezahlung, Kostenersparnis sowie hohe Zuverlässigkeit durch professionelle Infrastruktur und Administration stehen für die offensichtlichen Chancen und Vorteilen von Cloud-Computing.
Diesen Vorteilen stehen aber auch gewisse Risiken und Nachteile gegenüber, schreibt Andrzej Debski in seinem Artikel "Cloud-Risiken und wie Anwenderunternehmen ihnen begegnen sollten" in der Zeitschrift “Datenschutz und Datensicherheit — DuD“ auf Seite 666. Der Springer-Autor weist darauf hin, dass Cloud-Computing in der Regel Kollokation der Daten mit anderen Nutzern, vielleicht auch mit Wettbewerbern bedeutet:
Die Nutzung gemeinsamer Ressourcen innerhalb einer Cloud-Infrastruktur, zum Beispiel Hypervisor, Daten-Bus, SAN-Storage oder Datenbanken, wird in der Regel durch logische Segmentierung abgesichert, zum Beispiel separate VMs, VLANs oder LUNs. Ist der eingesetzte Mechanismus nicht richtig implementiert, konfiguriert oder verwaltet, so besteht das Risiko von Dateninterferenzen. Darüber hinaus könnten Daten über die sogenannten Seitenkanäle (side channles) abgegriffen werden“, erläutert Debski.
"Dynamic-" versus "Static-IT-Infrastrukturen"
Aus Sicherheitsgründen sollte eine nach unterschiedlichen Anwendungs- beziehungsweise Software-Arten differenzierte Cloud-Nutzung längst selbstverständlich sein. Das Beratungsunternehmen Crisp Research schlägt hierfür die Kategorisierung in “Dynamic-IT-Infrastrukturen“ und “Static-IT- Infrastrukturen“ vor. Demnach bieten sich dynamische Public-Cloud-Infrastrukturen für neuartige Applikationen an, bei denen es unter anderem auf Skalierbarkeit, Flexibilität und globalen Reichweite ankommt. Dazu gehören vor allem E-Commerce-Lösungen, hochfrequentierte Webseiten, Big Data Analytics sowie Web-Applikationen und -Backends wie etwa für das Internet of Things (IoT). Statische IT-Infrastrukturen wie bestehende Enterprise-Applikationen oder Anwendungen müssen auf Grund von rechtlichen Regularien, Datenschutz- und Compliance-Richtlinien oder wegen technischer Beschränkungen dagegen weiterhin auf Private Clouds betrieben werden. Hierzu zählt Crisp Research.
- Applikationen, die regulierte oder große Daten verarbeiten
- Applikationen, die eine geringe Latenz fordern
- Applikationen mit einer konstanten Auslastung
- Applikationen mit einem hohen Anspruch an Festplatten sowie
- Applikationen, die bestimmte Hardware-Anforderungen haben beziehungsweise die sogar vom Einsatz einer bestimmten Hardware abhängen.
Security-as-a-Service (SECaaS)
62 Prozent der für den "Cloud-Monitor 2016" befragten deutschen Unternehmen befürchten, dass Cloud-Computing die Einhaltung von Compliance Anforderungen gefährdet. Auf diese Sicherheitsbedenken vieler Anwender hat die Branche mit dem Konzept "Security-as-a-Service" (SECaaS) reagiert, das mit anderen Cloud-Services wie Infrastructure-as-a-Service (IaaS), Platform-as-a-Service (PaaS) und Software-as-a-Service (SaaS) technisch gebündelt beziehungsweise kombiniert werden kann.
In der Veröffentlichung "Sichere Nutzung von Cloud-Diensten — Schritt für Schritt von der Strategie bis zum Vertragsende" beschreibt das Bundesamt für Sicherheit in der Informationstechnik einen Weg um Cloud-Dienste sicher nutzen zu können, Die Information orientiert sich inhaltlich am IT-Grundschutz-Baustein B 1.17 "Cloud-Nutzung", richtet sich aber explizit an alle Institutionen, die Cloud-Dienste nutzen möchten, auch wenn sie nicht IT-Grundschutz anwenden, erläutert das BSI.