IT-Sicherheit in der Cloud neu denken

7 Fragen zur IT-Sicherheit für CIOs

| Autor / Redakteur: Dr. Philipp Müller & Dr. Wolf Zimmer* / Rainer Graefen

Vertrauen in die Cloud kann nur entstehen, wenn Nutzer und Anbieter auf Augenhöhe kommunizieren, das Leistungsversprechen transparent ist und der Nutzer darauf reagieren kann.
Vertrauen in die Cloud kann nur entstehen, wenn Nutzer und Anbieter auf Augenhöhe kommunizieren, das Leistungsversprechen transparent ist und der Nutzer darauf reagieren kann. (Bild: Julien Eichinger_Fotolia)

Wir bewegen uns schneller, als wir für möglich halten, in die „Cloud“. Ob im Privatleben, in Unternehmen oder in Behörden, die „Cloud“ ist schon da. Wir werden lernen müssen, dass das Rechnen in virtuell verteilten und mandantenfähigen Umgebungen eine Änderung unserer Vorstellungen über die Sicherheit digitaler Infrastrukturen erfordert.

Die Akzeptanzdefizite von Cloud Computing kreisen vornehmlich um das Thema IT-Sicherheit. IT-Verantwortliche in Organisationen sind daran gewöhnt, die Kontrolle über ihre Systeme und Daten zu haben. Die Vorstellung, dass Dritte irgendeine Hoheit über ihre Daten und die von ihnen genutzten IT-Systeme erlangen, erscheint ihnen äußerst bedrohlich.

Im „klassischen“ Enterprise Computing sitzen Nutzer und Daten gemeinsam hinter den digitalen „Befestigungsanlagen“. Im Cloud Computing ist das anders. Da gibt es zwar auch Schutzmechanismen und Verteidigungsstrategien, aber der Nutzer sitzt außerhalb der „Befestigungsanlagen“. Wie kann da Vertrauen in das System entstehen?

Cloud Computing stützt sich auf ein Leistungsversprechen abstrakter technischer Systeme und die Erwartung, dass die Repräsentanten und Experten, die das System bereitstellen und kontrollieren, ebenso wie die in das System eingebauten Kontrollen vertrauenswürdig sind. Vertrauen in Cloud Computing ist daher aufs engste mit der Frage verknüpft, welche Voraussetzungen oder Reputationsmechanismen der Cloud-Anbieter schafft, damit Vertrauen entstehen kann.

Im sozialen Miteinander erwächst Vertrauen vor allem aus Nähe, persönlicher Erfahrung von Integrität, Kompetenz und Verlässlichkeit oder Reputation. Kategorien, die schwer auf Cloud Computing übertragbar sind. Was also ist ein „Maß“ für Vertrauen in die Cloud? Jede Organisation, die den Schritt in die Cloud in Erwägung zieht, sollte daher sich und dem möglichen Cloud-Dienstleister folgende Fragen vorlegen:

1. Welche Sicherheitsstandards liegen dem Betrieb des Cloud-Dienstleisters nachprüfbar zugrunde?

Fehlende Standards im Cloud Computing und unzureichende oder unklare Sicherheitsbestimmungen machen vergleichbare Risikoanalysen von Cloud-Dienstleistungen alles andere als einfach. Dessen ungeachtet geben Sicherheitsanforderungen aus verschiedenen Standards wie ISO 27000:2005 oder NIST SP 800-53, Empfehlungen und Anforderungen staatlicher Behörden (BSI, NIST) und Konsortien, wie der Cloud Security Alliance (CSA), sehr wohl Anhaltspunkte, um die Qualität des Informations- und Sicherheitsmanagements von Cloud-Dienstleistern zu bewerten.

Dabei sollte man freilich berücksichtigen, dass die veröffentlichten Dokumente verschiedene Ansprüche haben. So ist der ISO-Standard mit internationaler Gültigkeit zertifizierbar, der NIST-Standard stellt Anforderungen auf, das Eckpunktepapier des BSI „Sicherheitsempfehlungen für Cloud Computing Anbieter“ gibt Empfehlungen, und die CSA Cloud Control Matrix (CMM) beschreibt Kontrollmaßnahmen, um das Risikomanagement zu unterstützen.

2. Wo sind meine Daten und Anwendungen?

Im klassischen IT-Outsourcing ist bekannt, wo Daten erfasst, verarbeitet oder gespeichert werden, eine Verlagerung von Daten ist ohne Zustimmung des Kunden nicht möglich. Anders im Cloud Computing. Aus technischer Sicht ist der Ort an dem die Daten verarbeitet oder Anwendungen bereitgestellt werden, völlig unerheblich, für das geltende Recht jedoch nicht.

3. Wie werden meine Daten, meine Anwendungen und die Cloud-Infrastruktur geschützt?

Die Cloud Security Alliance (CSA) veröffentlicht regelmäßig eine Liste sicherheitskritischer Bedrohungen im Cloud Computing, die jede für sich genommen Ausgangspunkt eines Fragenkatalogs an einen Cloud-Anbieter sein können und sollten.

4. Mit welcher Verfügbarkeit kann ich rechnen?

Grundsätzlich unterliegen Verfügbarkeitsanforderungen der Einschätzung des Cloud-Nutzers und sind Gegenstand vertraglicher Vereinbarungen. Aus sicherheitstechnischer Perspektive nicht unterschätzen sollte man aber den Ausfall oder die Störung vorhandener Sicherheitsmaßnahmen wie

  • die sichere Identifikation und Authentisierung von Mandanten und Nutzern,
  • die sichere Segmentierung virtueller und physikalischer Ressourcen,
  • den Schutz der Kommunikation und Datenträger,
  • ein zuverlässiges Sicherheitsmonitoring und Reaktionsverhalten auf sicherheitskritische Ereignisse.

5. Welcher Aufwand entsteht bei einem Wechsel des Dienstleisters?

Ein Wechsel des Cloud-Anbieters kann verschiedene Gründe haben: die Verletzung vertraglicher Vereinbarungen, unzureichende Sicherheitsvorkehrungen oder die Aufgabe der Geschäftstätigkeit. Technisch geht es dabei um die Frage, ob die allokierte Dienstleistung auf unterschiedlichen Cloud-Plattformen lauffähig ist.

Das betrifft nicht nur Anwendungen, sondern auch die Nutzung virtueller Maschinen oder die Konfiguration von Komponenten zur Entdeckung und Reaktion auf sicherheitskritische Ereignisse.

Das Eckpunktepapier des BSI macht beispielsweise darauf aufmerksam, dass bei Amazon sowohl die API zur Steuerung der Cloud­Dienste als auch das Format der virtuellen Images proprietär ist.

Bis hier sind mögliche Antworten Ergebnis einer mehr oder minder vollständigen Dokumentenlage und liefern noch keine belastbaren Informationen darüber, dass auch gut entworfene und implementierte Cloud-Systeme im operativen Betrieb tatsächlich zuverlässig und sicher arbeiten. Darum sollten auch die folgenden Fragen eine wichtige Rolle spielen.

6. Welche Kontrollmöglichkeiten habe ich über den aktuellen Betriebszustand?

Angesichts des befürchteten Kontrollverlustes im Cloud Computing ist es umso wichtiger, zu ergründen, ob der Cloud-Anbieter bereit und fähig ist, dem Nutzer aktuelle Informationen darüber zu geben, ob sich das System wie vereinbart und erwartet tatsächlich verhält. Technisch ist das heute schon mit dem sogenannten Cloud Trust Protocol (CTP) möglich. Das CTP ist ein asynchrones, XML-basiertes Kommunikationsprotokoll, mit dem Informationen über die aktuelle Konfiguration, erfolgte Zugriffe oder operativen Status des Cloud-Dienstes, wie zum Beispiel den aktuellen geographischen Standort der Verarbeitung oder Speicherung von Daten, abgefragt werden können.

7. Kann ich eigene Anpassungen der Kontrolle und Steuerung meiner Cloud-Dienste vornehmen?

Zweifellos ist das CTP eine „vertrauensbildende Maßnahme“, andererseits gibt es die Kontrolle über die Konfiguration und den Betrieb des Cloud-Dienstes nicht an den Cloud-Nutzer zurück.

Für die Zukunft des Cloud Computing wird entscheidend sein, ob die Anbieter imstande sind, dem Nutzer, ähnlich wie im klassischen IT-Outsourcing, Werkzeuge in die Hand zu geben, mit denen er seine je eigenen Kontroll- und Sicherheitsbedürfnisse im operativen Betrieb verwirklichen kann. Dazu gehören:

  • eine Richtlinien-basierte Steuerung von Anwendungen und Daten, das heißt, welche Anwendungsinstanzen mit welchen Daten in welchen Cloud-Umgebungen ausgeführt werden können, und wer autorisiert ist, die zulässige Betriebsumgebung zu definieren;
  • eine dynamische Installation und Konfiguration von Sicherheitswerkzeugen für Instanzen oder Aufgaben, inklusive Host-basierter Intrusion-Detection- oder Prevention-Systeme, Antivirus-Software, Schwachstellenprüfungen oder Patch-Management-Clients;
  • angepasste Sicherheitszonen, das heißt, die Möglichkeit, Sicherheitszonen mit unterschiedlichen Sicherheitsniveaus zu definieren, sodass der Dienst nur innerhalb bestimmter geographischer Grenzen ausgeführt werden darf, oder eine maximale Segregation virtueller Ressourcen gewährleisten muss, um mögliche Angriffsflächen zu minieren;
  • fein-granulare Zugriffsrechte auf Ressourcen, mit denen die Hierarchie der Organisation top-down von Geschäftseinheiten bis hin zu individuellen Projekten abgebildet werden kann.

Auch solche Maßnahmen sind heute bereits keine Frage mehr des technischen Könnens, sondern nur mehr eine Frage des technischen Wollens.

Vollständige Sicherheit beziehungsweise Kontrolle wird es auch im Cloud Computing nicht geben, sonst bräuchte es kein Vertrauen. Andererseits ist Vertrauen nicht voraussetzungslos.

Vertrauen in die Cloud kann nur entstehen, wenn Nutzer und Anbieter auf Augenhöhe kommunizieren, das Cloud-Leistungsversprechen für den Nutzer transparent wird und der Nutzer darauf reagieren kann. Die sieben Fragen für CIOs bieten da einen notwendigen Rahmen, um diesen Diskurs zu führen.

* *Die Autoren: Dr. Philipp Müller, Director Public Affairs CSC Central and Eastern Europe & Dr. Wolf Zimmer, Public Sector Consulting

Kommentare werden geladen....

Was meinen Sie zu diesem Thema?

Anonym mitdiskutieren oder einloggen Anmelden

Avatar
Zur Wahrung unserer Interessen speichern wir zusätzlich zu den o.g. Informationen die IP-Adresse. Dies dient ausschließlich dem Zweck, dass Sie als Urheber des Kommentars identifiziert werden können. Rechtliche Grundlage ist die Wahrung berechtigter Interessen gem. Art 6 Abs 1 lit. f) DSGVO.
  1. Avatar
    Avatar
    Bearbeitet von am
    Bearbeitet von am
    1. Avatar
      Avatar
      Bearbeitet von am
      Bearbeitet von am

Kommentare werden geladen....

Kommentar melden

Melden Sie diesen Kommentar, wenn dieser nicht den Richtlinien entspricht.

Kommentar Freigeben

Der untenstehende Text wird an den Kommentator gesendet, falls dieser eine Email-hinterlegt hat.

Freigabe entfernen

Der untenstehende Text wird an den Kommentator gesendet, falls dieser eine Email-hinterlegt hat.

copyright

Dieser Beitrag ist urheberrechtlich geschützt. Sie wollen ihn für Ihre Zwecke verwenden? Infos finden Sie unter www.mycontentfactory.de (ID: 43506838 / Grundlagen)