Kombiangebot für mehr Cloud-Sicherheit Studie belegt hohes Sicherheitsniveau von Fujitsu Cloud Computing

Autor / Redakteur: Elmar Török / Nico Litzel

Cloud Computing ist als Konzept unbestritten, allerdings dämpfen Sicherheitsbedenken den Enthusiasmus von Unternehmen und Anwendern. Nun bestätigt eine Studie dem Cloud-Angebot von Fujitsu und NetApp, dass es hohe Sicherheitsanforderungen erfüllt und gerade kleinen und mittelgroßen Unternehmen ein deutliches Plus an IT-Sicherheit bescheren kann.

Firmen zum Thema

Für die Untersuchung durch das Fraunhofer SIT wurde das Cloud-Angebot in die drei Kategorien „Infrastruktur“, „Administration“ und „Compliance & Audit“ mit weiteren Untergruppen aufgeteilt.
Für die Untersuchung durch das Fraunhofer SIT wurde das Cloud-Angebot in die drei Kategorien „Infrastruktur“, „Administration“ und „Compliance & Audit“ mit weiteren Untergruppen aufgeteilt.
( Archiv: Vogel Business Media )

Es gibt zahlreiche Gründe, die man als Gegner von Cloud Computing in puncto IT-Sicherheit vorbringen kann: Die Daten befinden sich nicht mehr im eigenen Einflussbereich, man muss den Sicherheitsmaßnahmen des Anbieters vertrauen und eventuell wird nicht genug Leistung zur Verfügung gestellt, sodass man dem Anbieter bei der Verfügbarkeit hilflos ausgeliefert ist. Und das sind nur die markantesten Einwände, die Aufzählung lässt sich problemlos noch lange weiterführen. Doch auch wenn die Argumente nicht völlig falsch sind, haben sie meistens nicht viel mit der tatsächlichen Situation in den Unternehmen zu tun.

Nimmt man allein die Furcht vor unzureichenden Sicherheitsmaßnahmen des Cloud-Anbieters, so zeigen zahlreiche Studien, dass viele Firmen, die sich selbst um ihre IT-Sicherheit kümmern, erst vor ihrer eigenen Tür kehren sollten. In einer Studie des Sicherheitsanbieters Fortinet vom Juni 2011 gaben rund 16 Prozent aller befragten Unternehmen an, dass sie überhaupt keine Sicherheitsstrategie haben oder diese schon länger als drei Jahre nicht überprüft hatten.

In der gleichen Studie wurden auch drahtlose Netzwerke von 57 Prozent der Umfrageteilnehmer als verwundbarster Teil der IT-Infrastruktur eingeschätzt, noch vor Kern-Netzwerk-Infrastrukturen (Platz 2) und Datenbanken (Platz 3). Das WLAN bleibt aber nach wie vor ein Bereich, den das Unternehmen selbst zu verantworten hat, auch wenn Cloud Computing zum Einsatz kommt.

In einer anderen Studie von M86 Security fühlte sich die Hälfte aller Teilnehmer gut von ihrer bestehenden Sicherheitslösung geschützt, obwohl 78 Prozent der Unternehmen mindestens eine Malware-Attacke in den vergangenen zwölf Monaten verzeichnet hatten.

Bewertungsmaßstäbe des Fraunhofer-Instituts und des BSI

Das Cloud Computing steht trotz aller Begeisterung ganz am Anfang seiner Entwicklung. Das führt unter anderem dazu, dass es kaum Standards gibt, Anbieter nicht vergleichbare Eckdaten kommunizieren und insgesamt Missverständnisse über die Möglichkeiten und Schwächen der Cloud-Angebote vorherrschen. In der Folge schätzen potenzielle Kunden die Sicherheitsmaßnahmen der Cloud falsch ein.

Im Fall von Fujitsu als Anbieter hat das Fraunhofer-Institut für Sichere Informationstechnik (SIT) das Cloud-Angebot Infrastructure-as-a-Service untersucht. Dabei wurden neben den SIT-eigenen Bewertungsmaßstäben auch die Maßgaben des Grundlagenpapiers zum Thema Cloud des Bundesamtes für Sicherheit in der Informationstechnik (BSI) herangezogen.

Das Cloud-Angebot von Fujitsu ist eine integrierte Plattform, bestehend aus Fujitsus PRIMERGY-Blade-Servern und NetApp-FAS- oder V-Series-Speichersystemen. Die Zusammenarbeit zwischen den beiden Firmen war im Herbst 2010 noch einmal ausgebaut worden, sodass sich die Bereiche optimal ergänzen. Ein gemeinsam entwickeltes Tool, der Resource Orchestrator, dient der Verwaltung und Provisionierung und kann die komplette Lösung vom Server bis zum Speichersystem verwalten.

Hardware wird in logische Einheiten aufgeteilt, die flexibel, je nach Bedarf, zugewiesen werden können. Durch die Integration der NetApp-V-Serie lassen sich auch Speichersysteme von Drittherstellern in das System einbinden.

Weiter mit: Einstiegsversion mit Data ONTAP als Basis

Einstiegsversion mit Data ONTAP als Basis

Die Kunden haben die Wahl aus unterschiedlich umfangreich aufgebauten Angeboten. Eine Einstiegsversion beinhaltet beispielsweise eine virtuelle Appliance mit dem NetApp-Data-ONTAP-Betriebssystem als Basis. Eine derartige Lösung ist vor allem für kleine Außenstellen gedacht, die hochverfügbaren Speicherplatz benötigen, aber kein Know-how vor Ort für die Betreuung vorhalten können.

Es gibt auch weitaus umfangreicher aufgebaute Konfigurationen für Rechenzentren oder schnell wachsende Umgebungen. Fujitsu selbst nutzt die Plattform für die eigenen Anwendungen. Auch große Unternehmen wie die Lufthansa und Frucor setzen auf das Angebot.

Schwerpunkt auf Mittelstand

Für die Untersuchung durch das Fraunhofer SIT wurde das Cloud-Angebot in die drei Kategorien „Infrastruktur“, „Administration“ und „Compliance & Audit“ mit weiteren Untergruppen aufgeteilt. Auch wenn alle Firmengrößen als Grundlage für die Studie herangezogen wurden, liegt der Schwerpunkt doch auf kleinen und mittelgroßen Unternehmen (KMU). Um es vorwegzunehmen: Nach den Standards des Fraunhofer SIT und den Vorgaben des BSI zum Thema Cloud Computing kamen die Prüfer zu dem Ergebnis, dass Fujitsu den Großteil der Anforderungen erfüllt oder übertrifft.

Gerade im Bereich Infrastruktur, Monitoring und Incident Management stellten die Tester dem Angebot von Fujitsu besonders gute Noten aus. Auch bei der Datensicherheit und dem Backup waren die Ergebnisse sehr gut, allerdings wiesen die Analysten darauf hin, dass hier die Verantwortung beim Kunden liegt: Fujitsu und NetApp liefern nur die Werkzeuge für eine Datensicherheit, es obliegt allerdings dem Kunden, diese auch anzuwenden.

Best-Practice-Anleitungen für die optimale Konfiguration

Gerade hier gaben die Tester dem Cloud-Anbieter auch Ratschläge mit auf den Weg: Um das Komplettsystem so sicher wie möglich zu gestalten, sollte Fujitsu seinen Kunden, besonders im KMU-Bereich, Best-Practice-Anleitungen für die optimale Konfiguration und den Betrieb an die Hand geben. Auch das Reporting muss so genau wie möglich auf die unterschiedlichen Ziele und Anforderungen der Kunden zugeschnitten werden.

In ihrer Zusammenfassung kamen die Autoren der Studie zu dem Schluss, dass – unter Betrachtung das Gesamtsystem – vergleichbare Sicherheitsmaßnahmen für einen kleinen oder mittelständischen Betrieb nur mit beträchtlichen finanziellen Aufwendungen möglich wären. Sie würden auch vermutlich in keinem Verhältnis zum Wert der Daten stehen. Dabei wurden die Kosten für die Schulung des Personals noch nicht einmal in die Gleichung mit einbezogen.

Ebenfalls als Plus für die IT-Sicherheit wurde die kontinuierliche Überwachung des Systems durch das Fujitsu System Management Center (SMC) gewertet. Und selbst größere Firmen könnten durch das Cloud-Angebot ihr Sicherheitsniveau erhöhen, und zwar dann, wenn kein zweites Ausweichrechenzentrum besteht und die Cloud diese Aufgabe im Fall eines katastrophalen Ereignisses erfüllen könnte.

(ID:2052389)