Gastbeitrag: Cloud Security ist eine lösbare Aufgabe

1

Bei der Entscheidung für Cloud-Computing spielen Sicherheitsfragen eine zentrale Rolle: Ist die Cloud so sicher wie die eigene IT-Infrastruktur? Gibt es Sicherheitszertifikate, die bei der Bewertung von Cloud-Anbietern helfen? Antworten auf diese Fragen helfen bei der Wahl des passenden Providers. Autor: Brian Cornell

Ob Cloud Computing sich in breitem Ausmaß durchsetzt, hängt nicht zuletzt davon ab, ob die Unternehmen davon überzeugt sind, dass ihre Daten bei einem Provider sicher untergebracht und vor Missbrauch geschützt sind. Wer die IT im eigenen Haus betreibt, kann den Aufwand für IT-Sicherheit sehr gut beurteilen. Es muss Software gekauft und es müssen regelmäßig Updates installiert werden. Dazu kommt die Schulung der Administratoren und möglicherweise müssen zusätzliche Server oder Security-Appliances angeschafft werden. Das alles entfällt, wenn ein Cloud-Provider die Security-Aufgaben übernimmt. Er ist auf Sicherheit spezialisiert, bei der internen IT gilt Security oft nur als „ungeliebtes Stiefkind“.

Der größte Fehler, den ein Unternehmen bei der Auslagerung von Sicherheitsaufgaben machen kann: Man vertraut dem Cloud-Provider blind, und hofft, dass schon alles gutgehen wird – nach dem Motto „aus den Augen, aus dem Sinn“. Aus gutem Grund werden sich darauf jedoch die wenigsten Unternehmen einlassen. In der Regel erarbeiten sie einen Kriterienkatalog, um den passenden Anbieter zu finden. Wenn es um Datensicherheit geht, müssen Unternehmen ihren Geschäftspartnern vertrauen. Dies ist die Grundvoraussetzung. Transparenz in allen Aspekten des Cloud Computing hilft, und anerkannte Zertifikate für bestimmte Leistungsmerkmale tragen ebenfalls dazu bei, Vertrauen aufzubauen. Der Nachweis der Zertifizierung muss durch vertragliche Regeln und technische Hilfsmittel, etwa beim Compliance-Reporting, ergänzt werden.

Sicherheitsstandards und Zertifikate

Diskutiert werden in diesem Zusammenhang immer wieder Standards wie SAS70 oder ISO 27001. SAS 70 (Statement on Auditing Standards Nr. 70) stammt aus den USA, wird in Europa weniger genutzt, sagt etwas aus über die Abläufe zur Einhaltung von Datensicherheit und bewertet das interne Kontrollsystem hinsichtlich seiner Effektivität. Der Standard kommt aus dem Bereich der Wirtschaftsprüfer, beschreibt Kontrollpunkte sowie die Prüfungen und trifft Aussagen über deren Wirksamkeit.
Etwas näher an Cloud Computing ist ISO 27001, ein weltweit anerkannter Standard für die Bewertung der Sicherheit von IT-Umgebungen. Grundlage für hochwertige Sicherheitsvorkehrungen bei Providern ist eine regelmäßige Überprüfung einmal festgelegter Prozesse und Maßnahmen sowie die kontinuierliche Anpassung an sich verändernde Rahmenbedingungen und Aufgabenstellungen. Der Nachweis einer Auditierung durch externe Prüfer ist ein Pluspunkt für Cloud Provider. Sie können damit belegen, dass sie hohen Anforderungen genügen. Es muss klare, nachprüfbare Prozesse für den Umgang mit sensiblen Personendaten geben. Das reicht von Ersterfassung über die Änderung und die verschlüsselte Übertragung bis hin zur revisionssicheren Archivierung. Anerkannte Zertifizierungen, wie sie etwa auch das Bundesamt für Sicherheit in der Informationstechnik (BSI) vorschlägt, sind wichtige Entscheidungskriterien, reichen aber allein nicht aus.

Die wichtigsten Bausteine von Cloud Computing: Applikationsplattformen, Betriebssysteme, Server, Netzwerke und Storage. (Quelle: Red Hat)

Gerade bei Public Clouds, die von mehreren Unternehmen in einer Multi-Tenancy-Umgebung gemeinsam genutzt werden, ist eine strikte Trennung der (virtuellen) Ressourcen essenziell. Eine Möglichkeit, hohe Datensicherheit zu gewährleisten besteht darin, sich für Produkte zu entscheiden, die über eine Kernel-basierte Policy Enforcement Infrastructure verfügen. Solche Sicherheitsmaßnahmen isolieren virtuelle Maschinen voneinander und gewährleisten eine klare Trennung von physischer Hardware und dem Hypervisor. Die Linux Kernel-based Virtual Machine (KVM) mit SELinux-Technologie, wie sie beispielsweise Red Hat Enterprise Virtualization verwendet, verfügt über Sicherheitsfunktionen wie sie auch im Militärbereich gefordert werden. KVM trägt entscheidend dazu bei, dass potenzielle Sicherheitslücken des Hypervisors, und damit eines technischen Angriffspunkts nicht von Hackern für ihre Angriffe auf den Host oder die einzelnen virtuellen Maschinen genutzt werden können.

Überwachung, Steuerung und Risikokontrolle

Cloud Computing ist weit mehr als nur eine technische Art der Bereitstellung von Computerleistung. Benötigt werden klare Zuständigkeiten, Prozesse (Governance) und Sicherheitsrichtlinien beim Kunden und beim Cloud-Provider. Die rechtliche Situation ist eindeutig: In Deutschland gilt das Bundesdatenschutzgesetz. Daran müssen sich beide Parteien halten – die Unternehmen, die Cloud-Services beziehen und die Cloud-Provider. Bei beiden muss es Vorkehrungen geben, um die Einhaltung der gesetzlich geregelten sowie der unternehmensinternen Security-Vorschriften überwachen und kontrollieren zu können. Wichtig ist aber auch, dass die jeweils eigenen Mitarbeiter in regelmäßigen Abständen in IT-Sicherheitsfragen geschult und auf neu entstehende Risiken hin-gewiesen werden.

Der Autor Brian Cornell ist Regional Director Central Europe bei Red Hat.

Bildrechte-Teaser: (c) Pixel Embargo – Fotolia.com

Share.