Von Christoph Witte

Mangelnde Sicherheit in der Cloud galt und gilt teilweise noch als Totschlagargument gegen die Nutzung von Cloud-Services im Unternehmen. Doch während noch nicht alle Compliance-Bedenken (Datenschutz/Auditfähigkeit der Cloud-Provider) ausgeräumt werden können, entsteht langsam ein differenzierteres Bild in Sachen Sicherheit in virtualisierten Umgebungen, die bekanntlich die technische Basis für Cloud Computing bilden. Voraussetzung dafür ist allerdings ein neues Sicherheitsverständnis.

Mit „neuem“ Sicherheitsverständnis sind keineswegs Abstriche an der Absicherung gemeint. Es geht viel mehr darum: Im klassischen Enterprise Computing bezieht sich Sicherheit vor allem auf die Absicherung des eigenen Netzwerkperimeters. Die hinter diesem Vorgehen liegende Logik ist relativ einfach. Alles, was innerhalb des eigenen Netzwerks liegt, gilt als sicher beziehungsweise schützenswert, und alles, was außerhalb liegt, ist tendenziell unsicher. Diese Unterscheidung zwischen sicherem Innen und unsicherem Außen wird aber in Zeiten des Internets und des Cloud Computing zunehmend obsolet. In Sachen Enterprise IT gibt es künftig kein Innen und Außen mehr. Deshalb ist ein Sicherheitsverständnis nötig, das ohne diese Richtschnur auskommt und stattdessen Daten und Infrastruktur ihrer Sensibilität entsprechend sichert.

Defense in Depth

Der aktuelle Ansatz hierzu lautet Defense in Depth (DiD). Dieses Konzept geht nicht mehr von einer, sondern je nach Bedeutung der Daten, von mehreren überlappenden Schutzmaßnahmen aus. Die Sicherheitsanbieter haben inzwischen ebenfalls auf die neuen Sicherheitsanforderungen einer virtualisierten und verteilten IT reagiert und sogenannte Virtual-Security-Lösungen auf den Markt gebracht, die in der Lage sind, virtuelle Umgebungen effektiv zu schützen. Allerdings werden diese Lösungen verschiedenen Marktforschern zufolge nur schleppend angenommen.
Neben der Auflösung des inneren Netzwerkperimeters, der einen effektiven Schutz der unternehmenseigenen Daten nicht mehr gewährleisten kann, birgt Cloud Computing einige spezifische Security-Risiken. Die European Network and Information Security Agency (ENISA), quasi das europäische Pendant des Bundesamtes für Sicherheit in der Informationstechnik (BSI) hat in der Studie „Cloud Computing – Benefits, risks and recommendations for information security“ 35 cloudspezifische Sicherheitsrisiken unterschiedlicher Wahrscheinlichkeit und mit unterschiedlich gravierenden Auswirkungen identifiziert, die durch 31 Sicherheitslücken zustande kommen.

Sieben wichtige Risiken

Folgende acht Risiken stuft die europäische Behörde als hoch ein:

• Lock-in: Aufgrund fehlender Standards, mangelnder Transparenz, fehlender gleichartiger Provider-Angebote und unsystematischer Provider-Auswahl ist es schwierig, Daten von einem Anbieter zum anderen oder wieder zurück ins unternehmenseigene Rechenzentrum zu migrieren.
• Verlust von Kontrollmöglichkeiten (Loss of Governance): Mit der Nutzung von Cloud-Infrastruktur verliert der Anwender verschiedene Kontrollmöglichkeiten wie Port-Scans, Schwachstellen-Analyse oder Penetrationstests. Service-Level-Agreements helfen nicht immer weiter, vor allem wenn der Provider seinerseits Aufgaben an Dritte outsourct.
• Compliance-Herausforderungen: Es ist fraglich, ob Unternehmen ihren Zertifizierungen auch nach einer Migration in die Cloud noch entsprechen können, das gilt insbesondere für Unternehmen der Finanz-, Telekom- und Pharmaindustrie.
• Mangelnde Trennung: Vor allem in Public Clouds besteht die relativ große Gefahr, dass die auf mehrere Nutzer aufgeteilten Rechen-, Speicher- und Netzwerkkapazitäten nicht ausreichend separiert sind und so gleichzeitig mehrere Nutzer durch Attacken wie Guest-Hopping, SQL-Injektionen und Datendiebstahl betroffen sind.
• Böswillige Insider beim Cloud-Provider: Diese privilegierten Administratoren benötigt ein Cloud-Provider genauso wie ein internes Rechenzentrum. Je stärker sich Cloud Computing verbreitet, desto höher wird das Risiko, dass kriminelle Banden solche hochprivilegierten Admins „umwerben“.
• Risiken durch unterschiedliche Rechtsprechung: Daten werden mitunter in verschiedenen Ländern mit unterschiedlichen Rechtssystemen und -auffassungen gespeichert. Die Risiken reichen in bestimmten autoritären Staaten von Spionage bis hin zur Konfiszierung von Daten.
• Datenschutz: Für den Cloud-Kunden ist es schwierig sicher zu stellen, dass die Daten den gesetzlichen Bestimmungen gemäß behandelt werden. Trotz dieser Schwierigkeiten ist der Kunde, und nicht der Provider, für den sachgemäßen Umgang mit den Daten verantwortlich. Die fehlende Transparenz wird verschärft, wenn Daten eines Kunden von unterschiedlichen, miteinander verbundenen Clouds verarbeitet werden. Allerdings haben sich inzwischen einige Provider zertifizieren lassen.

Pragmatik ist Trumpf

Einige dieser Risiken sind rein rechtlicher Natur, andere haben mit gesetzlichen Vorschriften zu tun (Datenschutz, Compliance), die durch die stärkere Arbeitsteilung in der Cloud verschärft werden. Sie werden sich nicht komplett lösen lassen. Aber vielversprechende Ansätze sind vorhanden. Für die rein technischen Risiken (fehlende Separierung, Verwundbarkeit des Hypervisors, etc.) stellen verschiedene Security-Anbieter entweder bereits Lösungen (Virtual Security) zur Verfügung oder zumindest zeichnen sich Wege zu mehr Sicherheit ab, wie die Defense-in-Depth-Konzepte zeigen.

Dennoch bleiben Sicherheits- und Compliance-Lücken im Sektor Cloud Computing zu schließen. Es wäre allerdings auch etwas früh, für dieses sehr junge Computing-Modell ein alles umfassendes Sicherheitskonzept zu erwarten. Anwender sollten deshalb pragmatisch vorgehen. Unkritische Daten und Anwendungen lassen sich – die individuelle Wirtschaftlichkeit des Vorgehens vorausgesetzt – inzwischen problemlos in die Cloud verlagern. Tausende von Unternehmen tun das bereits. Das Gleiche gilt für Webanwendungen, Testumgebungen und andere nicht unternehmenskritische Anwendungen und Daten. Nicht der typisch deutsche „Alles-oder-nichts“-Ansatz, sondern der pragmatische „Probieren-was-geht“-Weg ist in Sachen Cloud der einzig empfehlenswerte.