Nachdem in den vergangenen Artikel zunächst eine Einleitung in das Thema Cloud Computing gegeben wurde und über Chancen durch die Technologie für die IT-Sicherheit berichtet wurde, wurde im letzten Artikel über Risikoverteilung im Cloud Computing und Technologierisiken berichtet. Leider ist die Liste der potentiellen Risiken damit noch nicht abgearbeitet, unter anderem sind auch Compliance, Verwaltung und IT-Governance zu beachtende Faktoren.
Compliance
Unter Compliance wird in diesem Zusammenhang der Einklang von Cloud Computing mit regulatorischen und rechtlichen Rahmenbedingungen verstanden. Aufgrund der Verteilung von Daten und Anwendungen, teilweise über nationale Grenzen hinweg, ist es notwendig, die Einhaltung der geltenden gesetzlichen Rahmenbedingungen sicherzustellen und diese in wiederkehrenden Intervallen zu überprüfen.
Die Herausforderungen der Compliance in einer Cloud-Umgebung konzentrieren sich auf den Datenschutz, Gesetze (Finanzen) und Regulierungen, z. B. Health Insurance Portability and Accountability Act (HIPAA), sowie branchenspezifische Standards, wie z. B. Payment Card Industry Data Security Standard. Datenschutz, vor allem im internationalen Umfeld, ist ein komplexes Thema, da jedes Land seine eigenen Datenschutzrichtlinien besitzt, die für die jeweils lokalen Datenzentren gelten.
Konformität mit regulatorischen Rahmenbedingungen wird in den meisten Fällen durch Audits nachgewiesen, die in der Regel durch externe Dritte vorgenommen werden. Audits in einer Cloud-Umgebung sind allerdings nicht einfach durchzuführen, u. a. auch wegen des Mangels an Standards zwischen verschiedenen Anbietern.
Die durch den Anbieter eingesetzten Sicherheitsmaßnahmen sind der Schlüssel zur Einhaltung der gesetzlichen Anforderungen und dienen der nachweisbaren Erfüllung der Informationspflichten gegenüber Wirtschaftsprüfern, Gesellschaftern und zuständigen Behörden (z.B. Bankenaufsicht, FTC, SEC). Die Nachweisbarkeit der Sicherheitsmaßnahmen wird durch Standards wie ISO 27001 und 27002, sowie den SAS 70 Reports (insbesondere Type II Reports) unterstützt.
DATENLOKATION
Definition: Unter der Datenlokation versteht man den geografischen Ort, an dem die Daten gespeichert werden, sowie die Zuordnung der Daten zu einer bestimmten geografischen Region. Die Lokation der Daten ist oftmals durch Regularien vorgegeben. Besonders für die EU gelten hier besondere Vorschriften, so dass Daten in bestimmten Fällen zwingend innerhalb der EU gespeichert werden müssen. In bestimmten Ländern, wie z. B. Frankreich, ist eine Speicherung von Finanzdaten sogar nur im eigenen Land erlaubt, so dass die Infrastruktur des Cloud Providers zwingend im jeweiligen Land vorhanden sein muss. Allerdings ist auch für gesetzliche Auflagen die Frage der Datenlokation von größter Bedeutung, da in manchen Ländern Behörden im Rahmen geheimdienstlicher Recherchen sehr einfach Zugriff auf Daten erlangen können, was gerade bei streng vertraulichen Daten ein sehr hohes Risiko darstellt.
Cloud-Spezifika: Viele Cloud Provider betreiben weltweit verteilt Rechenzentren und Cloud Computing-Ressourcen. Nicht alle Provider garantieren, dass Daten innerhalb einer bestimmten geografischen Lokation gespeichert werden. Die Einschränkung auf geografische Teilbereiche der Cloud würde gewissermaßen auch dem Grundgedanken des Cloud Computing widersprechen.
Maßnahmen: Sollten für Daten entsprechende Regularien gelten oder will man vor der Verbreitung der Daten in andere Länder aus Geschäftssicht Abstand nehmen, ist dies bereits bei der Auswahl des Cloud Providers zu berücksichtigen. Der Provider muss in diesem Fall vertraglich verpflichtet werden, die Daten nur in festgelegten geografischen Regionen zu speichern. Um sicherzustellen, dass für relevante Daten entsprechende Maßnahmen umgesetzt werden können, müssen die Daten klassifiziert werden.
NACHFORSCHUNGEN
Definition: Es ist sicherzustellen, dass Daten zur Verfolgung von illegalen oder unsachgemäßen Aktivitäten zur Verfügung stehen und einwandfrei rekonstruiert werden können. Hierzu gehören nicht nur die Daten an sich, sondern ebenfalls weitere Meta-Daten wie Log-Dateien, die die Bearbeitungen und Wege der Daten nachvollziehbar machen und eindeutig aufzeigen.
Cloud-Spezifika: Als Hürde erweist sich der Umstand, dass Daten verteilt auf mehreren Servern, in mehreren Rechenzentren, im Extremfall sogar in unterschiedlichen Ländern mit eigenen Jurisdiktionen liegen.
Maßnahmen: Es muss mit dem Cloud Provider vertraglich vereinbart werden, entsprechende Nachforschungsmöglichkeiten sicherzustellen. Hier ist besonders darauf zu achten, dass der genaue Inhalt der Nachforschungsmöglichkeiten, z.B. die Aufbewahrungsdauer der Daten, a priori exakt per Dienstgütevereinbarung (SLA) festgelegt wird.
Lock-In
Unter Lock-In versteht man die gezielte Bindung eines Kunden an ein Unternehmen, um den Wechsel zu einem Mitbewerber zu erschweren. Der Wechsel zu einem Konkurrenten wird i. d. R. vom Kunden nur vollzogen, wenn die Vorteile den mit dem Wechsel verbundenen Aufwand übersteigen.
DATEN- UND CODE-PORTABILITÄT
Definition: Daten und Quellcode sollten im Idealfall vollständig portabel sein, d. h. problemlos zwischen verschiedenen Providern oder zurück in das eigene Unternehmen portiert werden können.
Cloud-Spezifika: Bei Cloud Computing-Angeboten wird ein umfassender Teil einer IT-Dienstleistung durch einen einzelnen Anbieter erbracht. Momentan fehlen im Umfeld von Cloud Computing noch Standards, Schnittstellen und Protokolle, die einen einfachen Wechsel von einem Cloud Provider zu einem anderen oder die Re-Migration ins eigene Unternehmen ermöglichen. Dies verursacht hohe Migrationskosten und kann zu einer ungewollten Bindung an den Anbieter führen.
Maßnahmen: Vor einer Migration ist festzulegen, welche Prozesse und Standards eingesetzt werden. Bei der Bewertung eines Cloud Providers sind sowohl technische als auch ökonomische Dimensionen zu berücksichtigen, um den Aufwand einer Migration bzw. Rückführung in das eigene Unternehmen zu bewerten. Eine Strategie besteht darin, den Dienst von unterschiedlichen Cloud Providern zu beziehen. Des Weiteren bietet sich die vertragliche Vereinbarung der Datenherausgabe durch den Anbieter, sowie u. U. die Nutzung von spezialisierten Daten- und Quellcodetreuhändern an.
PROPRIETÄRE ENTWICKLUNGSTOOLS UND APPLICATION PROGRAMMING INTERFACES (APIs)
Definition: Bei einem Plattform-Dienst werden dem Nutzer Entwicklungs-Frameworks, Middleware- Funktionalitäten sowie Datenbanken und APIs zur Verfügung gestellt.
Cloud-Spezifika: Die zur Verfügung gestellten Entwicklungswerkzeuge und APIs sind an die Cloud- Plattform angepasst. Um sie zu nutzen, ist auf Kundenseite das entsprechende Know-How aufzubauen. Somit verstärkt sich die Bindung an den Cloud Provider.
Maßnahmen: Es ist bereits im Vorfeld einer möglichen Nutzung eines PaaS Angebotes zu prüfen, welcher zeitliche und monetäre Aufwand für die Nutzung der proprietären Tools und APIs anfällt und wie stark die eingesetzten Verfahren von etablierten Standards abweichen. Je näher der Anbieter sich an Standards orientiert, offene Schnittstellen verwendet etc., desto geringer sind Aufwand und Bindung an den Anbieter. Die Entwicklung des Marktes und das Verhalten einzelner Anbieter hinsichtlich Standards, z. B. Open Virtualization Format (OVF), sind aufmerksam zu beobachten.
Finanzen
Unter finanziellen Risiken werden Risiken verstanden, die einen direkten finanziellen Schaden für das betroffene Unternehmen nach sich ziehen können.
ECONOMIC DENIAL OF SERVICE (EDoS)
Definition: Bei einer Economic Denial of Service (EDoS)-Attacke werden finanzielle Mittel eines Kunden missbräuchlich von Dritten verwendet. Durch die Verletzung der Vertraulichkeit entsteht dem Kunden ein finanzieller Schaden, im Extremfall bis hin zur Zahlungsunfähigkeit.
Cloud-Spezifika: Bei Cloud Computing-Geschäftsmodellen erfolgt die Abrechnung nach dem Pay-per-Use- Prinzip. Nach erfolgtem Identitätsdiebstahl kann ein Angreifer das Benutzerkonto sowie seine Ressourcen verwenden und ihm somit finanziellen Schaden zufügen.
Maßnahmen: Im einfachsten Fall sollten Sicherheitsmaßnahmen den Ressourcenverbrauch begrenzen. Hierfür sind sinnvolle Obergrenzen zu definieren, so dass auf der einen Seite der potenzielle finanzielle Schaden kalkulierbar bleibt, auf der anderen Seite aber auch die Nutzung des Dienstes nicht eingeschränkt wird. Des Weiteren sind sichere Verfahren der Nutzerauthentisierung einzusetzen.
ZUKUNFTSFÄHIGKEIT DES PROVIDERS
Definition: Durch die Auslagerung von Daten und Diensten in die Cloud wird dem Provider eine große Verantwortung übertragen, da meist geschäftskritische Daten oder Dienste betroffen sind. Würde der Provider Insolvenz anmelden oder von einem anderen Unternehmen übernommen werden, so besteht das Problem darin, beim Provider vorhandene Daten und Services zurück zu bekommen und diese wieder in das eigene Unternehmen zu integrieren.
Cloud-Spezifika: Das Risiko der Zukunftsfähigkeit ist natürlich nicht auf Cloud Computing-Anbieter beschränkt. Doch angesichts des neuen Geschäftmodells Cloud Computing und den damit fehlenden Erfahrungen über die Beständigkeit am Markt ist hier besondere Vorsicht angebracht.
Maßnahmen: Von zentraler Bedeutung ist es, dass der auszuwählende Provider ein auf längere Sicht robustes Geschäftsmodell vorweist. Es ist ratsam, mit dem Anbieter die Herausgabe von Daten, ggfs. Sogar Quellcode, vertraglich zu vereinbaren.
IT-Governance
IT-Governance hat die Aufgabe, durch die Etablierung geeigneter Führungs- und Organisationsstrukturen sowie über Prozesse sicherzustellen, dass die IT die definierten Unternehmensziele und die Geschäftsstrategie unterstützt. Wesentliches Ziel von ITGovernance ist auch die Minimierung der IT-Risiken.
KONTROLLVERLUST
Definition: Ein Kontrollverlust ist die Abgabe der Kontrollhoheit über einen oder mehrere Bereiche an einen externen Dritten. Der Nutzer gibt hierbei evtl. auch die Steuerung von Bereichen aus der Hand, die die Sicherheit betreffen.
Cloud-Spezifika: Bei der Nutzung von Cloud Computing wird immer auch Kontrolle vom Nutzer an den Cloud Provider abgegeben. Der Kontrollverlust kann sich z.B. auf Daten, Software oder Quellcode beziehen. Branchenspezifische Anforderungen an Sicherheitsüberprüfungen (Audits) sind unter Umständen nur sehr schwer zu erfüllen.
Maßnahmen: Es besteht die Möglichkeit, die Kontrolle nur für gewisse Bereiche an den Cloud Provider zu übertragen. Die sicherheitskritischen Bereiche bleiben beispielsweise unter eigener Kontrolle. Das Vertrauen in den Provider sollte mit Hilfe von SLA-Vereinbarungen gestärkt werden.
SKALIERBARKEIT
Definition: Unter Skalierbarkeit versteht man, dass Anwendungen und Systeme bei höherer Last, die gewünschte Leistung, z. B. in Form von Reaktions- und Bearbeitungszeiten, stabil erbringen. Dies bedeutet, dass die Qualität des zu erbringenden Dienstes unabhängig von der zu bewältigenden Last ist.
Cloud-Spezifika: Skalierbarkeit kann Chance und Risiko zugleich sein. Zwar verspricht das Cloud Computing-Modell – zumindest in der Theorie – eine generelle Skalierbarkeit. Doch es ist entscheidend, dass Cloud Provider genügend Ressourcen vorhalten, um auch extreme Lastspitzen abfangen und die Dienste durchgehend leistungsfähig anbieten zu können. Da die Ressourcen von mehreren Nutzern geteilt werden, können bei großer Homogenität der Nutzer Lastspitzen im schlechtesten Fall gleichzeitig auftreten und die Skalierbarkeit der Cloud-Infrastruktur an ihre Grenzen bringen.
Maßnahmen: Es sind entsprechende Dienstgütemerkmale (SLA) der Provider als Absicherung zu nutzen, um ein Interesse des Anbieters an einer genügend großen Ressourcendecke sicherzustellen. Darüber hinaus kann es sinnvoll sein, sich eine Übersicht über die Nutzer des Providers zu verschaffen. Bei vielen Kunden aus der gleichen Branche ist die Gefahr von Kapazitätsengpässen höher als bei einer sehr homogenen Nutzerbasis.
Sicheres Cloud Computing umsetzen
Sicherheit ist der am meisten genannte Erfolgsfaktor für Cloud Computing und spielt deshalb bei der Umsetzung von Cloud Computing-Vorhaben eine zentrale Rolle. Ein entsprechendes Vorgehen umfasst im Allgemeinen vier Phasen: Planung, Verhandlung, Migration und Betrieb.
|
In der Planungsphase entwickelt das Management eine Strategie, die vor allem vorgibt, für welche Geschäftsbereiche und -prozesse Cloud Computing grundsätzlich in Frage kommt sowie welche Risiken unbedingt zu vermeiden sind. Zudem werden in dieser Phase die Sicherheitsanforderungen definiert, die Schutzziele bestimmt, zu schützende Zielobjekte (Daten, Anwendungen etc.) identifiziert und Sicherheitsmaßnahmen erarbeitet. Anhand eines definierten Kriterienkatalogs werden die Einsatzvariante und darauf aufbauend mögliche Cloud Provider ausgewählt. Von Beginn an werden hierbei sämtliche Stakeholder wie der Datenschutzbeauftragte, der Sicherheitsbeauftragte, die Rechtsabteilung, die Fachabteilungen, der Betriebsrat etc. mit in die Planungen einbezogen. Des Weiteren wird auch die Beendigung des Cloud Computing-Betriebs bzw. der Wechsel zu einem anderen Provider geregelt. Hierbei ist vor allem zu klären, wie die Löschung und Übertragung der Daten gewährleistet wird.
Die Sicherheitsanforderungen fließen in die Verhandlung der Verträge mit ein. In diesemRahmen werden Dienstgütevereinbarungen (SLA) und messbare Kennzahlen (KPI), die auch die Überwachung der Sicherheit ermöglichen, mit dem potenziellen Cloud Provider definiert. Weiterhin werden in den Verträgen Auditrechte festgeschrieben, die den Pflichten des Nutzers gegenüber seinen Kunden und Behörden gerecht werden.
Zu Beginn der Migrationsphase erstellen Provider und Nutzer gemeinsam auf Basis der Sicherheitsanforderungen die notwendigen Sicherheitskonzepte. Diese bilden die Grundlage für die eigentliche Umsetzung des Migrationsvorhabens und müssen ständig aktuell gehalten werden. Im Rahmen der Migration erfolgt die Übertragung der Kontrolle an den Cloud Provider und die Erbringung der Services. Außerdem werden die in der Planungsphase festgelegten organisatorischen und technischen Maßnahmen umgesetzt.
Für den sicheren Betrieb des Cloud Computing-Dienstes ist die Festlegung der Verantwortlichkeiten von entscheidender Bedeutung. Hierfür ist ein Sicherheitsbeauftragter zu benennen, der den Betrieb des Cloud-Dienstes verantwortet.
