IT-Sicherheit

Achtung: Tote Winkel in der Cloud!

| Autor / Redakteur: Ralf Sydekum * / Florian Karlstetter

IT-Sicherheit beim Cloud Computing ist ein oft unterschätztes Risiko.
IT-Sicherheit beim Cloud Computing ist ein oft unterschätztes Risiko. (Bild: © bluebay2014 - Fotolia.com)

Autofahrer müssen auf den toten Winkel achten. Doch auch bei der Cloud-Nutzung gibt es unsichtbare Bereiche. So sollten Unternehmen vier Gefahren kennen, die oft im Verborgenen liegen.

Die Cloud bietet viele Vorteile wie höhere Flexibilität, Effizienz, Produktivität und Skalierbarkeit sowie geringere Kosten. Doch IT-Verantwortliche dürfen sich davon nicht blenden lassen und müssen auch auf potenzielle Gefahren achten, die erst auf den zweiten Blick zu erkennen sind. Dazu gehören insbesondere die folgenden vier Bereiche.

Sicherheit in der Public Cloud ist eine gemeinsame Verantwortung

Viele Unternehmen in Deutschland zögern noch mit der Nutzung einer Public Cloud, da sie einen Teil der Verantwortung für Sicherheit und Datenschutz an externe Dienstleister abgeben müssen. Um die jeweiligen Zuständigkeiten zu klären, lässt sich die Public Cloud mit einer Mietwohnung vergleichen. In beiden Fällen teilen sich Eigentümer und Mieter die Verantwortung für Infrastruktur und Dienstleistungen.

Bei Mietwohnungen ist der Eigentümer letztlich für alles verantwortlich, was sich außerhalb der Wohnung befindet wie Gartenanlage, Kanalisation, Flur oder Fassade. Die Mieter sind für das zuständig, was innen liegt oder dort geschieht, zum Beispiel Möbel, Heizung, Wasser- und Stromverbrauch.

Analog sorgen die Anbieter von öffentlichen Cloud-Diensten für die Infrastruktur, also für das, was sich „außerhalb“ der Anwendung abspielt: etwa für die physischen Server und die Gastbetriebssysteme. Der Kunde verantwortet dagegen alles „innerhalb“ der Anwendung, etwa die eingesetzten Technologien und Tools sowie die Datenhaltung.

Dabei müssen natürlich beide Seiten exakt wissen, wer für was zuständig ist – ob in der Wohnung oder der Public Cloud. Denn bei einem Vorfall oder Defekt muss letztendlich derjenige dafür geradestehen, in dessen Verantwortungsbereich er fällt.

In der Public Cloud kann die Sicherheit in beiden Bereichen kompromittiert werden. So sagte der Leiter der weltweiten Sicherheitsprogramme bei Amazon Web Services (AWS), dass ihn nicht so sehr die Sicherheit der AWS-Umgebung selbst nachts nicht schlafen lasse, sondern „der Kunde, der seine Anwendungen nicht korrekt konfiguriert, um sich abzusichern“. Im Zweifel sollten daher Unternehmen den Cloud-Anbieter fragen, welche Optionen er zum Schutz der Anwendungen bietet oder welche Maßnahmen sich problemlos einsetzen lassen.

Abhängigkeit von einem Anbieter vermeiden

Cloud-Nutzer wünschen sich schon lange die Möglichkeit, ihre Anwendungen von einer Cloud in die nächste frei bewegen zu können. Doch die Realität sieht anders aus. Eine Anwendung lässt sich nicht einfach aus einer bestimmten Cloud-Umgebung herauslösen. Denn jede Cloud verbindet die Anwendung direkt mit spezifischen Schnittstellen, Konsolen und Services. Daher ist es eine komplizierte Aufgabe, die Anwendung zu migrieren oder einen zweiten Anbieter für optimale Redundanz zu nutzen.

Bevor sich Unternehmen für eine Cloud entscheiden, sollten sie also klären, ob sich das Management und der Betrieb mit vorhandenen Diensten und Systemen zu einer hybriden Lösung integrieren lässt. Zudem müssen sie auf eine transparente Exit-Strategie sowie auf offene Formate und Schnittstellen achten. Nur dann lässt sich das Risiko eines Vendor Lock-in vermeiden.

Cloud-Experten sind rar

Unternehmen sollten sich im Vorhinein auch überlegen, welche und wie viele Mitarbeiter sie für ihre Cloud-Initiativen benötigen. Fast die Hälfte (44 Prozent) der Cloud-nutzenden Firmen musste neue Mitarbeiter einstellen, welche die Technologie verstehen. Das kann erhebliche Auswirkungen auf die Entwicklungszeit ihrer Cloud-Anwendungen haben.

So müssen IT-Entscheider genau wissen, welche APIs, Konsolen und Managementprozesse des Cloud-Anbieters sie nutzen. Werden Tools und Prozesse eingeführt, welche die Mitarbeiter nicht kennen, führt dies in der Regel zu Verzögerungen, höheren Betriebskosten, geringerer Produktivität und Unzufriedenheit bei den Anwendungsentwicklern.

Vor der Entscheidung für einen Cloud-Anbieter sollten Unternehmen daher das bereits im Haus verfügbare Fachwissen analysieren und ermitteln, inwieweit zusätzlich benötigte Fachkräfte auf dem Arbeitsmarkt verfügbar sind. Dabei ist sicherzustellen, dass das Team nicht nur über das erforderliche Fachwissen verfügt, sondern auch mit den operativen Methoden und Prozessen des Providers umgehen kann. Schließlich wird keine Cloud-Migration gelingen, wenn die dafür erforderlichen Experten fehlen.

Vorsicht bei Public Cloud für Industrie 4.0

In der öffentlichen Diskussion steht derzeit zwar das Internet der Dinge (IoT) im Vordergrund. Doch in Deutschland bietet das Industrial Internet of Things (IIoT) – hier oft mit dem Begriff Industrie 4.0 gleichgesetzt – für die meisten Unternehmen noch mehr Wachstumspotenzial. Schließlich ermöglicht die Automatisierung einer großen Anzahl von Aufgaben eine deutlich höhere Effizienz bei weniger Fehlern.

Das erfordert allerdings ein hohes Maß an Zuverlässigkeit und Performance. Dies übersteigt jedoch zumindest derzeit noch die Möglichkeiten einer Public Cloud. Auch wenn sie für IIoT notwendige Voraussetzungen wie Sicherheit, Regelkonformität, Datenschutz und Performance bietet, mussten zahlreiche Vorreiter in diesem Bereich feststellen, dass die Public Cloud in Bezug auf Latenz und Ausfallsicherheit noch Wünsche offen lässt.

Daher sollten Unternehmen genau prüfen, welche Antwortzeiten und welches Maß an Ausfallsicherheit und Datensicherheit ihr Projekt erfordert, bevor sie sich für einen Cloud-Anbieter entscheiden. Das Risiko, dass die gewählte Cloud-Lösung die Anforderungen langfristig nicht erfüllt, ist bei transformativen Ansätzen wie IoT und Industrie 4.0 sehr hoch. Wer dann mitten in einem Projekt die Cloud wechseln will, muss in jedem Szenario mit hohen Kosten rechnen.

Ralf Sydekum, Technical Manager DACH, F5 Networks.
Ralf Sydekum, Technical Manager DACH, F5 Networks. (Bild: F5 Networks)

Fazit

Bei der Migration von Anwendungen in die Cloud ist es also wichtig – wie beim Autofahren – auf tote Winkel zu achten, um böse Überraschungen zu vermeiden. Dazu zählen vor allem die Übernahme der Verantwortung für den eigenen Bereich, die Vermeidung eines Vendor Lock-in, die Einstellung von genügend Fachkräften und die Gewährleistung der Zukunftsfähigkeit von IoT-Anwendungen. Nur dann lassen sich mit Hilfe der Cloud neue Anwendungen mit höherer Performance und Sicherheit noch schneller auf den Markt bringen.

* Ralf Sydekum, Technical Manager DACH, F5 Networks

Kommentare werden geladen....

Kommentar zu diesem Artikel abgeben

Anonym mitdiskutieren oder einloggen Anmelden

Avatar
  1. Avatar
    Avatar
    Bearbeitet von am
    Bearbeitet von am
    1. Avatar
      Avatar
      Bearbeitet von am
      Bearbeitet von am

Kommentare werden geladen....

Kommentar melden

Melden Sie diesen Kommentar, wenn dieser nicht den Richtlinien entspricht.

Kommentar Freigeben

Der untenstehende Text wird an den Kommentator gesendet, falls dieser eine Email-hinterlegt hat.

Freigabe entfernen

Der untenstehende Text wird an den Kommentator gesendet, falls dieser eine Email-hinterlegt hat.

copyright

Dieser Beitrag ist urheberrechtlich geschützt. Sie wollen ihn für Ihre Zwecke verwenden? Infos finden Sie unter www.mycontentfactory.de (ID: 44675725 / Allgemein)