Worauf müssen Anwender achten?[Gesponsert]

Das macht eine Cloud wirklich sicher

| Autor: Dr. Dietmar Müller

Grundlegende Faktoren für Sicherheit in der Cloud: Standort, Aufbau des Rechenzentrums, Umgang mit den Daten.
Grundlegende Faktoren für Sicherheit in der Cloud: Standort, Aufbau des Rechenzentrums, Umgang mit den Daten. (Bild: gemeinfrei (Tumiso / pixabay) / CC0)

Würden Sie sich in eine Cloud begeben, deren Betreiber sich nicht in die Karten schauen lässt? Natürlich nicht – dies war eine rein rhetorische Frage -, denn kein ernstzunehmender IT-Verantwortlicher würde die Daten seines Unternehmens in die Hände von jemanden legen, dessen Techniken und Methoden im Dunkeln liegen. Woran aber erkennen potentielle Nutzer, ob eine Cloud wirklich sicher ist?

Nun, wer sich nach einer wirklich sicheren Cloud umsieht, kommt an drei wesentlichen Faktoren nicht vorbei: Erstens der Standort, zweitens der Aufbau eines Cloud-Rechenzentrums und drittens der Umgang mit den Daten. Dazu kommen relevante Sicherheitswerkzeuge sowie die Garantie, dass die ausgelagerten Daten nach Vertragsablauf nicht weg sind.

Der Standort

Seit den ersten Cloud-Angeboten gibt es auch die Angst, dass Daten in eben diesen Clouds abgegriffen werden könnten. Insbesondere US-amerikanischen Anbietern wurde immer wieder der Vorwurf gemacht, den Geheimdiensten Zugriff auf Kundendaten zu gewähren. Auch der Verdacht auf Wirtschaftsspionage stand und steht regelmäßig im Raum. In der Folge erklärten mehr und mehr Anbieter, ihre Clouds auf deutschem Staatsgebiet und unter deutschem Recht betreiben zu wollen, jüngstes Beispiel dafür ist etwa Microsoft. Der Konzern legt seine Cloud-Kundendaten ausschließlich in Deutschland ab, konkret in Rechenzentren von T-Systems in Frankfurt und Magdeburg.

Vielleicht dann gleich auf einen „rein“ deutschen Anbieter setzen? Generell gilt, dass bei deutschen Cloud-Provider mit Rechenzentren am Standort Deutschland grundsätzlich ein sehr großer und umfangreicher Datenschutz greift, Stichwort Bundesdatenschutzgesetz. Darauf werden wir im Rahmen dieses Beitrages noch ausführlich eingehen. Hinzu kommen verschiedene europäische Richtlinien und unternehmenseigene Datenschutzregeln.

Das Gebäude

Verantwortungsbewusste IT-Manager nehmen das Rechenzentrum, das künftig die Unternehmensdaten beherbergen soll, natürlich selbst in Augenschein. Das Gebäude selbst muss im wahrsten Sinne des Wortes bombensicher sein und nur wirklich autorisierten Personen Zugang gewähren.

Benötigt werden Sicherheitszonen, getrennt durch Zäune und Wände, Wärme- und Videokameras, Betonboller, gerne als Blumenkübel getarnt, in der Einfahrt, sowie eine doppelt und dreifach geschützte Steuerzentrale. Zu bedenken wären auch Drohnen-Angriffe aus der Luft oder Bombenabwürfe. Zudem muss das Rechenzentrum gegen Stürme, Überschwemmungen, Brände und Blitzeinschlägen gesichert sein. Respektable Rechenzentren sehen daher in gewissem Sinne aus wie Hochsicherheitsgefängnisse oder Burgen aus alten Zeiten – nur nicht so romantisch.

State of the Art sind zudem Brandmelde- und Löschanlagen, redundante Auslegung, gerne in Verbindung mit einem Twin-Core-Rechenzentrum, und eine unterbrechungsfreie Stromversorgung, ebenfalls doppelt ausgelegt. Stromausfälle sind in der Regel die Hauptverantwortlichen für Downtimes.

DataCenter-Insider hat dazu bereits vor Jahren eine noch immer gültige Checkliste verfasst. Darauf ist vermerkt, was interessierte IT-Verantwortliche bei einem Rechenzentrum alles überprüfen sollen:

  • Wie wird sichergestellt, dass nur Befugte Zugang zum Rechenzentrum haben (z.B. Absicherung durch mehrstufige Sicherheitssysteme, Abfrage von biometrischen Merkmalen zur eindeutigen Erkennung, Dokumentation der Zu- und Austritte von Personen, Personenvereinzelungsanlagen)?
  • Ist das Gebäude entsprechend gesichert und überwacht? Die Kombination aus Sicherheitspersonal vor Ort und einer Kameraüberwachung aller kritischen und wichtigen Innen- und Außenbereiche mit anschließender Langzeitarchivierung der Bilddaten hat sich in der Praxis bewährt.
  • Sind einbruchsichere Türen und Fenster sowie Einbruchmeldeanlagen im Rechenzentrum vorhanden?
  • Haben autorisierte Mitarbeiter und Zulieferer ohne Vorankündigung rund um die Uhr an 365 Tagen im Jahr Zutritt zum Rechenzentrum – z.B. durch Speicherung der Daten im System? Rechenzentren müssen zwar sicher sein, doch darf die Sicherheit nicht alles behindern.
  • Kann ein unbefugter Zugang zu Ihrer Technik im Inneren des Rechenzentrums u.a. von anderen Kunden des Rechenzentrumsanbieters vermieden werden? Gibt es hier zusätzliche Kamera- oder getrennte Zugangssysteme und Bewegungsmelder?
  • Sind sensible Leckage-Systeme, die ein Eintreten von Wasser in den Rechenzentrumskern erkennen, vorhanden?

Die Daten

Anbieter schmücken sich gerne mit Zertifikaten, um die Sicherheit ihrer Cloud auszuweisen. Das Problem: Viele dieser Labels basieren auf einer reinen Selbstauskunft des jeweiligen Cloud-Providers und haben daher wenig Aussagekraft. Nur wer sein Cloud-Angebot regelmäßig von externen Prüfstellen untersuchen lässt, darf auf das Vertrauen von Datenmanagern hoffen. Verlaufen die Checks positiv, arbeitet also ein Cloud-Dienst entsprechend aller rechtlichen und technischen Vorgaben, dann erhält er ein entsprechendes Zertifikat. Welche Zertifikate sind hier relevant?

Zunächst einmal muss ganz grundsätzlich darauf geachtet werden, dass der Rechenzentrumsanbieter nach ISO 27001 zertifiziert ist. Dieser Standard ist „die Mutter aller Zertifikate“ und einer der strengsten internationalen Standards für System- und physikalische Sicherheitsprozesse. Der Auditierungs- und Zertifizierungsprozess erstreckt sich auf alle Aspekte des Geschäfts inklusive Infrastruktur, physikalische Sicherheit und Zutrittsmanagement, Personal, Kommunikation, Operations, Compliance-Kriterien sowie Datensicherungs- und Disaster-Recovery-Systeme.

Der internationale Standard ISO 27018 formuliert datenschutzrechtliche Anforderungen für Cloud-Dienstleister. Diese müssen umfangreiche Benachrichtigungs-, Informations-, Transparenz- und Nachweispflichten erbringen, um bei Kunden und Behörden Vertrauen hinsichtlich der Verarbeitung von personenbezogenen Daten in der Cloud zu schaffen.

Die Zertifizierungen nach ISO 27017 und ISO 27018 sind weit verbreitet und stellen de-facto-Standards dar, werden jedoch von keiner Akkreditierungsstelle überwacht – es ist daher ratsam, auch eine TCDP 1.0 (Trusted Cloud Data Protection Profile)-Zertifizierung nachzufragen.

Das Zertifikat ISO 20000-1 dient als messbarer Qualitätsstandard für das IT-Service-Management (ITSM). Seine Zielsetzung: den Kunden IT-Services von hoher Qualität bereitzustellen. Die Ausrichtung auf die Bedürfnisse und Anforderungen der Kunden spielt dabei eine primäre Rolle.

Star-Zertifikate der Cloud Security Alliance (CSA) wie CSA Star Level 2 Gold ist ein weiteres international anerkanntes Zertifikat. Den Zertifikatsstatus können Interessierte auf den Seiten der CSA überprüfen.

Bald Gültigkeit erlangen wird hierzulande eine Initiative des Bundesministeriums für Wirtschaft und Energie (BMWi): die Trusted-Cloud-Initiative, an der auch Vertreter der Deutschen Telekom mitgearbeitet haben. Anbieter mit diesem Siegel verfügen über eine Art Rundum-Sorglos-Paket. Greifen Bundesbehörden oder deutsche Firmen auf Anbieter mit diesem Zertifikat zurück, sind sie auf der sicheren Seite, dass der Anbieter (für sie) alle in Deutschland geltenden Anforderungen in puncto Datensicherheit und Datenschutz erfüllt.

Ende Mai 2018 tritt zudem die neue Europäische Datenschutzgrundverordnung DSGVO in Kraft - mit teils weitreichenden Konsequenzen für Unternehmen, insbesondere wenn es um die Nutzung von Cloud-Anwendungen geht. Die Sicherstellung des Datenschutzniveaus entsprechend der Artikel 28, 32 und 42 der DSGVO wird durch die entsprechenden Zertifizierungen gewährleistet – hier sind die Zertifikate ISO 27001, ISO 27017/18, TÜV Trusted Cloud Service, CSA STAR level 2, TCDP 1.0 und BSI C5 relevant.

Unterstützung im Notfall

Apropos Datenschutzgrundverordnung – eine Cloud benötigt unbedingt DSGVO-relevante Security-Funktionen wie ein Key Management Service (KMS) oder ein Identity und Access Management (IAM). Dazu kommt eine Reihe von Werkzeugen, die wirkungsvoll gegen An- und Zugriffe durch unautorisierte Dritte schützen.

An erster Stelle wären hier Mittel gegen DDoS-Angriffe zu nennen, die sowohl automatisiert durch Botnetze als auch gezielt Dienste zum Absturz bringen. Einen Überblick über alle Angriffe und die Maßnahmen dagegen muss eine Monitoring-Funktionen liefern – das fordern die Vorgaben nach Artikel 33 und 34 der DSGVO.

Im Falle eines Angriffes wollen Anwender verständlicherweise nicht alleine bleiben und den Rat von Experten einholen. Der Anbieter muss daher entsprechende Support-Offerten vorhalten, die rund um die Uhr greifen.

Freiheit für die Daten

Ist nun ein Anbieter gefunden, der allen bisher genannten Anforderungen entspricht, muss unbedingt auch noch an das Ende gedacht werden. An das Ende der Vertragslaufzeit, versteht sich. Können die ausgelagerten Daten auch wieder sicher aus der Wolke geborgen werden? Oder droht ein sogenannter Vendor-Lock-in? Um einer solchen Mausefalle zu entgehen, empfiehlt es sich, auf Angebote auf OpenStack-Basis zurückzugreifen.

Eine OpenStack-basierte Cloud stellt Unternehmen eine herstellerunabhängige Plattform bereit. OpenStack steht als offene Plattform für die Unabhängigkeit von proprietären Standards und die Freiheit des Nutzers, jederzeit seinen Service-Anbieter zu wechseln. An der ständigen Weiterentwicklung des Frameworks sind IT-Schwergewichte wie die Deutsche Telekom, HP, IBM oder SAP beteiligt.

Das Cloud-Betriebssystem OpenStack für virtualisierte Infrastrukturdienste im Selbstbedienungsverfahren hat sich in der letzten Zeit rasant weiterentwickelt. Die Entwicklung verläuft in vielen einzelnen Projekten, welche konkret definierte Herausforderungen lösen. Die offene, modulare Architektur von OpenStack, die massive Skalierbarkeit der einzelnen Dienste und das lebhafte Ökosystem von Lösungen versprechen eine langfristige Investitionssicherheit und den Aufbau von immer mehr nachgefragten Hybride Cloud-Architekturen.

Fazit

Bei der Auslagerung von sensitiven Daten in eine Public Cloud ist vorher unbedingt die Sicherheit des Angebots zu überprüfen. Es darf keine Auslagerung in eine Public Cloud geben, ohne dass vorher die greifenden Sicherheitskonzepte gecheckt wurden. Dies geschieht nicht zuletzt durch von Dritten erteilte Zertifikate. Und schließlich sollten IT-Verantwortliche sich auch noch vor Augen führen, dass sie eines Tages ihre Daten wieder aus der Cloud herausholen wollen. Dann darf kein Vendor-lock-in das Bergen unmöglich machen. OpenStack garantiert die Freiheit der eigenen Daten.

Alle genannten Kriterien werden in Deutschland von einem Anbieter erfüllt: Die Infrastructure-as-a-Service-Lösung Open Telekom Cloud offeriert höchste Sicherheit zu günstigen Preisen. Rechenleistung und Speicher wachsen mit dem Bedarf des Anwenders – ohne Vertragslaufzeiten für maximale Flexibilität und Effizienz. Dank der flexiblen Skalierbarkeit ist die Open Telekom Cloud für Unternehmen jeder Größe geeignet.

copyright

Dieser Beitrag ist urheberrechtlich geschützt. Sie wollen ihn für Ihre Zwecke verwenden? Infos finden Sie unter www.mycontentfactory.de (ID: 45064402 / DSGVO - Datenschutz Grundverordnung)