SecureCloud 2012: Transparenz als nächste Herausforderung

Die Kunst, einen Pudding zu essen

Seite: 3/3

Firmen zum Thema

Datenschutz für die einen, Rechtssicherheit aber für die anderen, lautet die Forderung. Cloud Service Provider sind schließlich dafür verantwortlich, ihren Kunden eine sichere Umgebung zur Verfügung zu stellen. Zudem sollen sie andere Nutzer daran hindern, dass die Cloud beispielsweise nicht für Spam-E-Mails missbraucht oder Ziel von Angriffen wird.

Um die Datenschutzproblematik zumindest in nächster Zeit zu lösen, kann sich Monika Josi, europäische Sicherheitsexpertin bei Microsoft, weiter die Mischlösung Private Cloud als Modell für die Zukunft vorstellen: Die Daten bleiben lokal, die Verwaltung und Verarbeitung erfolgt über die Cloud.

Doch welche Probleme haben Anbieter mit gesetzlichen Vorgaben? Josi nimmt die Cloud Service Provider in Schutz und zeigt ihr Dilemma: „Sie stehen immer vor der Entscheidung: Was kann man tun, aber was darf man nicht.“ So könne der Schutz vor Attacken auch mit einem Gesetzesverstoß einhergehen.

Giles Hogben, Cloud-Sicherheitsexperte der europäischen Sicherheitsbehörde ENISA, verweist an dieser Stelle auf zwei ENISA-Richtlinien für Provider, die im vergangenen Jahr veröffentlicht wurden. Die „Technische Richtlinie über die Berichterstattung bei Cybersicherheitsvorfällen“ sowie die „Technische Richtlinie für minimale Sicherheitsmaßnahmen“ soll insbesondere Kunden Schutz vor Sicherheitslücken bringen – ein Weg für sinnvolles Cloud Incident Management.

Messlatte Sicherheit

Aber, so Hogben weiter, „die eigentliche Kunst beim Pudding ist doch, ihn zu essen“, oder anders ausgedrückt: Die Probleme beginnen doch erst dann, wenn Kunden sich zwischen verschiedenen Cloud-Anbietern und -Dienstleistern entscheiden wollen. Daher hat die ENISA bereits 2009 ein Projekt ins Leben gerufen, um Kriterien für Cloud Service Provider festzulegen. Aus den Untersuchungen resultiert der Report „Procure Secure“, der zwar Fokus auf dem öffentlichen Sektor hat, sich aber weitestgehend auch auf andere Bereiche anwenden lässt.

Doch lässt sich Sicherheit überhaupt messen? „Security Monitoring“ lautet hier die Antwort von Dr. Jesus Luna, Forschungsleiter an der Technischen Universität Darmstadt. Im Projekt „QUEST: Quantifiable End-to-End Security for Cloud Trustworthiness“ geht seine Forschungsgruppe genau dieser Frage nach. Angelehnt an Service Level Agreements könnten sogenannte Security Service Level Agreements (SecSLA) deutlicher machen, welche Sicherheitsmaßnahmen ein Provider bietet. Ziel ist, künftig SecRaaS, d.h. Security Ratings-as-a-Service, anzubieten, um Cloud Service Provider quantitativ anhand ihrer Cloud SecSLAs zu beurteilen. In diese Richtung weisen auch Initiativen wie CAMM oder CSA Star.

Ein Modell, kritische Anwendungen in der Cloud zu betreiben, stellte Prof. Paulo Verissimo von der Universität Lissabon anhand des EU-geförderten Projekts „TCloud“ vor. Die „Trusted-Trustworthy Clouds“ erlauben eine zügige Migration. Dahinter steht die Idee einer „Cloud-of-Clouds“, indem Multi-Cloud-Umgebungen unabhängig voneinander genutzt werden.

An der Cloud geht kein Weg vorbei, die Entwicklung ist vorgezeichnet. Darüber gibt es bei allen Teilnehmers der SecureCloud 2012 keine Zweifel. Und: „Die Cloud kann – wenn sie es nicht bereits ist – sicher sein“, so Googles Security-Experte Feigenbaum. Vermutlich habe kein Unternehmen auf der Welt so viele Security-Fachleute wie ein Cloud Service Provider: „Das ist doch das beste Argument, in die Cloud zu wechseln!“, um Incident-Folgen und -Kosten zu reduzieren.

(ID:33922020)