7 Fragen für CIOs

IT-Sicherheit in der Cloud neu denken

| Autor / Redakteur: Dr. Philipp Müller & Dr. Wolf Zimmer / Susanne Ehneß

Vertrauen in die Cloud kann nur entstehen, wenn Nutzer und Anbieter auf Augenhöhe kommunizieren, das Leistungsversprechen transparent ist und der Nutzer darauf reagieren kann
Vertrauen in die Cloud kann nur entstehen, wenn Nutzer und Anbieter auf Augenhöhe kommunizieren, das Leistungsversprechen transparent ist und der Nutzer darauf reagieren kann (Bild: Julien Eichinger_Fotolia)

Wir bewegen uns schneller, als wir für möglich halten, in die „Cloud“. Ob im Privatleben, in Unternehmen oder in Behörden, die „Cloud“ ist schon da. Wir werden lernen müssen, dass das Rechnen in virtuell verteilten und mandantenfähigen Umgebungen eine Änderung unserer Vorstellungen über die Sicherheit digitaler Infrastrukturen erfordert.

Die Akzeptanzdefizite von Cloud Computing kreisen vornehmlich um das Thema IT-Sicherheit. IT-Verantwortliche in Organisationen sind daran gewöhnt, die Kontrolle über ihre Systeme und Daten zu haben. Die Vorstellung, dass Dritte irgendeine Hoheit über ihre Daten und die von ihnen genutzten IT-Systeme erlangen, erscheint ihnen äußerst bedrohlich.

Im „klassischen“ Enterprise Computing sitzen Nutzer und Daten gemeinsam hinter den digitalen „Befestigungsanlagen“. Im Cloud Computing ist das anders. Da gibt es zwar auch Schutzmechanismen und Verteidigungsstrategien, aber der Nutzer sitzt außerhalb der „Befestigungsanlagen“. Wie kann da Vertrauen in das System entstehen?

Cloud Computing stützt sich auf ein Leistungsversprechen abstrakter technischer Systeme und die Erwartung, dass die Repräsentanten und Experten, die das System bereitstellen und kontrollieren, ebenso wie die in das System eingebauten Kontrollen vertrauenswürdig sind. Vertrauen in Cloud Computing ist daher aufs engste mit der Frage verknüpft, welche Voraussetzungen oder Reputationsmechanismen der Cloud-Anbieter schafft, damit Vertrauen entstehen kann.

Im sozialen Miteinander erwächst Vertrauen vor allem aus Nähe, persönlicher Erfahrung von Integrität, Kompetenz und Verlässlichkeit oder Reputation. Kategorien, die schwer auf Cloud Computing übertragbar sind. Was also ist ein „Maß“ für Vertrauen in die Cloud? Jede Organisation, die den Schritt in die Cloud in Erwägung zieht, sollte daher sich und dem möglichen Cloud-Dienstleister folgende Fragen vorlegen:

1. Welche Sicherheitsstandards liegen dem Betrieb des Cloud-Dienstleisters nachprüfbar zugrunde?

Fehlende Standards im Cloud Computing und unzureichende oder unklare Sicherheitsbestimmungen machen vergleichbare Risikoanalysen von Cloud-Dienstleistungen alles andere als einfach. Dessen ungeachtet geben Sicherheitsanforderungen aus verschiedenen Standards wie ISO 27000:2005 oder NIST SP 800-53, Empfehlungen und Anforderungen staatlicher Behörden (BSI, NIST) und Konsortien, wie der Cloud Security Alliance (CSA), sehr wohl Anhaltspunkte, um die Qualität des Informations- und Sicherheitsmanagements von Cloud-Dienstleistern zu bewerten.

Dabei sollte man freilich berücksichtigen, dass die veröffentlichten Dokumente verschiedene Ansprüche haben. So ist der ISO-Standard mit internationaler Gültigkeit zertifizierbar, der NIST-Standard stellt Anforderungen auf, das Eckpunktepapier des BSI „Sicherheitsempfehlungen für Cloud Computing Anbieter“ gibt Empfehlungen, und die CSA Cloud Control Matrix (CMM) beschreibt Kontrollmaßnahmen, um das Risikomanagement zu unterstützen.

2. Wo sind meine Daten und Anwendungen?

Im klassischen IT-Outsourcing ist bekannt, wo Daten erfasst, verarbeitet oder gespeichert werden, eine Verlagerung von Daten ist ohne Zustimmung des Kunden nicht möglich. Anders im Cloud Computing. Aus technischer Sicht ist der Ort an dem die Daten verarbeitet oder Anwendungen bereitgestellt werden, völlig unerheblich, für das geltende Recht jedoch nicht.

Auf der nächsten Seite erfahren Sie, wie Daten, Anwendungen und die Cloud-Infrastruktur geschützt werden können und wie es um die Verfügbarkeit steht.

Inhalt des Artikels:

Kommentare werden geladen....

Kommentar zu diesem Artikel abgeben

Der Kommentar wird durch einen Redakteur geprüft und in Kürze freigeschaltet.

Anonym mitdiskutieren oder einloggen Anmelden

Avatar
Zur Wahrung unserer Interessen speichern wir zusätzlich zu den o.g. Informationen die IP-Adresse. Dies dient ausschließlich dem Zweck, dass Sie als Urheber des Kommentars identifiziert werden können. Rechtliche Grundlage ist die Wahrung berechtigter Interessen gem. Art 6 Abs 1 lit. f) DSGVO.
  1. Avatar
    Avatar
    Bearbeitet von am
    Bearbeitet von am
    1. Avatar
      Avatar
      Bearbeitet von am
      Bearbeitet von am

Kommentare werden geladen....

Kommentar melden

Melden Sie diesen Kommentar, wenn dieser nicht den Richtlinien entspricht.

Kommentar Freigeben

Der untenstehende Text wird an den Kommentator gesendet, falls dieser eine Email-hinterlegt hat.

Freigabe entfernen

Der untenstehende Text wird an den Kommentator gesendet, falls dieser eine Email-hinterlegt hat.

copyright

Dieser Beitrag ist urheberrechtlich geschützt. Sie wollen ihn für Ihre Zwecke verwenden? Infos finden Sie unter www.mycontentfactory.de (ID: 43504673 / Allgemein)