7 Fragen für CIOs

IT-Sicherheit in der Cloud neu denken

Seite: 2/3

Firmen zum Thema

3. Wie werden meine Daten, meine Anwendungen und die Cloud-Infrastruktur geschützt?

Die Cloud Security Alliance (CSA) veröffentlicht regelmäßig eine Liste sicherheitskritischer Bedrohungen im Cloud Computing, die jede für sich genommen Ausgangspunkt eines Fragenkatalogs an einen Cloud-Anbieter sein können und sollten.

4. Mit welcher Verfügbarkeit kann ich rechnen?

Grundsätzlich unterliegen Verfügbarkeitsanforderungen der Einschätzung des Cloud-Nutzers und sind Gegenstand vertraglicher Vereinbarungen. Aus sicherheitstechnischer Perspektive nicht unterschätzen sollte man aber den Ausfall oder die Störung vorhandener Sicherheitsmaßnahmen wie

  • die sichere Identifikation und Authentisierung von Mandanten und Nutzern,
  • die sichere Segmentierung virtueller und physikalischer Ressourcen,
  • den Schutz der Kommunikation und Datenträger,
  • ein zuverlässiges Sicherheitsmonitoring und Reaktionsverhalten auf sicherheitskritische Ereignisse.

5. Welcher Aufwand entsteht bei einem Wechsel des Dienstleisters?

Ein Wechsel des Cloud-Anbieters kann verschiedene Gründe haben: die Verletzung vertraglicher Vereinbarungen, unzureichende Sicherheitsvorkehrungen oder die Aufgabe der Geschäftstätigkeit. Technisch geht es dabei um die Frage, ob die allokierte Dienstleistung auf unterschiedlichen Cloud-Plattformen lauffähig ist.

Das betrifft nicht nur Anwendungen, sondern auch die Nutzung virtueller Maschinen oder die Konfiguration von Komponenten zur Entdeckung und Reaktion auf sicherheitskritische Ereignisse.

Das Eckpunktepapier des BSI macht beispielsweise darauf aufmerksam, dass bei Amazon sowohl die API zur Steuerung der Cloud­Dienste als auch das Format der virtuellen Images proprietär ist.

Bis hier sind mögliche Antworten Ergebnis einer mehr oder minder vollständigen Dokumentenlage und liefern noch keine belastbaren Informationen darüber, dass auch gut entworfene und implementierte Cloud-Systeme im operativen Betrieb tatsächlich zuverlässig und sicher arbeiten. Darum sollten auch die folgenden Fragen eine wichtige Rolle spielen.

6. Welche Kontrollmöglichkeiten habe ich über den aktuellen Betriebszustand?

Angesichts des befürchteten Kontrollverlustes im Cloud Computing ist es umso wichtiger, zu ergründen, ob der Cloud-Anbieter bereit und fähig ist, dem Nutzer aktuelle Informationen darüber zu geben, ob sich das System wie vereinbart und erwartet tatsächlich verhält. Technisch ist das heute schon mit dem sogenannten Cloud Trust Protocol (CTP) möglich. Das CTP ist ein asynchrones, XML-basiertes Kommunikationsprotokoll, mit dem Informationen über die aktuelle Konfiguration, erfolgte Zugriffe oder operativen Status des Cloud-Dienstes, wie zum Beispiel den aktuellen geographischen Standort der Verarbeitung oder Speicherung von Daten, abgefragt werden können.

Auf der nächsten Seite erfahren Sie, wie sich eigene Anpassungen der Kontrolle und Steuerung von Cloud-Diensten vornehmen lassen.

Artikelfiles und Artikellinks

(ID:43504673)