von Jürgen Brettel und Alexander Tsolkas
Unsere diesjährige Jahreskonferenz, die Expertonale 2012, am 05. Dezember in Frankfurt richtet sich wieder an ICT-Anwender, -Hersteller und -Dienstleister.
Im Laufe der Expertonale werden wir zu unterschiedlichen Themen über Best Practices berichten sowie die Trends für 2013 aufzeigen. Zum Thema Cloud Security wird Alexander Tsolkas, Executive Advisor der Experton Group, vortragen. Lesen Sie hierzu nachfolgend ein Preview.
Cloud Security: Damit die Cloud nicht zum Cumulonimbus wird
Clouds, das weiß auch jeder Pilot, können Löcher haben. Als Pilot ist das ganz praktisch. Fliegt man zum Beispiel über Land über eine geschlossene Wolkendecke und möchte an einem Flugplatz unter den Wolken landen, dann muss man für den Abstieg über dem Platz ein Loch in der Cloud finden, um nicht gegen die Sichtflugregeln zu verstoßen. Löcher in der Cloud sind also sehr praktisch für Piloten.
In der IT-Cloud sind Löcher aber gar nicht so praktisch. Über Löcher in der Cloud berichteten wir schon mehrmals, die gibt es zuhauf. Amazon hatte Löcher in der Cloud, über die sich beispielsweise administrative Tätigkeiten ausüben ließen. Nicht nur Amazon hat Sicherheitsmängel in der Cloud. Cloudme z.B. verschlüsselt keine Daten bei der Übertragung. Andere Provider verwenden für die Verschlüsselung der Übertragung eigene Protokolle anstatt Standards (z.B. SSL). Aber nicht nur der Transport ist oft nicht verschlüsselt oder zu schwach verschlüsselt, auch die Client-seitige Verschlüsselung lässt oft zu wünschen übrig.
Neben technischen Fehlern, Fehlkonfigurationen, veralteten Programmen, unzureichender Absicherung, Least Privilege Error, Non-Industry-Standardsoftware gibt es auch den Punkt “Legal Requirements”. In den USA hat der Datenschutz nicht die gleiche Stellung wie in Europa (Patriot Act). Amerikaner nehmen schon Einsicht in unsere SWIFT-Daten, die heiligste Kuh der Finanzdaten außer Bilanzen. Warum sollten die USA vor anderen Daten halt machen? Übrigens machen das auch europäische Regierungen, z.B. Schweden.
Es existieren Community, Hybrid, Public und Privat Clouds. Darin gibt es IaaS, SaaS und PaaS, auf denen eine Reihe von Services liegen. Das sind die Angriffsziele im Groben. Man kann Cloud Computing aus vielen Blickwinkeln und durch viele Brillen sehen. CFOs tragen die Kostenreduktionsbrille, CIOs die Kompetenz- und Servicebrille, Security-Verantwortliche die Risikenbrille. Aber alle wollen das, worauf die Sicherheit der IT seit vielen Jahren baut: Verfügbarkeit, Vertraulichkeit, Integrität, und Verbindlichkeit. Dabei möchte der CFO die Kosteneffizienz, der CIO die Ressourcenverfügbarkeit, Ausfallsicherheit und Performance, die User wollen Vertrauen, Legal möchte Compliance, und alle bangen um den totalen Kontrollverlust, und ob sie sich mit der Cloud in eine Abhängigkeit stürzen? Wer weiß?
Was kann man gegen die größten Sicherheitsschwachstellen der Cloud tun? Der gute Berater sagt ganz klar “sich gut beraten lassen”. Die verantwortungsvolle Unternehmensleitung muss sich fragen, ob die Cloud wirklich ins Ausland muss? Warum eine Cloud z.B. aus den USA nutzen, wenn man die Cloud auch in der näheren Umgebung haben kann? Die wenigen Euro, die man denkt zu sparen, legt man am Ende mit Sicherheit drauf. Die erste Hürde ist und bleibt die Providerauswahl. Wer sich dafür nicht genügend informiert und interessiert, ist schon zum Scheitern verurteilt. Die Nutzung von Anbieter-Benchmarks ist zu empfehlen.
Wenn ein Cloud Provider seine Sicherheitsfunktionen und -dienste verschleiert, ist das ein Negativkriterium. Sicherheit und Datenschutz müssen transparent sein. Die Verträge müssen klar und leicht verständlich sein. Vertragswerk, das man nach dem zweiten Lesen nicht verstanden hat, versteht man auch nach dem x-ten Mal nicht. Wie viele Kosten investiert der Provider in Sicherheitsmanagement und Datenschutz? Wenn man nachfragt, sollte sofort eine Zahl genannt werden können. Antworten wie: “Wissen wir gerade nicht, müssen mal nachschauen, müssen mal rechnen”, versprechen Ungutes.
Man nehme die Cloud nicht auf die leichte Schulter. Die Qualitätsunterschiede sind immens, obwohl sich die zu vergleichenden Clouds aus der Ferne ähneln. Wenn Unternehmen keine Erfahrung oder kein Personal mit Skill-Sets im Cloud Computing haben und sich für Cloud-Dienstleistungen entscheiden möchten, dann sollte man den Invest in einen Spezialisten nicht scheuen. Guter Rat ist teuer, aber immer noch billiger, als eine Cloud auszuwählen, die nicht ausreichend standardisiert ist, unzureichend geschützt und die gegebenenfalls noch Schwierigkeiten im Datenschutz macht und das Image ruiniert. Auch gibt es viele mangelhafte Beratungen von Unternehmen, die in die Cloud möchten, beim Aufwand der Vorabstandardisierungen (Cloud Ready). Vorsicht ist geboten, dass aus der harmlosen Cloud nicht einmal ein Cumulonimbus (Gewitterwolke) wird!
Weitere Informationen, die Agenda und die Möglichkeit zur Anmeldung zur Expertonale 2012 finden Sie unter diesem Link:
http://www.experton-group.de/expertonale2012.html
Wir freuen uns sehr auf Ihre Teilnahme.