Neue Zweifel an der Sicherheit von Cloud-Angeboten

Auf die Frage, ob Cloud-Angebote firmeninterne Sicherheitslösungen mittelfristig überflüssig machen, kann am besten Symantec eine Antwort geben. Erstens ist das Unternehmen der umsatzstärkste Anbieter in dem Segment, zweitens hat er seit der Übernahme von Messagelabs selbst einer der großen SaaS- und Cloud-Anbieter. War der Messagelabs-Kauf also lediglich der letzte Strohhalm, um das Unternehmen in die neue Zeit zu retten?

Patrick Heinen, Enterprise Technical Account Manager bei Symantec, sieht das natürlich anders. Er liefert aber auch einige gute Gründe für seine Meinung. „Cloud-Angebote müssen bei Firmen erst einmal Akzeptanz finden. Was im Consumer-Umfeld funktioniert und akzeptabel ist, lässt sich nicht ohne weiteres auf Unternehmen übertragen.“ Und für die Akzeptanz sei erst einmal wichtig, dass der schwammige Begriff „Cloud“ besser definiert wird.

Langfristig habe das Konzept aber schon seine attraktiven Seiten, räumt Heinen ein. „Eine Art Thin Client für den Zugriff und der Betrieb der Applikationen in einem zentralen, gut gesicherten Rechenzentrum hat durchaus Vorteile.“ Die Voraussetzungen dafür, stabile und redundante Verbindungen, seien heute aber noch nicht überall gegeben.

Außerdem würden die von Google zugesagten 99,9 Prozent Verfügbarkeit erstens vielen Firmen nicht ausreichen und seien zweitens Augenwischerei. Denn dazu kämen ja noch Ausfälle und Engpässe auf dem Weg zum Rechenzentrum. Insgesamt ergäben sich so Werte, die für viele Unternehmen einfach nicht akzeptabel seien.

Heinens Fazit: Alle Firmenaktivitäten in die Cloud zu verlagern, komme für die meisten Unternehmen nicht in Frage. In Teilbereichen – etwa beim Backup – sehe das dagegen anders aus. Solange aber der wesentliche Teil der Daten zumindest auch innerhalb der Unternehmens-Firewalls bearbeitet und gelagert werde, seien dafür auch Sicherheitslösungen notwendig.

Außerdem habe erst kürzlich der von Google selbst ausgerufene Native Client Security Contest gezeigt, dass auch das vom Suchgiganten präferierte Konzept, möglichst alle Anwendungen im Browser laufen zu lassen, um sie so auch Cloud-fähig zu machen, nicht ohne Sicherheitslücken sei.

Der Gewinner des Wettbewerbs, Mark Dowd, ein Mitarbeiter der zu IBM gehörenden ISS-X-Force-Labs, sieht das allerdings etwas anders: Zwar seien einige Sicherheitslücken gefunden worden, das sei aber normal. Aus seiner Sicht mache jeder Programmierer Fehler. Insgesamt zeigte er sich aber positiv überrascht vom Sicherheitsniveau des Google-Konzepts. Angesichts der kurzen Zeit, die das erst im Dezember 2008 als Forschungsprojekt vorgestellte Native-Client-Konzept entwickelt wird, ist Dowds Aussage als großes Lob zu werten.

Native-Client soll es Computern ermöglichen, Web-Applikationen vom Internet direkt herunterzuladen und dort mit derselben hohen Geschwindigkeit auszuführen wie „native“ Software, die auf dem Rechner installiert ist. Zur Sicherheit untersucht Native Client Anwendungen vor dem Start und blockiert Software, die versucht, bestimmte verbotene Aktionen auszuführen. Akzeptierte Software läuft anschließend in einer Sandbox.

Programmierumgebungen für derzeitige Web-Applikationen, etwa Flash, JavaScript und ActiveX, bieten dagegen nur begrenzte Rechenleistung und bringen eine ganze Reihe eigener Sicherheitslücken mit. Sie sind damit aus der Sicht von Google eine Bremse auf dem Weg zu vollkommen Cloud-basierten Geschäftsmodellen.