Risiken von Cloud-Diensten: Vorurteile helfen nicht weiter

Die Auslagerung der Erbringung von ICT-Diensten ist im Zuge der Globalisierung und des stetigen Optimierungs- und Innovationsdrucks weit fortgeschritten. Bei bisherigen Outsourcing-Modellen stand allerdings eher die Übergabe oder die Migration von bereits vorhandenen Entwicklungs-, Betriebs- und Wartungsleistungen inklusive Personal und ICT-Infrastrukturen an externe Diensterbringer im Zentrum des Servicemodells. Durch das Angebot von Cloud-basierten Dienstleistungen entsteht dagegen ein neues Auslagerungsmodell, welches auf der Nutzung einer technologisch wesentlich stärker standardisierten, dafür jedoch weitgehend dynamischen, orts- und umgebungsunabhängigen Infrastruktur und Diensterbringung aufbaut.

In diesem Szenario entstehen neue Fragestellungen nach der Definition, Erbringung und Überprüfbarkeit von Risiko- und Sicherheitsleistungen, um das bislang erreichte Schutzni¬veau auch in einem Dienstmodell beibehalten zu können, welches die Grenzen der klassischen Informationssicherheit bezüglich Kontrolle über die Sicherheitsanforderungen und deren Überwachung und Überprüfung deutlich überschreitet.

Clouds und cloud-basierte Dienste

Clouds sind als meist massiv parallele und verteilte Systeme definiert, welche aus einer An-sammlung miteinander vernetzter und oft virtualisierter Computer bestehen. Diese Computer werden dynamisch verwaltet und zugeteilt, erscheinen den Benutzern gegenüber jedoch als vereinheitlichter Service. Die Nutzung basiert auf zuvor ausgehandelten Service Level Agreements und der zugehörigen, meist nutzungsabhängigen Tarifierung und Abrechnung.

Cloud Dienste basieren auf der grundsätzlichen Annahme, dass die ICT-Infrastruktur – Netzwerke und deren Komponenten, Server und deren Basisdienste (Speicher, Rechenleistung) – aber gegebenenfalls auch standardisierte Dienstleistungen wie E-Mail, Web-basierte Anwendun¬gen inklusive der nötigen Datenbewirtschaftung und so weiter, innerhalb einer für den Kunden nicht differenzierbaren „Wolke“ gemäss einem definierten Service Level angeboten werden.

Das Geschäftsmodell eines solchen Cloud-Angebots basiert also einerseits auf einer sehr starken „Economy of Scale“ mit möglichst vielen Nutzern, welche die Betriebs-, Ausbau- und Erneuerungskosten der Cloud finanzieren, andererseits auf der starken Standardisierung der Dienste in der Cloud, um die Komplexität der Cloud zu beschränken und damit entsprechende Risiken zu minimieren. Damit steht es im deutlichen Gegensatz zur Übernahme von „Legacy“-Systemen in vielen klassischen Outsourcing-Ansätzen.

Cloud Dienste werden heute gemäss einer Hierarchie des Dienstangebots klassifiziert:

1. Infrastructure as a Service (IaaS): Infrastruktur-Anbieter stellen eine grosse Menge von ICT-Ressourcen zur Verfügung (Sekundärspeicher, Rechenleistung usw.). Durch Virtualisierung können diese Ressourcen Nutzern dynamisch zugeordnet werden und können die jeweiligen Benutzerbedürfnisse zeitnah (und gegebenenfalls kostengünstig, je nach Abrechnung und Tarifmodell, zum Beispiel mit einem Sockelbeitrag plus „pay per use“) abdecken. Gleichzeitig erlaubt dies dem Anbieter auch ein „Overbooking“ der verfügbaren Ressourcen – also die Befriedigung von Benutzerbedürfnissen, deren Summe die Kapazität der Ressourcen eigentlich übersteigt. Bei IaaS muss der Benutzer „seinen“ Software-Stack selbst erstellen, ausrollen, verwalten und betreiben.
2. Platform as a Service (PaaS): Anstelle einer virtualisierten Infrastruktur wird auch die Software-Plattform (Betriebssystem und zugehörige Middleware-Komponenten) als Service zur Verfügung gestellt. Die darunterliegende optimale Zuteilung der Hardware und sonstigen Betriebsmittel geschieht für den Benutzer transparent.
3. Software as a Service (SaaS): In diesem Szenario wird auch die Anwendungssoftware als verwalteter und abrechenbarer Dienst zur Verfügung gestellt. Die darunterliegende Plattform und technische Infrastruktur und deren Zuteilung bleiben vor dem Benutzer verborgen.

Erste Cloud-Ansätze entstanden typischerweise im Umfeld von sehr grossen Technologienutzern und Serviceanbietern, die an einer Zusatzfinanzierung ihrer internen Über- oder „Peak“-Kapazität durch das Angebot einfacher Cloud-basierter Dienste (typischerweise Ablage von Dateien, E-Mail oder ähnliche Dienste) interessiert waren. Durch den Sprung zu „Software-as-a-Service“ und die Bereitstellung meist webbasierter Entwick¬lungs- und Betriebsumgebungen in der Cloud können nun jedoch Geschäftsmodelle für das Angebot von komplexen Applikationen entwickelt und umgesetzt werden, welche den kommerziellen Aufbau und Betrieb von Cloud Diensten ohne Querfinanzierung erlauben.

Das Marktforschungsunternehmen IDC prognostiziert, dass Cloud Services ein stark wachsendes Marktpotenzial haben, da Firmen durch die Nutzung von Clouds ihre Infrastruktur- und Betriebskosten sowie die Kosten für die Sicherung, Pflege, Modernisierung, Leistungssteigerung und so weiter einsparen beziehungsweise von einem Fixkosten-Modell auf ein „pay per use“-Modell umstellen können. IDC erwartet weltweit eine Steigerung von circa 16 Milliarden Dollar im Jahr 2008 auf etwa 42 Milliarden Dollar im Jahr 2012. Zudem wird angenommen, dass 2012 etwa 25 Prozent der Kosten für Informatik einer Unternehmung auf die Nutzung von Cloud Services entfallen.

Treiber für Clouds sind also die Reduktion von Komplexität und Fixkosten für den Kunden, mögliche brem¬sende Faktoren sind die Kontrolle/Abhängigkeit von Fremdanbietern (ggf. im Ausland oder mit variablem Ort der Diensterbringung), die Kontrolle der Einhaltung von Dienst- und Qualitätsgarantien, die Aufrechterhaltung der IT-Sicherheit und des Daten-schutzes, die Verfügbarkeit, Qualität und Bezahlbarkeit der nötigen Kapazität sowie die ggf. mangelnde Trans¬parenz der Leistungserbringung und kundenspezifischen Dienstabrechnung.

Implikationen für Informationssicherheit und Risikomanagement

Viele etablierte Elemente der Informationssicherheit und des ICT-Risiko-Managements bei der Auslagerung von Diensten gründen auf der Annahme, dass die relevanten Betriebs- und Kontrollparameter beziehungsweise deren Governance unter der Kontrolle des Auftraggebers verbleiben, während die Umsetzung durchaus auf dem Einsatz von Fremdleistungen basieren kann. Die Einhaltung der Vorgaben für Informationssicherheit und Datenschutz war bereits in traditionellen Auslagerungsmodellen komplex und mit erheblichem Aufwand verbunden. Die Kontrolle der Einhaltung entsprechender Vorgaben in Cloud-basierten Modellen schafft zusätzliche Schwierigkeiten. Sie müssen in die Gesamtrisikobetrachtung bei der Nutzung von Cloud-Diensten prominent einfliessen. Im Folgenden werden typische Problemfelder exemplarisch und ohne Anspruch auf Vollständigkeit diskutiert.

1. Es gibt keine Kontrolle über den Ort der Diensterbringung (inklusive Transitorte und Netze) und deren Sicherheitsdispositive (von physischem Schutz und Zugangskontrollen bis hin zu den jeweils geltenden betrieblichen IT-Sicherheitskonzepten, Zertifikaten etc) – eine eigentliche „due dilligence“ pro betrieblichem Standort und Land ist in einer breit verteilten, dynamischen Cloud also nicht mehr möglich.
2. Die Frage der dynamisch grenzüberschreitenden Funktionalität gegenüber einer immer noch stark nationalen oder regionalen Gesetzgebung hat direkte Konsequenzen auf die Auswahl eines Cloud-Angebots. In der Schweiz sind zum Beispiel im Gegensatz zu anderen Ländern nicht nur Personendaten, sondern auch Unternehmensdaten geschützt. Auch E-Mails sind in diesem Sinne Personendaten, die dem Datenschutz unterstehen – eine Bekanntgabe ins Ausland kann nur dann erfolgen, wenn am Speicher- oder Aufbewahrungsort ein äquivalentes Datenschutzrecht gilt – bei einer jederzeit ortsveränderlichen Diensterbringung ist diese Überprüfung aufwändig, wenn nicht gar unmöglich.
3. Die Kontrolle über das in einen Cloud Service eingebrachte geistige Eigentum (zum Beispiel Kundendaten, Herstellungs- oder Berechnungsverfahren etc.) verlangt in gemeinsam von mehreren Kunden genutzten Plattformen und Applikationen besondere Aufmerksamkeit. Insbesondere müssen die Betriebsprozesse in der Cloud gewährleisten, dass keine Verwechslung, Durchmischung oder ein nicht beabsichtigter Abgleich von Daten erfolgt (zum Beispiel in nicht strikt mandantenfähig ausgelegten Applikationen).
4. Eine auf allgemeine Nutzung ausgelegte Cloud wird in aller Regel auch nur allgemein definierte und implementierte Sicherheitseinrichtungen aufweisen – die zugehörigen Service Agreements sind im gleichem Sinne stark standardisiert und decken die Bereiche Informationssicherheit, Risikomanagement, Betrieb im Krisenfall etc. nur in sehr generischer Form ab. Dementsprechend entstehen für spezifische zusätzliche Sicherheitsanforderungen hohe Zusatzkosten, die in der Regel nicht auf alle anderen Nutzer der Cloud umgelegt werden können, sofern der Cloud Betreiber überhaupt zur Einrichtung zusätzlicher, kundenspezifischer Sicherheitsmerkmale bereit ist.
5. Die Überwachung des Zustands der Informationssicherheit und der operationellen Risiken in kundeneigenen Security-Information-Management-Umgebungen ist meist nicht Bestandteil der Dienstleistung – entsprechende Reporting-Schnittstellen müssen daher spezifisch definiert und bewirtschaftet werden, sofern die der Cloud unterliegende Infrastruktur diese Daten mandantenfähig und kundenspezifisch trennen und aufbereiten beziehungsweise liefern kann. Das bisher eher feinkörnige Sicherheits- und Risikomanagement, basierend auf kundenspezifischen „Key Performance Indicators“, steht in dieser Form als Führungs- und Entscheidungsunterstützungswerkzeug nicht mehr zur Verfügung.
6. Die Abhängigkeitskette bezüglich End-zu-End-Verfügbarkeit wird nicht nur länger, sondern für den Kunden durch die starke Dynamik der Diensterbringung (Virtualisierung, Ortsveränderlichkeit usw.) auch intransparenter. Dies muss insbesondere in der Szenarienplanung für die Betriebsweiterführung im Not- und Krisenfall berücksichtigt werden. Da jedoch Cloud Services durch ihre Ausrichtung auf ein standardisiertes Dienstangebot und standardisierte Technologiekomponenten weniger komplex sind als die klassischen Outsourcing-Modelle inklusive dem Betrieb bestehender Legacy-Umgebungen, ist es denkbar, dass sich diese beiden Effekte bezüglich Gesamtrisiko und Aufwand beim Kunden gegenseitig neutralisieren.
7. Große kommerzielle Cloud Services sind ein Primärziel für Angreifer, wobei die Palette der Motivationen von der Erpressung des Serviceanbieters durch „Denial-of-Service“ Angriffe bis hin zum „Mitlesen“ und zum Datendiebstahl, gegebenenfalls schon in der Grauzone der Nachrichtendienste (Terrorismusbekämpfung, Geldwäsche, Stärkung des eigenen Wirtschaftsstandortes, …) oder der informationellen Kriegsführung reicht. Ein zusätzliches Problem entsteht durch den grossen Kreis der Betroffenen: In einer zwischen allen Kunden gemeinsam genutzten Infrastruktur und Applikationslandschaft leiden alle Kunden unter einem Angriff, auch wenn nur ein Einzelner angegriffen werden sollte.

Auswirkung auf Rechenzentrumsbetreiber

Auch auf die Betreiber von klassischen Rechenzentren kommen in diesem Kontext neue Anforderungen zu – Anbieter von Cloud-basierten Diensten, welche in kommerziellen Rechenzentren eingemietet sind, werden vermehrt Sicherheitsfragen von Endkunden an den RZ-Betreiber zur Beantwortung weiterleiten. Aus momentaner Sicht werden folgende Fragen von Endkunden besonders häufig gestellt:

1. Gibt es ein dokumentiertes Sicherheitskonzept für den Betrieb der ICT-Infrastruktur und wie wird mit spezifischen Zusatzanforderungen von Kunden umgegangen?
2. Wie erfolgt die physische und logische Kundenseparierung im Data Center? Werden Hardware und andere Betriebsmittel der IT zwischen Kundenumgebungen geteilt/verschoben?
3. Wie kann die Einhaltung der Sicherheitsrichtlinien durch den/die Kunden regelmässig und audit-fähig geprüft werden?
4. Ist die Chiffrierung von Daten ein zentraler Service des Data-Center-Anbieters, oder muss dies kundenspezifisch einzeln implementiert werden?
5. Wie werden Zugriffe durch hochprivilegierte Administratoren reglementiert – gibt es dafür ein stringentes Modell für den Rollen- und Zugriffsschutz?
6. Kann das Data Center sicherstellen, dass einmal gelöschte Daten auch auf allen operativen Backups etc. zuverlässig und permanent gelöscht werden?
7. Wie wird mit plötzlichen/ungeplanten ICT-Lastveränderungen umgegangen? Gilt das Lastmodell der Cloud auch für geografisch verteilte Data-Center-Standorte?
8. Kann sichergestellt werden, dass alle Daten, Zugriffe usw. entfernt werden, wenn ein Kunde ein Data Center beziehungsweise den Provider verlässt?
9. Gibt es technische oder organisatorische Vorkehrungen, um hohe Spitzenlasten von „Denial-of-Service“-Angriffen zu unterscheiden?

Schlussfolgerungen und weiterführende Hinweise

Die oben aufgeführte Listen von Sicherheits- und Risiko-Management-Fragen kann zu dem Schluss führen, dass die Nutzung cloud-basierter Angebote generell nicht angezeigt ist. Dieser Haltung stehen jedoch die möglichen Einsparungen und Skaleneffekte gegenüber, die in einer Risiko-Gewinn- und Verlustrechnung zu berücksichtigen sind. Jedoch müssen die Aspekte der rechtlichen und regulatorischen Rahmenbedingungen und der korrekten Ausübung von Governance- und Compliance-Vorgaben bei Cloud-basierten Services sehr sorgfältig und unter Beizug aller betroffenen Instanzen vor einem allfälligen Servicebezug abgeklärt werden.

Ein möglicher Startpunkt für diese Abklärung aus Sicht der IT kann die „Security Guidance for Critical Areas of Cloud Computing“ (PDF) der „Cloud Security Alliance“ sein, welche seit November 2011 in der aktualisierten Fassung 3.0 vorliegt. Dieses Dokument spezifiziert die Sicherheitsanforderungen an Cloud-Computing-Umgebungen anhand von 13 Arbeitsbereichen, aufgeteilt nach aufsichtsbezogenen und eher betrieblich orientierten Themen.

Für jeden dieser Arbeitsbereiche werden generische Empfehlungen bezüglich Umsetzung in cloud-basierten Umgebungen gemacht, welche die Grundlage für die Spezifikation von Kundenanforderungen bezüglich Informationssicherheit bilden können. Eine Abbildung auf die bislang dominierenden Standards und „Best Practices“ für Informationssicherheit (insbesondere ISO2700x und CoBIT) steht jedoch noch aus. Ebenso fehlen konkrete Nutzungs- und Umsetzungserfahrungen aus dem Betrieb, so dass potenzielle Kunden auch weiterhin gemäss ihrem jeweiligen Risikoprofil zu entscheiden haben, ob sie bezüglich cloud-basierten Diensten als „early adaptor“ oder doch eher als „late follower“ agieren wollen.

Tipp: Sind Sie ein Fachmann in Sachen Cloud Computing? Testen Sie Ihr Wissen – mit dem Quiz auf silicon.de.