Die Auslagerung der Erbringung von ICT-Diensten ist im Zuge der Globalisierung und des stetigen Optimierungs- und Innovationsdrucks weit fortgeschritten. Bei bisherigen Outsourcing-Modellen stand allerdings eher die Übergabe oder die Migration von bereits vorhandenen Entwicklungs-, Betriebs- und Wartungsleistungen inklusive Personal und ICT-Infrastrukturen an externe Diensterbringer im Zentrum des Servicemodells. Durch das Angebot von Cloud-basierten Dienstleistungen entsteht dagegen ein neues Auslagerungsmodell, welches auf der Nutzung einer technologisch wesentlich stärker standardisierten, dafür jedoch weitgehend dynamischen, orts- und umgebungsunabhängigen Infrastruktur und Diensterbringung aufbaut.
In diesem Szenario entstehen neue Fragestellungen nach der Definition, Erbringung und Überprüfbarkeit von Risiko- und Sicherheitsleistungen, um das bislang erreichte Schutzni¬veau auch in einem Dienstmodell beibehalten zu können, welches die Grenzen der klassischen Informationssicherheit bezüglich Kontrolle über die Sicherheitsanforderungen und deren Überwachung und Überprüfung deutlich überschreitet.
Clouds und cloud-basierte Dienste
Clouds sind als meist massiv parallele und verteilte Systeme definiert, welche aus einer An-sammlung miteinander vernetzter und oft virtualisierter Computer bestehen. Diese Computer werden dynamisch verwaltet und zugeteilt, erscheinen den Benutzern gegenüber jedoch als vereinheitlichter Service. Die Nutzung basiert auf zuvor ausgehandelten Service Level Agreements und der zugehörigen, meist nutzungsabhängigen Tarifierung und Abrechnung.
Cloud Dienste basieren auf der grundsätzlichen Annahme, dass die ICT-Infrastruktur – Netzwerke und deren Komponenten, Server und deren Basisdienste (Speicher, Rechenleistung) – aber gegebenenfalls auch standardisierte Dienstleistungen wie E-Mail, Web-basierte Anwendun¬gen inklusive der nötigen Datenbewirtschaftung und so weiter, innerhalb einer für den Kunden nicht differenzierbaren „Wolke“ gemäss einem definierten Service Level angeboten werden.
Das Geschäftsmodell eines solchen Cloud-Angebots basiert also einerseits auf einer sehr starken „Economy of Scale“ mit möglichst vielen Nutzern, welche die Betriebs-, Ausbau- und Erneuerungskosten der Cloud finanzieren, andererseits auf der starken Standardisierung der Dienste in der Cloud, um die Komplexität der Cloud zu beschränken und damit entsprechende Risiken zu minimieren. Damit steht es im deutlichen Gegensatz zur Übernahme von „Legacy“-Systemen in vielen klassischen Outsourcing-Ansätzen.
Cloud Dienste werden heute gemäss einer Hierarchie des Dienstangebots klassifiziert:
Erste Cloud-Ansätze entstanden typischerweise im Umfeld von sehr grossen Technologienutzern und Serviceanbietern, die an einer Zusatzfinanzierung ihrer internen Über- oder „Peak“-Kapazität durch das Angebot einfacher Cloud-basierter Dienste (typischerweise Ablage von Dateien, E-Mail oder ähnliche Dienste) interessiert waren. Durch den Sprung zu „Software-as-a-Service“ und die Bereitstellung meist webbasierter Entwick¬lungs- und Betriebsumgebungen in der Cloud können nun jedoch Geschäftsmodelle für das Angebot von komplexen Applikationen entwickelt und umgesetzt werden, welche den kommerziellen Aufbau und Betrieb von Cloud Diensten ohne Querfinanzierung erlauben.
Das Marktforschungsunternehmen IDC prognostiziert, dass Cloud Services ein stark wachsendes Marktpotenzial haben, da Firmen durch die Nutzung von Clouds ihre Infrastruktur- und Betriebskosten sowie die Kosten für die Sicherung, Pflege, Modernisierung, Leistungssteigerung und so weiter einsparen beziehungsweise von einem Fixkosten-Modell auf ein „pay per use“-Modell umstellen können. IDC erwartet weltweit eine Steigerung von circa 16 Milliarden Dollar im Jahr 2008 auf etwa 42 Milliarden Dollar im Jahr 2012. Zudem wird angenommen, dass 2012 etwa 25 Prozent der Kosten für Informatik einer Unternehmung auf die Nutzung von Cloud Services entfallen.
Treiber für Clouds sind also die Reduktion von Komplexität und Fixkosten für den Kunden, mögliche brem¬sende Faktoren sind die Kontrolle/Abhängigkeit von Fremdanbietern (ggf. im Ausland oder mit variablem Ort der Diensterbringung), die Kontrolle der Einhaltung von Dienst- und Qualitätsgarantien, die Aufrechterhaltung der IT-Sicherheit und des Daten-schutzes, die Verfügbarkeit, Qualität und Bezahlbarkeit der nötigen Kapazität sowie die ggf. mangelnde Trans¬parenz der Leistungserbringung und kundenspezifischen Dienstabrechnung.
Implikationen für Informationssicherheit und Risikomanagement
Viele etablierte Elemente der Informationssicherheit und des ICT-Risiko-Managements bei der Auslagerung von Diensten gründen auf der Annahme, dass die relevanten Betriebs- und Kontrollparameter beziehungsweise deren Governance unter der Kontrolle des Auftraggebers verbleiben, während die Umsetzung durchaus auf dem Einsatz von Fremdleistungen basieren kann. Die Einhaltung der Vorgaben für Informationssicherheit und Datenschutz war bereits in traditionellen Auslagerungsmodellen komplex und mit erheblichem Aufwand verbunden. Die Kontrolle der Einhaltung entsprechender Vorgaben in Cloud-basierten Modellen schafft zusätzliche Schwierigkeiten. Sie müssen in die Gesamtrisikobetrachtung bei der Nutzung von Cloud-Diensten prominent einfliessen. Im Folgenden werden typische Problemfelder exemplarisch und ohne Anspruch auf Vollständigkeit diskutiert.
Auswirkung auf Rechenzentrumsbetreiber
Auch auf die Betreiber von klassischen Rechenzentren kommen in diesem Kontext neue Anforderungen zu – Anbieter von Cloud-basierten Diensten, welche in kommerziellen Rechenzentren eingemietet sind, werden vermehrt Sicherheitsfragen von Endkunden an den RZ-Betreiber zur Beantwortung weiterleiten. Aus momentaner Sicht werden folgende Fragen von Endkunden besonders häufig gestellt:
Schlussfolgerungen und weiterführende Hinweise
Die oben aufgeführte Listen von Sicherheits- und Risiko-Management-Fragen kann zu dem Schluss führen, dass die Nutzung cloud-basierter Angebote generell nicht angezeigt ist. Dieser Haltung stehen jedoch die möglichen Einsparungen und Skaleneffekte gegenüber, die in einer Risiko-Gewinn- und Verlustrechnung zu berücksichtigen sind. Jedoch müssen die Aspekte der rechtlichen und regulatorischen Rahmenbedingungen und der korrekten Ausübung von Governance- und Compliance-Vorgaben bei Cloud-basierten Services sehr sorgfältig und unter Beizug aller betroffenen Instanzen vor einem allfälligen Servicebezug abgeklärt werden.
Ein möglicher Startpunkt für diese Abklärung aus Sicht der IT kann die „Security Guidance for Critical Areas of Cloud Computing“ (PDF) der „Cloud Security Alliance“ sein, welche seit November 2011 in der aktualisierten Fassung 3.0 vorliegt. Dieses Dokument spezifiziert die Sicherheitsanforderungen an Cloud-Computing-Umgebungen anhand von 13 Arbeitsbereichen, aufgeteilt nach aufsichtsbezogenen und eher betrieblich orientierten Themen.
Für jeden dieser Arbeitsbereiche werden generische Empfehlungen bezüglich Umsetzung in cloud-basierten Umgebungen gemacht, welche die Grundlage für die Spezifikation von Kundenanforderungen bezüglich Informationssicherheit bilden können. Eine Abbildung auf die bislang dominierenden Standards und „Best Practices“ für Informationssicherheit (insbesondere ISO2700x und CoBIT) steht jedoch noch aus. Ebenso fehlen konkrete Nutzungs- und Umsetzungserfahrungen aus dem Betrieb, so dass potenzielle Kunden auch weiterhin gemäss ihrem jeweiligen Risikoprofil zu entscheiden haben, ob sie bezüglich cloud-basierten Diensten als „early adaptor“ oder doch eher als „late follower“ agieren wollen.
... ist Professor am Institut für Mobile und Verteilte Systeme der Hochschule für Technik der Fachhochschule Nordwestschweiz in Windisch. Zuvor war er sieben Jahre Chief Information Security Officer der Privatbank Julius Bär, vier Jahre Principal Consultant und IT Security Strategist für Computer Associates in der Region Zentraleuropa sowie von Mitte 2007 bis Anfang 2009 bei British Telecom Global Services. Insgesamt beschäftigt er sich seit über 20 Jahren mit Betriebssystemen, Netzwerk- und Kooperationstechnologien, IT-Architekturen, Informationssicherheit und Risikomanagement.
Tipp: Sind Sie ein Fachmann in Sachen Cloud Computing? Testen Sie Ihr Wissen – mit dem Quiz auf silicon.de.
Bösartige QR-Codes, die per E-Mail versendet werden, eignen sich sehr gut, um Spam-Filter zu umgehen.
Unsichere Websites und Phishing-Mails in Verbindung mit Black Friday können kauffreudigen Konsumenten zum Verhängnis werden.
Malware SmokeLoader wird weiterhin von Bedrohungsakteuren genutzt, um Payloads über neue C2-Infrastrukturen zu verbreiten.
Bankhaus Metzler und Telekom-Tochter MMS testen, inwieweit Bitcoin-Miner das deutsche Stromnetz stabilisieren könnten.
Mit 1,7 Exaflops ist El Capitan nun der dritte Exascale-Supercomputer weltweit. Deutschland stellt erneut den…
Der deutsche Hyperscaler erweitert sein Server-Portfolio um vier Angebote mit den neuen AMD EPYC 4004…