Seite
weiterempfehlen Seite Drucken
Sicherheitsaspekte von Cloud-Computing
Der Begriff Cloud Computing ist in aller Munde. Gemeint ist damit die Möglichkeit, dass ein Nutzer sich mit seinem Endgerät (PC, Smartphone, usw.) über ein Netzwerk (beispielsweise das Internet oder ein Intranet) bei einem Anbieter anmelden kann, um bestimmte IT-Dienstleistungen, wie Software oder Datenspeicher über den Anbieter zu beziehen. So muss nicht mehr die komplette IT-Infrastruktur auf dem eigenen Rechner installiert werden, sondern einzelne Leistungen können flexibel über das Netzwerk angefordert werden können. IT-Dienstleistungen können so auf die Bedürfnisse und Nutzungsintensiät der einzelnen Kunden zugeschnitten werden und sind zudem ortsunabhängig. Neben einer Grundgebührt für die Nutzung von Cloud Computing werden die Kosten für den Service nach den tatsächlich erbrachten Leistungen abgerechnet.
Hinter dem Begriff Cloud Computing verbergen sich verschiedene Arten von Dienstleistungen. Frei nach dem Motto "Alles kann, nichts muss" können nur einzelne Software-Komponenten oder ganze IT-Infrastrukturen in die Wolke ausgelagert werden. Allgemein wird zwischen drei Servicemodellen des Cloud Computing unterschieden:
Software-as-a-Service (SaaS)
Die Software wird in die Wolke ausgelagert bzw. vom Cloud-Service-Anbieter über das Netzwerk zur Verfüfung gestellt. Bekannte Beispiele sind im privaten Bereich kostenlose Webmail-Services wie Google Mail, im unternehmerischen Umfeld ist die Nutzung von CRM-Lösungen über einen Cloud-Service-Anbieter weit verbreitet. Die verfügbaren Anwendungen sind häufig in hohem Maße standardisiert, können aber häufig auch an Kundenwünsche angepasst werden. Der Vorteil liegt darin, dass Kunden selbst keine Lizenzen kaufen müssen und keine Software mehr selbst installieren müssen. Auch die regelmäßige Installation von Software-Updates entfällt. Über die Cloud greifen die Nutzer immer auf eine aktuelle Software-Version zu.
Platform-as-a-Service (PaaS)
Hier werden vom Anbieter ganze Arbeitsumgebungen zur Verfügung gestellt. Die Wartung und Pflege der Plattformen werden vom Cloud-Service-Provider übernommen, die Kunden verwalten die Anwendung der Plattformen und können hierüber bspw. eigene Applikationen entwickeln. Die Vorteile bestehen darin, dass die Kunden sehr kurzfristig komplexe Entwicklungsumgebungen nutzen können, ohne diese selbst installieren zu müssen. Zudem können mehrere Programmierer von unterschiedlichen Orten aus gemeinsam an einem Projekt arbeiten.
Infrastructure-as-a-Service (IaaS)
Unter Infrastructure-as-a-Service werden ganze IT-Infrastrukturkomponenten wie bspw. Speicherkapazitäten, Client-Infrastrukturen oder ganze Rechnerumgebungen über das Netzwerk bezogen. So können Unternehmen ihre IT-Infrastruktur flexibel an den tatsächlichen Bedarf anpassen und die Anschaffung von teurer Hard- und Software entfällt.
Zudem können Cloud-Services auf unterschiedliche Arten genutzt werden. Es wird im Wesentlichen zwischen zwei Anwendungsmodellen unterschieden: Bei einer Private Cloud handelt es sich um ein geschlossenes Netzwerk von IT-Ressourcen, das exklusiv für ein Unternehmen zugänglich ist, bspw. die Bereitstellung einer zentralen IT für Betriebe eines Unternehmens an unterschiedlichen Standorten. Bei einer Public Cloud greifen mehrere Kunden, also auch mehrere Unternehmen, auf die gleichen IT-Ressourcen zu, die durch einen externen Service-Provider bereitgestellt werden. Die Unternehmen greifen über das Internet auf die IT-Dienstleistungen zu. Eine Mischung aus diesen beiden Anwendungsmodellen ist die Hybride Cloud, eine Kobination aus Private und Public Cloud. Beisipelsweise wird für den normalen Geschäsftsbetrieb eine Private Cloud genutzt, bei Auslastungsspitzen findet dann eine Erweiterung der Kapazitäten über die Nutzung einer Public Cloud statt.
Hard- und Software veralten heutzutage recht schnell. Die Installation und regelmäßige Aktualisierung neuer Hard- und Software ist aber häufig mit einem hohen Zeitaufwand und ebenfalls hohen Investitionskosten verbunden. Gerade KMU verfügen häufig nicht über die notwendigen personellen und finanziellen Ressourcen um ihre Hard- uns Software jederzeit auf dem neuesten Stand zu halten. Genau an diesem Punkt kommt das Konzept „Cloud Computing" ins Spiel: Anstatt diese Arbeiten durch jeden einzelnen Anwender durchführen zu lassen, übernimmt der Cloud-Service-Anbieter die Wartung und Pflege der in Anspruch genommenen Dienste. So haben die Nutzer einfachen Zugriff auf regelmäßig aktualisierte Rechenleistungen, Speichermedien und Anwendungsprogramme und können effizienter arbeiten. Ein weiterer Vorteil von Cloud Computing liegt in der hohen Flexibilität , die durch eine individuelle Skalierbarkeit von Cloud-Diensten erreicht wird. Die IT-Infrastruktur muss normalerweise immer so aufgebaut sein, dass die Kapazitäten auch bei Auslastungsspitzen noch ausreichen, um einen reibungslosen Arbeitsablauf zu gewährleisten. Dies bedeutet aber auch, dass die Kapazitäten die meiste Zeit über nicht ausgelastet sind. Cloud Computing ermöglicht es nun, die Kapazitäten flexibel an den tatsächlichen Bedarf anzupassen. Cloud Computing ermöglicht es außerdem, ortsunabhängig auf Daten zuzugreifen. So müssen bei einer Dienstreise nicht mehr Daten auf USB-Sticks oder anderen mobilen Endgeräten transportiert und damit einem Sicherheitsrisiko ausgesetzt werden, die Daten lassen sich nun jederzeit und vor allem überall über das Internet abrufen. Zudem sind die Daten bei einem Verlust oder Schaden an mobilen Endgeräten nicht verloren, sondern in der Cloud noch vorhanden.
Bei einer Auslagerung von Hard- und Software insbesondere in eine Public Cloud stellt sich allerdings unweigerlich die Frage, wie sicher dieses Konzept wirklich ist. Laut einer PwC-Umfrage anlässlich der Cebit 2011 nutzt erst jedes zehnte mittelstänsiche Unternehmen IT-Kapazitäten, die durch einen externen Service-Provider zur Verfügung gestellt werden. 70 Prozent der Nichtnutzer nennen Sicherheitsbedenken als Grund für die Nichtnutzung und 34 Prozent der Nutzer fürchten eine nicht ausreichende Datensicherheit bei der Nutzung. Auch die Cloud-Service-Anbieter sehen die Informationssicherheit als wesentlichen Erfolgsfaktor für die Kundenzufriedenheit und 60 Prozent der Anbieter sehen Datenschutz- und Compliance-Anforderungen als große Herausforderung. Für viele Unternehmen liegt ein Problem darin, die Verantwortung für die Sicherheit von Daten zu übernehmen, die sie nicht selbst verwalten. Zudem müssen die Unternehmen nach dem Bundesdatenschutzgesetz auch bei Nutzung von Cloud-Services jederzeit Auskunft darüber geben können, wo die Daten gespeichert sind. Besondere Vorsicht ist bei der Verarbeitung personenbezogener Daten, wie die der Mitarbeiter oder Kunden, geboten - die Gewährleistung eines ausreichenden Datenschutzes muss höchste Priorität haben.
Doch auch wenn die Sicherheitsvorkehrungen bei der Datenspeicherung hoch sind, stellt sich für viele Unternehmen die Frage, was im Falle einer Internetstörung oder bei Problemen des Providers geschieht. Nehmen Unternehmen die Angebote in Anspruch und nutzen die Software über das Internet, ist das gesamte Unternehmensgeschehen abhängig von der Funktion des Providers und des Internets. Eine Störung der Internetverbindung kann für das Unternehmen einen kompletten Stillstand des Arbeitsprozesses zur Folge haben. Zudem liegt es in der Verantwortung des Nutzers zu prüfen, ob die Daten bei dem gewählten Service-Provider sicher aufgehoben sind. Mindestens die drei folgenden Anforderungen sollte ein Anbieter erfüllen:
- Vertraulichkeit - Nur befugte Personen oder Dienste haben Zugriff auf die gespeicherten Daten.
- Integrität- Eingriffe in das System müssen offensichtlich sein und können nicht unbemerkt vorgenommen werden.
- Verfügbarkeit - Sämtliche Informationen, Systeme und Netze müssen bei einem Zugriff in einem definierten Zeitraum verfügbar sein.
Bei der Datenspeicherung über einen Cloud-Anbieter sollten alle Daten sowohl bei der Eingabe als auch bei der Speicherung verschlüsselt werden, so dass auch im Notfall die Daten sicher abgelegt sind und keine Gefahr des Datenverlustes droht. Bei manchen Cloud-Anbietern können die Nutzer die Sicherheitseinstellungen zudem nach den eigenen Bedürfnissen konfigurieren. So können sie beispielsweise selbst festlegen, wer auf die Daten zugreifen darf oder den Zugriff auf unternehmenseigene IP-Adressen beschränken.
Durch das Konzept Cloud Computing werden Software und Rechenleistung zu einer Dienstleistung.
Damit das System schlussendlich überzeugen kann, müssen sicherlich noch Sicherheit und Stabilität des Systems wachsen. Bei angemessenem Sicherheitsbewusstsein kann Clouding-Computing vielen Unternehmen eine große Last abnehmen, da es für manch kleines oder mitteleres Unternehmen schwer ist, die gesamten Daten selber zu handhaben. Wichtig ist, dass die Interessenten, bevor sie sich für die Nutzung eines Cloud-Service-Anbieters entscheiden, vertraglich ausmachen, wie der Anbieter mit denen ihm anvertrauten Daten umgeht. Dies ist besonders wichtig in Hinblick auf ein fehlendes europaweites Datenschutzgesetz. Für Cloud-Computing-Anbieter besteht die Möglichkeit, sich vom TÜV auf „geprüften Datenschutz" zertifizieren zu lassen. Dies würde sicherlich neben einem überzeugenden Notfallmanagement dazu beitragen, das Vertrauen von potentiellen Cloud-Computing-Services zu gewinnen und den Anforderungen und Ansprüchen der Nutzer gerecht zu werden.
Quellen:
- PROZEUS-Leitfaden: Cloud-Computing - Einsatz und Nutzen für kleine und mittlere Unternehmen, http://www.prozeus.de/imperia/md/content/prozeus/broschueren/prozeus_broschuere_cloudcomputing_web.pdf
- http://www.pwc.de/de/pressemitteilungen/2011/skeptischer-blick-auf-die-wolke-cloud-computing-ueberzeugt-mittelstand-noch-nicht.jhtml
- PwC: Cloud Computing - Navigation in der Wolke, 2011. http://www.pwc.de/de_DE/de/prozessoptimierung/assets/Cloud_Computing_deutsch.pdf
