ICT & Technik

Datenmanagement – Cloudcomputing – Sicherheit

Auf dem Weg zur sicheren Cloud

Cloud Computing, die Bereitstellung von IT-Infrastruktur als Dienstleistung über das Internet, setzt sich zunehmend durch. Was Unternehmen bislang allerdings davon noch abhält, ist vor allem die Angst vor Datenverlusten oder -diebstählen. Was bei einer Umstellung zu bedenken ist, zeigt dieser Beitrag.
PDF Kaufen

Die Cloud ist der Treiber der digitalen Transformation, nicht nur für die internationalen Konzerne, sondern auch bei den mittelständischen Unternehmen. Der Paradigmenwechsel in der IT, weg vom Server- hin zum Service-Denken, beflügelt die Digitalisierung, und die Vorteile der Cloud werden zu Nachteilen für alle, die diese zukunftsweisende Technologie nicht nutzen. Die Vorbehalte gegenüber der Cloud sind aber vor allem bei kleinen und mittelgros­sen Unternehmen immer noch gross. Die viel genannten Sicherheitsbedenken sind mögliche Datenlecks oder Datenverluste, die Gefahr durch einen Identitäts-, Credential- und Schlüsseldiebstahl oder das Account-Hijacking, die möglicherweise unsicheren User Interfaces (UIs) oder Application Programming Interfaces (APIs), ein Denial of Service oder moderne Angriffe wie Advanced Persistent Threats (APTs).

Strategie und Sicherheit

Natürlich gibt es nicht «die» sichere Cloud – ein Restrisiko bleibt immer, das ist bei On-Premise-Umgebungen nicht anders. Die Cloud ist aber auch nicht prinzipiell unsicherer als andere Infrastrukturen – die einzelnen Sicherheitsmassnahmen sind wie immer entscheidend. Und so steht am Anfang einer jeden Cloud-Entscheidung die Cloud-Strategie. Eine sorgfältige Analyse der vorherrschenden IT-Landschaft und der individuellen Cloud-
Treiber sowie der Ziele, die ein Unternehmen mit dem Weg in die Wolke verfolgt, sind Voraussetzung für jede strategische Entscheidung. Ein Unternehmen muss sich darüber im Klaren sein, wie sich die Cloud in die bestehende IT-Infrastruktur und Services integrieren lässt, welchen Nutzen die Cloud dem Unternehmen bringt, welchen Wert und welche Kritikalität die auszulagernden Services, Anwendungen und Daten haben.

Und die wichtigste Frage: Welche Risiken sind akzeptabel? Auch alle rechtlichen (zum Beispiel Datenschutz), organisatorischen (zum Beispiel IT-Reife) und technischen Rahmenbedingungen (zum Beispiel Internet-Performance) müssen in der Cloud-Strategie berücksichtigt werden. Machbarkeitsstudien und Wirtschaftlichkeitsanalysen beurteilen nicht nur die «Cloud-Reife» eines Unternehmens aus technischer Sicht, sondern prüfen auch, ob und in welchem Umfang das Geschäft eines Unternehmens mit Cloud Computing zusammenpasst und ob der Weg in die Cloud realisierbar sowie rentabel ist.

Sicherheitsrichtlinien

Entscheidet sich ein Unternehmen, den Einsatz von Cloud-Lösungen voranzutreiben, folgt darauf ein weiterer formaler Schritt: Die Sicherheitsrichtlinien mit den wichtigsten Angriffsvektoren und Sicherheitsanforderungen müssen formuliert werden. Nur mit einem professionellen Rahmenwerk zur Steuerung der IT-Sicherheit mit entsprechenden Richtlinien, Policies und Prozessen kann ein Unternehmen Sicherheitsrisiken richtig managen beziehungsweise kontrollieren – das gilt natürlich auch für die Cloud-Risiken und betrifft die Cloud-Nutzer genauso wie den Cloud Service Provider (CSP), denn beide müssen Informationssicherheit während des gesamten Service-Lebenszyklus gewährleisten und wissen, welche Sicherheitsmassnahmen zur Eindämmung der Risiken erforderlich sind, die sich durch die Migration von Infrastruktur, Anwendungen oder Daten in die Cloud ergeben. Die Anforderungen an die Informationssicherheit, aber auch die Verfügbarkeit des Cloud-Dienstes müssen demnach sehr genau auf den Schutzbedarf der auszulagernden Informationen, Anwendungen und IT-Systeme abgestimmt sein.

Wahl des richtigen Modells

Es kommt eher selten vor, dass extrem hohe Sicherheitsanforderungen mit einer Cloud-Nutzung gar nicht vereinbar sind. Bei den meisten Unternehmen spricht nichts gegen den Cloud-Einsatz. Um die für das Unternehmen am besten geeignete Cloud-Lösung zu finden, müssen als Nächstes die Vor- und Nachteile der unterschiedlichen Cloud-Bereitstellungsmodelle einander gegenübergestellt werden. Es gibt drei grundlegende Servicemodelle in der Cloud, bei denen externe Anbieter unterschiedlich stark eingebunden sind und die sich auch im Einfluss des Kunden auf die Sicherheit der angebotenen Dienste unterscheiden.

Infrastructure as a Service (IaaS)

Bei Infrastructure as a Service (IaaS) werden typische Komponenten einer IT-Infrastruktur, wie Hardware, Rechenleistung, Speicherplatz oder Netzwerk-Ressourcen aus der Cloud bereitgestellt. Der Cloud-Kunde mietet etwas Platz in einem virtuellen Rechenzentrum und lässt darauf beliebige Anwendungsprogramme und Betriebssysteme seiner Wahl laufen. Der IaaS-Anbieter übernimmt die Verantwortung für die Hardware, führt die Wartungen durch und sorgt dafür, dass die Server einwandfrei laufen. In Zeiten des akuten Fachkräftemangels ein wirklicher Mehrwert, denn bei der Vielzahl an Geschäftsanwendungen, die heute auf einem IaaS-Dienst entwickelt und betrieben werden, kann ein kleines IT-Team unmöglich neben der Software auch noch die Hardware fehlerfrei betreiben.

In puncto Sicherheit hat der IaaS-Kunde die volle Kontrolle vom Betriebssystem aufwärts und ist damit auch verantwortlich zum Beispiel für den Firewall-, Intrusion Prevention- oder Antivirenschutz, das Identitäts- und Access-Management oder die Klassifizierung und Verschlüsselung der eigenen Daten. Ein zusätzlicher Vorteil: Die Ressourcen können schnell hochskaliert werden, um Spitzenanforderungen gerecht zu werden. IaaS ist für kleine und mittelständische Unternehmen eine vernünftige Alternative gegenüber dem Erwerb und der Instandhaltung eigener Hardware. Kosten für den Unterhalt einer eigenen physischen Infrastruktur gehören damit der Vergangenheit an und können in neue, geschäftsoptimierende IT-Projekte fliessen.

Platform as a Service (PaaS)

Platform as a Service (PaaS) ist weniger ein Thema für IT-Administratoren als für Softwareentwickler. Sie erhalten für die Entwicklung und Ausführung eigener Programme eine Cloud-Infrastruktur in Form eines Frameworks, angereichert mit nützlichen Funktionen, wie Mandantenfähigkeit, Skalierbarkeit, Zugriffskontrolle oder Datenbankzugriff, ergänzt um hilfreiche Werkzeuge. Unternehmen können also bei der Entwicklung von Anwendungen auf die Ressourcen eines externen Cloud-Anbieters zurückgreifen, was die F&E-Betriebskosten nachhaltig senkt und Budget für konkrete Anwendungsprojekte freisetzt. Der Cloud-Nutzer hat jedoch keinen Zugriff auf Hardware und Betriebssystem und damit keinen Einfluss auf die genutzte Infrastruktur. Er muss ausserdem die Vorgaben des CSP zu Programmiersprachen und Schnittstellen, zu Datenspeichern, Netzwerken und Datenverarbeitungssystemen beachten. Einzig seine Programme und Daten unterliegen seiner Hoheit und Kontrolle. Hier ist besonders der Schutz des Source-Codes hervorzuheben, der mittels Klassifizierung und Verschlüsselung, durch einen speziellen IP-Schutz oder sichere Backup-, Wiederherstellungs- und Archivierungsprozesse forciert werden muss.

Software as a Service (SaaS)

Software as a Service (SaaS) steht für die Bereitstellung einer Anwendung über den Webbrowser durch einen Drittanbieter. Software und IT-Infrastruktur werden vom CSP zur Verfügung gestellt und vom Kunden als Dienstleistung genutzt. Der Cloud-Anbieter übernimmt notwendige Service-Komponenten, wie Netzwerke, Datenspeicher, Datenbanken, Anwendungsserver, Webserver und Disaster-Recovery- sowie die Datensicherungsdienste und führt auch operative Dienstleistungen wie Patch-Verwaltung, Monitoring, Software-Upgrades oder Change Requests durch.

Der Nutzer muss die Software und eventuell benötigte Hardware also nicht selbst erwerben, installieren und betreiben. Er ist aber weiterhin verantwortlich für den Schutz seiner Daten vor unbefugtem Zugriff zum Beispiel durch ein Identity & Access- und Rollen-Management oder die Klassifizierung, Verschlüsselung beziehungsweise «Tokenisierung» der eigenen Daten – ein nicht immer einfaches Unterfangen, wenn sich die Daten nicht mehr physisch im Unternehmen befinden, wie dies bei On-Premise-Lösungen der Fall ist, sondern auf fremden Servern gelagert werden. Zu den grössten Risiken zählen der Verlust, die Manipulation, die unbefugte Kenntnisnahme von Unternehmensdaten oder der komplette Ausfall des Service und die damit verbundene Störung beziehungsweise die Beeinträchtigung des Geschäftsbetriebs.

Sicherheitsvorkehrungen

In der Regel erhöht der Einsatz von Software as a Service in einem kleinen oder mittelgrossen Unternehmen aber die Datensicherheit, den Datenschutz sowie die Verfügbarkeit. Das liegt daran, dass die Sicherheitsvorkehrungen der zertifizierten Rechenzentren die gebräuchlichen Sicherheitsvorkehrungen von diesen Unternehmen mit eigenen Serverräumen üblicherweise übersteigen. Eine hochverfügbare Netzanbindung, redundante Daten- sowie Stromleitungen, eine effektive Brandschutzvorrichtung, Zutrittskontrollen, professionelle Backups, die Einhaltung des gesetzlichen Datenschutzes zum Beispiel durch die Verschlüsselung der Daten und das Wichtigste: erfahrene Spezialisten, welche sich um die Bereitstellung, die Wartung und die Überwachung der Server kümmern – dies alles selbst bereitzustellen, erfordert viel Personal und verursacht hohe Kosten, die besser in andere IT-Projekte investiert werden können.

Arten der Bereitstellung

Beim Cloud-Servicemodell unterscheidet man verschiedene Arten der Bereitstellung. Im Mittelpunkt steht die Frage, von wem die Services angeboten werden und an wen sie sich richten.

Public Cloud

In einer Public Cloud steht die genutzte Infrastruktur der Allgemeinheit oder einer grossen Gruppe zur Verfügung. Der Nutzer überträgt die Kontrolle über die genutzte Infrastruktur oder Services vollständig an den CSP, was zwar die Kosten des IT-Betriebs reduziert, im Gegensatz aber die Abhängigkeit vom Cloud-Anbieter und dessen Massnahmenpaket in Sachen Verfügbarkeit, Sicherheit und Performance erhöht.

Private Cloud

Das Gegenteil zur Public Cloud ist die Private Cloud. Die Cloud-Infrastruktur wird nur von einer Firma genutzt bzw. nur für eine Institution betrieben. Sie bietet dieselbe Flexibilität, Skalierbarkeit und Effizienz, aber mehr Kontrolle und Sicherheit – die ideale Lösung für Unternehmen mit strengeren Auflagen hinsichtlich Datenverarbeitung, Regulierung und Kontrolle. Diese Exklusivität hat aber ihren Preis.

Hybrid Cloud

Das Beste aus beiden Welten verspricht die Hybrid Cloud. Sie vereint die Vorteile beider Cloud-Strukturen und kann in Performance-Spitzenzeiten zwischen diesen wechseln. Gleichzeitig werden die Sicherheitsnachteile der beiden Lösungen minimiert, wenn sensible Daten in der privaten und weniger vertrauliche Daten in der öffentlichen Cloud abgelegt werden. Die Hybrid Cloud mit ihren vielen Vorteilen entwickelt sich für KMU zu einer echten Alternative gegenüber einer reinen Private oder Public Cloud-Lösung.

Aufgrund der Sicherheitsbedenken komplett auf die Vorteile der Cloud verzichten zu wollen, ist aber natürlich keine gute Idee. Verschärfte Gesetze, innovative Technologien oder andere Geschäftsprozesse stellen die Unternehmen vor neue Herausforderungen – kein Grund aber, die Herausforderung Cloud nicht anzunehmen. Wenn Unternehmen zum Beispiel personenbezogene Daten in der Cloud speichern, müssen sie ab Inkrafttreten der neuen EU- Datenschutz-Grundverordnung (DSGVO) einfach noch mehr darauf achten, dass diese auch ausreichend geschützt sind, ansonsten drohen hohe Bussgelder.