Seite 88 // kmuRUNDSCHAU IT-SICHERHEIT SO SICHER WIE DIE CLOUD IT-SICHERHEIT IM ZEITALTER DES CLOUD COMPUTING von Tom Hager Trotz aller Vorteile der Cloud sind aufgrund von Sicherheitsbedenken noch immer Vorbehalte verbreitet. Entscheidend ist jedoch nicht die Frage, Cloud oder nicht Cloud, sondern welche Sicherheitsmassnahmen jeweils realisiert werden. Und gerade hier bietet die Cloud mittlerweile überzeugende Möglichkeiten. C loud Computing ist nicht einfach eine neue IT-Technologie, sondern bedeutet vielmehr einen Paradig- menwechsel. Die IT wendet sich damit vom Denken in Kategorien wie Hardware und Server ab und dem Service-Denken zu. Klassische IT, wie man sie üblicher- weise im eigenen Serverraum betreibt, ist eine von vielen Möglichkeiten, die erfor- derlichen IT-Leistungen bereitzustellen. Mit diesem Ansatz ist Cloud Computing einer der wesentlichen Treiber der Digita- lisierung, aber im Wettbewerb entwickeln sich die Vorteile der Cloud mehr und mehr zu Nachteilen für alle, die diesem Trend nicht folgen. DIE SICHERHEIT VON CLOUD-LÖSUNGEN Cloud Computing steigert die Agilität von Unternehmensprozessen und erhöht die Reaktionsfähigkeit von Unternehmen. Kein Wunder also, dass immer mehr Unterneh- men Anwendungen, Infrastruktur oder auch Security-Lösungen aus der Cloud beziehen; einige verfolgen sogar eine First- Cloud-Strategie und prüfen vor jeder neuen Investition in die IT-Infrastruktur immer erst die Einsatzmöglichkeiten von Cloud-Lösungen. Dennoch bestehen wei- terhin Vorbehalte gegenüber der Cloud, und vor allem bei kleinen und mittelständi- schen Unternehmen sind diese gross. Anwender fürchten das Entstehen von Datenlecks oder Datenverlusten, die Gefahr durch Identitäts-, Credential- und Schlüssel- diebstahl oder das Account-Hijacking, die möglicherweise unsicheren User Inter- faces (UIs) oder Application Programming Interfaces (APIs), einen Denial of Service oder moderne Angriffe wie Advanced Per- sistent Threats (APTs). Die sichere Cloud gibt es also nicht, denn ein Restrisiko bleibt immer. Doch das ist bei herkömmlichen On-Premise-Umge- bungen keineswegs anders. Umgekehrt ist die Cloud aber auch nicht prinzipiell unsicherer als andere Infrastrukturen. Ent- scheidend ist, wie man Sicherheit realisiert und welche Sicherheitsmassnahmen man für die relevanten Einsatzszenarien trifft. Das Thema Sicherheit muss daher inhä- renter Bestandteil jeder Cloud-Strategie sein. Cloud-Anwender müssen ihre IT- Landschaft und die Ziele, die sie auf dem Weg in die Cloud verfolgen, selbstkritisch analysieren und bewerten. Dabei muss klar sein, wie sich die Cloud in bestehende IT-Infrastrukturen und -Services integrie- ren lässt, welchen Nutzen die Cloud dem Unternehmen bringen soll, welchen Wert sie haben und wie «kritisch» die auszu- lagernden Services, Anwendungen und Daten sind. Darüber hinaus müssen alle rechtlichen, datenschutzrelevanten, orga- nisatorischen und technischen Rahmen- bedingungen – zum Beispiel die Internet- Performance – berücksichtigt werden. Machbarkeitsstudien und Wirtschaftlich- keitsanalysen sollten nicht nur die «Cloud- Reife» eines Unternehmens aus technischer
Transcript
Seite 88 // kmuRUNDSCHAU
IT-SIcherheIT
So Sicher wie die cloudIT-SIcherheIT Im ZeITalTer deS cloud compuTIng
von Tom Hager
Trotz aller Vorteile der cloud sind aufgrund von Sicherheitsbedenken noch immer Vorbehalte verbreitet. entscheidend ist jedoch nicht die Frage, cloud oder nicht cloud, sondern welche Sicherheitsmassnahmen
jeweils realisiert werden. und gerade hier bietet die cloud mittlerweile überzeugende möglichkeiten.
Cloud Computing ist nicht einfach eine neue IT-Technologie, sondern bedeutet vielmehr einen Paradig-
menwechsel. Die IT wendet sich damit vom Denken in Kategorien wie Hardware und Server ab und dem Service-Denken zu. Klassische IT, wie man sie üblicher-weise im eigenen Serverraum betreibt, ist eine von vielen Möglichkeiten, die erfor-derlichen IT-Leistungen bereitzustellen. Mit diesem Ansatz ist Cloud Computing einer der wesentlichen Treiber der Digita-lisierung, aber im Wettbewerb entwickeln sich die Vorteile der Cloud mehr und mehr zu Nachteilen für alle, die diesem Trend nicht folgen.
Die Sicherheit von clouD-löSungenCloud Computing steigert die Agilität von Unternehmensprozessen und erhöht die Reaktionsfähigkeit von Unternehmen. Kein Wunder also, dass immer mehr Unterneh-men Anwendungen, Infrastruktur oder
auch Security-Lösungen aus der Cloud beziehen; einige verfolgen sogar eine First-Cloud-Strategie und prüfen vor jeder neuen Investition in die IT-Infrastruktur immer erst die Einsatzmöglichkeiten von Cloud-Lösungen. Dennoch bestehen wei-terhin Vorbehalte gegenüber der Cloud, und vor allem bei kleinen und mittelständi-schen Unternehmen sind diese gross. Anwender fürchten das Entstehen von Datenlecks oder Datenverlusten, die Gefahr durch Identitäts-, Credential- und Schlüssel-diebstahl oder das Account-Hijacking, die möglicherweise unsicheren User Inter-faces (UIs) oder Application Programming Interfaces (APIs), einen Denial of Service oder moderne Angriffe wie Advanced Per-sistent Threats (APTs).
Die sichere Cloud gibt es also nicht, denn ein Restrisiko bleibt immer. Doch das ist bei herkömmlichen On-Premise-Umge-bungen keineswegs anders. Umgekehrt ist die Cloud aber auch nicht prinzipiell
unsicherer als andere Infrastrukturen. Ent-scheidend ist, wie man Sicherheit realisiert und welche Sicherheitsmassnahmen man für die relevanten Einsatzszenarien trifft. Das Thema Sicherheit muss daher inhä-renter Bestandteil jeder Cloud-Strategie sein. Cloud-Anwender müssen ihre IT-Landschaft und die Ziele, die sie auf dem Weg in die Cloud verfolgen, selbstkritisch analysieren und bewerten. Dabei muss klar sein, wie sich die Cloud in bestehende IT-Infrastrukturen und -Services integrie-ren lässt, welchen Nutzen die Cloud dem Unternehmen bringen soll, welchen Wert sie haben und wie «kritisch» die auszu-lagernden Services, Anwendungen und Daten sind. Darüber hinaus müssen alle rechtlichen, datenschutzrelevanten, orga-nisatorischen und technischen Rahmen-bedingungen – zum Beispiel die Internet-Performance – berücksichtigt werden. Machbarkeitsstudien und Wirtschaftlich-keitsanalysen sollten nicht nur die «Cloud-Reife» eines Unternehmens aus technischer
Ausgabe 2/2018 // Seite 89
IT-SIcherheIT
Sicht beurteilen, sondern auch prüfen, ob und in welchem Umfang das Geschäft eines Unternehmens mit Cloud Computing zu-sammenpasst und inwieweit der Weg in die Cloud wirtschaftlich ist.
clouD-ServicemoDelleWelche Risiken des Cloud Computing für einen Anwender wichtig werden, ist im wesentlichen dadurch bestimmt, welches Modell der Cloud-Bereitstellung er wählt. Das wiederum hängt davon ab, was er mit der Cloud in seinem Business-Modell errei-chen will. Die drei Servicemodelle, nach denen sich das Cloud Computing üblicher-weise unterscheidet, differieren auch hinsichtlich der Art und Weise, wie Sicherheit realisiert wird; da in diesen Modellen der Cloud Service Provider (CSP) verschieden stark eingebunden und der Anwender in unterschiedlichem Mass für die Sicherheit verantwortlich ist.
infraStructure aS a Service (iaaS) Bei IaaS werden die Komponenten einer IT-Infrastruktur wie Hardware, Rechen-leistung, Speicherplatz oder Netzwerk-Ressourcen via Cloud bereitgestellt. Der Cloud-Kunde mietet Ressourcen in einem (virtuellen) Rechenzentrum und lässt hier Anwendungsprogramme und Betriebs-systeme seiner Wahl laufen. Der IaaS- Anbieter hat die Verantwortung für die Hardware, Wartung, Verfügbarkeit und Performance. Der Nutzer benötigt kaum eigene Ressourcen und nur ein kleines IT-Team. Ein weiterer Vorteil ist, dass sich Ressourcen schnell hochskalieren lassen. Hinsichtlich der Sicherheit hat der IaaS-Kunde die volle Kontrolle über «seine» Systeme; er ist damit selbst verantwortlich für Firewall, Intrusion Prevention oder Antivirenschutz, für Identitäts- und Access-Management oder die Klassifizierung und Verschlüsselung seiner Daten.
Platform aS a Service (PaaS) PaaS bietet Softwareentwicklern eine Cloud-Infrastruktur in Form eines Frame-works, angereichert mit nützlichen Funk-tionen wie Mandantenfähigkeit, Skalierbar-keit, Zugriffskontrolle oder Datenbankzugriff. Das reduziert die Entwicklungskosten nachhaltig. Der CSP übernimmt in diesem Modell die Sicherheit; für den Nutzer ein grosser Vorteil, weil er sie ausgewiesenen Experten überlassen und sich auf seine Software fokussieren kann. Umgekehrt hat
er aber keinen Zugriff auf Hardware und Betriebssystem und damit keinen Einfluss auf die von ihm genutzte Infrastruktur. Nur seine Programme und Daten unterliegen seiner Kontrolle. Daher muss er selbst für den Schutz des Source Codes sorgen, beispielsweise mittels Klassifizierung und Verschlüsselung.
Software aS a Service (SaaS) Im SaaS-Modell stellt der CSP eine fertige Anwendung als Service bereit, mit allen Service-Komponenten wie Netzwerk, Datenbanken, Anwendungsserver, Web-server und Disaster Recovery. Er führt auch operative Dienstleistungen wie Software Upgrades oder Change Requests durch. Der Nutzer ist verantwortlich für den Schutz seiner Daten durch ein Identity-&-Access- und Rollen-Management oder die Klassifi-zierung, Verschlüsselung beziehungsweise Tokenisierung der eigenen Daten. Zu den grössten Risiken zählen in diesem Modell Manipulation und Ausspähen von Daten oder der Ausfall des Service.
DatenSicherheit unD DatenSchutz für KmuDemnach erhöht Cloud Computing für kleine oder mittelgrosse Unternehmen
die Datensicherheit, den Datenschutz sowie die Verfügbarkeit, weil die Sicherheitsvor-kehrungen der zertifizierten Cloud-Rechen-zentren die Möglichkeiten von Unternehmen übersteigen. Eine hoch verfügbare Netz-anbindung, redundante Daten und Strom-leitungen, eine effektive Brandschutzvor-richtung, Zutrittskontrollen, professionelle Backups, die Einhaltung des gesetzlichen Datenschutzes, zum Beispiel durch die Ver-schlüsselung der Daten – das erfordert schliesslich nicht unerhebliche Ressourcen. Ausserdem benötigt man erfahrene Spe-zialisten, die sich um die Bereitstellung, die Wartung und die Überwachung der Sys-teme kümmern.
Country Manager der NTT Security (Switzerland) AG.
www.nttsecurity.com/ch
tom hager
Trotz aller Vorteile der Cloud sind aufgrund von Sicherheitsbedenken noch immer Vorbehalte verbreitet.
