Cloud-Computing: Sicherheit in der Wolke

Wirtschaftsthemen / 24.9.2009

Verlässliche Systeme, die sich nicht manipulieren lassen, sind für Unternehmen von geschäftskritischer Bedeutung. Das Fraunhofer-Institut für Sichere Informationstechnologie SIT ist deshalb der Frage nachgegangen, wie sich IT-Sicherheit und der Trend zum Cloud-Computing vereinbaren lassen. Ein Ergebnis der Studie: Kleine und mittlere Unternehmen können ihre IT-Sicherheit durch Cloud-Computing erhöhen.

Daten und Anwendungen ‚in die Wolke’ auszulagern und über das Internet als Service von einem externen Dienstleister zu beziehen, ist verführerisch. Vorteile sind: niedrige Kosten, größere Flexibilität und die Performance einer professionell gemanagten IT-Infrastruktur. Unternehmen müssen Server und Softwarelösungen nicht selbst anschaffen, sondern mieten die benötigten Kapazitäten für Daten, Rechenleistung und Anwendungen bei professionellen Anbietern wie zum Beispiel Amazon Web Services, Google, IBM und Microsoft.

Auf der einen Seite ermöglicht die Strategie des Auslagerns in die Wolke den Unternehmen, sich auf ihre Kernkompetenzen zu konzentrieren und neue Geschäftsmöglichkeiten zu erschließen. Auf der anderen Seite wächst jedoch die Abhängigkeit von externen IT-Systemen, deren Ausfall durch technische Störungen, Malware oder Hackerangriffe nicht nur die Kommunikation, sondern auch ganze Geschäfts- oder Produktionsprozesse lahm legen kann.

Um generell Konzepte, Verfahren und Lösungen zum Schutz von Soft- und Hardware zu entwickeln, hat das Fraunhofer-Institut für Sichere Informationstechnologie SIT am Business-Campus Garching-Hochbrück mit Unterstützung der Bayerischen Landesregierung drei neue Projektgruppen eingerichtet. 21 Mitarbeiter sind bereits vor Ort. Bis zum Jahresende 2010 soll sich die Zahl auf über 50 Personen vergrößern und in den darauffolgenden Jahren weiter anwachsen. Eine der drei Projektgruppen, die Projektgruppe Sichere Services und Qualitätstests, die sich unter anderem mit Cloud-Computing und Service-orientierten Architekturen (SOA) beschäftigt, beendet in diesen Tagen eine Studie über die Sicherheit von Cloud-Computing-Systemen. „Fast jeder große Anbieter von Cloud-Services hatte in der Vergangenheit einen größeren Vorfall im Bereich Verfügbarkeit oder Sicherheit“, berichtet Dr. Werner Streitberger Projektleiter Cloud-Computing-Sicherheit vom SIT. Er hat die Studie geleitet.

Bei der Untersuchung des SIT zeigte sich, dass trotz solcher Risiken kleine und mittlere Unternehmen ihre Sicherheit durch den Einsatz von Cloud-Services erhöhen würden. »Sie können Sicherheitslösungen als Service von spezialisierten Anbietern beziehen und so von deren Erfahrung beim Implementieren und Betreiben von sicheren Services profitieren«, erläutert Streitberger.

Große Unternehmen dagegen sollten die Sicherheitsfunktionen eines Cloud-Anbieters individuell prüfen und im Einzelfall entscheiden, ob die angebotenen Sicherheitsmechanismen für den konkreten Bedarf des Unternehmens ausreichend sind. Wegen der wenig standardisierten Vorgehensweise beim Einsatz von Sicherheitstechnologien in Cloud-Computing-Systemen ist dies nicht garantiert. Maßstab sind auch hier die allgemeinen Schutzziele der IT-Sicherheit, also Vertraulichkeit, Integrität, Authentizität, Verbindlichkeit, Verfügbarkeit und Schutz der Privatsphäre. »Die aktuellen Cloud-Serviceangebote zeigen, dass bei Infrastrukturservices eine Reihe von Sicherheitstechnologien zwar bereits zum Einsatz kommen, in den Bereichen Anwendung und Plattform, Management und Compliance erreichen die Cloud-Anbieter die geforderten Schutzziele jedoch teilweise noch nicht«, kritisiert Streitberger. Als Trend zeichne sich ab, auch Sicherheitsfunktionen wie beispielsweise Teile der Identitäts- und Zugangsverwaltung von spezialisierten Anbietern als Service zu beziehen.

Eine weitere Schwachstelle sind die Service-Level-Agreements (SLAs), also die Vereinbarungen über die Rechte und Pflichten zwischen den Cloud- Benutzern und Cloud-Anbietern: Die bisher üblichen Vereinbarungen geben nur minimale Garantien der Dienstgüte des Cloud Service. Vor allem Sicherheitsgarantien sind nur rudimentär vorhanden und die dafür nötigen Funktionen durch den Cloud-Anbieter nur unzureichend dokumentiert. »Häufig nimmt die Sicherheit im Angebot nur eine untergeordnete Rolle ein, so dass vor der Entscheidung für einen Cloud-Service detaillierte Informationen vom Anbieter angefordert werden. Eventuell sollte ein Proof-of-Concept, eine Machbarkeitsstudie, vor dem eigentlichen Einsatz realisiert werden«, rät Fraunhofer-Forscher Streitberger. Eine solche könnte zum Beispiel auch beim SIT in Auftrag gegeben werden.