Cloud Computing und Sicherheit passen doch zusammen

Für viele Unternehmen ist der Sicherheitsgedanke immer noch das größte Hindernis für die Nutzung von Cloud Computing. Unsicherheit besteht dabei hauptsächlich bei der Public Cloud. Reichen also die Vorteile von Cloud Computing wie Elastizität, Skalierbarkeit und Flexibilität, um auch diese Bedenken zu überwinden?

Die Antwort auf die Frage „Wieviel Sicherheit“ muss immer lauten „So viel wie nötig und so wenig wie möglich“. Das tatsächlich benötigte Maß an Sicherheit kann dabei selbstverständlich nicht verallgemeinert werden, sondern bedarf immer spezifischer Analysen. Die vielfach existierenden und oft beliebten Sicherheits-Checklisten verlocken sicher in manchen Fällen dazu, einfach blind die Ratschläge anderer zu befolgen – besonders Ratschläge, die bestehende Vorurteile bestätigen könnten. Genau das ist aber das falsche Vorgehen.

Sicherheitsentscheidungen beinhalten auch immer Kompromisse. Um Sicherheit in der Cloud zu gewährleisten, muss eine Form der Sicherheit gegen eine andere eingetauscht werden. Traditionelle Sicherheitskontrollen fokussieren den Standort: Wenn ein Unternehmen weiß, wo Daten und Prozesse sind, und es nachweisen kann, dass diese sein Eigentum sind, dann wägt es sich in Sicherheit. Wenn Daten allerdings beispielsweise nicht im eigenen Rechenzentrum gespeichert werden, sondern an unbekannten Orten bei Fremden, dann schwindet das Sicherheitsgefühl.

In der Wolke fallen Standort-basierte Sicherheitskonzepte weg, denn der genaue Ort der Daten (Gebäude, Raum, Rack, Gerät, Laufwerk) kann nicht bestimmt werden. Was für viele vielleicht erst einmal unsicher klingt, hat auch seine Vorteile, denn dieser Jemand, der die  Daten verwaltet, hat wahrscheinlich einen größeren Etat und mehr Personal, um die Daten vor Angriffen von außen, von anderen Kunden und sogar vom Anbieter selber zu schützen.

Dennoch bedeutet dies nicht, dass alle Sicherheitsanforderungen aufgegeben werden müssen. Im Gegenteil, der Kompromiss besteht eher darin, dass das eigene Verständnis von Kontrolle verändert und angepasst werden muss. So muss beim Einsatz von Cloud Computing das alte Modell der Standort-basierten Steuerung durch ein neues Modell ersetzt werden, das aus Service Level Agreements (SLA), nachprüfbaren Sicherheitsstandards und Datenschutz-Technologien (also Verschlüsselung sowie digitale Signaturen) besteht.

So können Unternehmen die Kontrolle und die Eigentumsrechte an ihren Daten behalten, auch wenn sie keine Kontrolle über oder Eigentumsrechte an der Infrastruktur haben. In gewisser Hinsicht sind diese Modelle auch gar nicht ganz neu, denn sie werden bei der Anbindung bereits genutzt. In diesem Bereich werden Leitungen von vielen Akteuren verwendet (das Internet), während Standleitungen, zu denen nur ein Akteur Zugang hatte, ersetzt wurden. Genau nach diesem Modell werden nun auch Daten während der Übertragung gesichert. Das Modell kann aber auch auf Rechen-und Speicherressourcen angewendet werden.
Zusätzlich gibt es noch einen weiteren Sicherheitsfaktor zu bedenken, den unbeteiligten Dritten. Cloud-Anbieter wissen nichts über den Kontext der Daten oder wie wichtig diese für ein Unternehmen sind. Dadurch wird die Gefahr von Insidern deutlich reduziert. Cloud-Anbieter verstehen sehr gut, dass es in ihrem eigenen Interesse ist, wenn sie die Daten ihrer Kunden bestmöglich schützen. Deshalb implementieren sie Kontrollen, um ihre eigenen administrativen Aufgaben von den Daten ihrer Kunden zu trennen. Diese Kontrollen machen es dann auch für Internet-Kriminelle schwieriger Daten zu stehlen oder die Infrastruktur zu attackieren.

Provider arbeiten intensiv daran, möglichst viele Prozesse zu automatisieren: Je weniger Menschen Prozesse betreuen, desto weniger Fehler können gemacht werden. Damit sinkt auch das generelle Risiko. Im Grunde genommen ist die Frage nach der Menge an Sicherheit gar nicht die Richtige. Viel eher sollte die Frage nach der Höhe des Risikos gestellt werden.

Sicherheitsentscheidungen sind dann am besten, wenn sie von sinnvollen Risikoeinschätzungen begleitet werden. So kann eine gute Balance gefunden und der richtige Kompromiss geschlossen werden. Auskunft über die Risikostrategien kann auch immer der Anbieter selbst geben. Die vertrauenswürdigen Anbieter teilen diese Informationen gerne, denn sie wissen ganz genau, dass sie nur so das Vertrauen ihrer Kunden gewinnen können. Oft wurden sogar schon Risiken bedacht, an die ein Unternehmen selbst noch gar nicht gedacht hat.

Viele Probleme können durch Cloud Computing sehr gut gelöst werden, zumal die Lösungen und Technologien auch immer ausgereifter werden: Angebote sind heute beispielsweise vielfältiger und flexibler als noch vor wenigen Jahren und kommen zudem von bekannten und vertrauenswürdigen Unternehmen. Wenn die Sicherheit von Cloud Computing mittlerweile gut genug ist, um für einen deutlichen Anstieg der Akzeptanz von Cloud Services zu sorgen, dann sollte Cloud Computing auch für die anderen sicher genug sein.