Trotz aller Vorteile der Cloud sind aufgrund von Sicherheitsbedenken noch immer Vorbehalte verbreitet. Entscheidend ist jedoch nicht die Frage, Cloud oder nicht Cloud, sondern welche Sicherheitsmassnahmen jeweils realisiert werden. Und gerade hier bietet die Cloud mittlerweile überzeugende Möglichkeiten.
Cloud Computing ist nicht einfach eine neue IT-Technologie, sondern bedeutet vielmehr einen Paradigmenwechsel. Die IT wendet sich damit vom Denken in Kategorien wie Hardware und Server ab und dem Service-Denken zu. Klassische IT, wie man sie üblicherweise im eigenen Serverraum betreibt, ist eine von vielen Möglichkeiten, die erforderlichen IT-Leistungen bereitzustellen. Mit diesem Ansatz ist Cloud Computing einer der wesentlichen Treiber der Digitalisierung, aber im Wettbewerb entwickeln sich die Vorteile der Cloud mehr und mehr zu Nachteilen für alle, die diesem Trend nicht folgen.
Die Sicherheit von Cloud-Lösungen
Cloud Computing steigert die Agilität von Unternehmensprozessen und erhöht die Reaktionsfähigkeit von Unternehmen. Kein Wunder also, dass immer mehr Unternehmen Anwendungen, Infrastruktur oder auch Security-Lösungen aus der Cloud beziehen; einige verfolgen sogar eine First-Cloud-Strategie und prüfen vor jeder neuen Investition in die IT-Infrastruktur immer erst die Einsatzmöglichkeiten von Cloud-Lösungen. Dennoch bestehen weiterhin Vorbehalte gegenüber der Cloud, und vor allem bei kleinen und mittelständischen Unternehmen sind diese gross. Anwender fürchten das Entstehen von Datenlecks oder Datenverlusten, die Gefahr durch Identitäts-, Credential- und Schlüsseldiebstahl oder das Account-Hijacking, die möglicherweise unsicheren User Interfaces (UIs) oder Application Programming Interfaces (APIs), einen Denial of Service oder moderne Angriffe wie Advanced Persistent Threats (APTs).
Die sichere Cloud gibt es also nicht, denn ein Restrisiko bleibt immer. Doch das ist bei herkömmlichen On-Premise-Umgebungen keineswegs anders. Umgekehrt ist die Cloud aber auch nicht prinzipiell unsicherer als andere Infrastrukturen. Entscheidend ist, wie man Sicherheit realisiert und welche Sicherheitsmassnahmen man für die relevanten Einsatzszenarien trifft. Das Thema Sicherheit muss daher inhärenter Bestandteil jeder Cloud-Strategie sein. Cloud-Anwender müssen ihre IT-Landschaft und die Ziele, die sie auf dem Weg in die Cloud verfolgen, selbstkritisch analysieren und bewerten. Dabei muss klar sein, wie sich die Cloud in bestehende IT-Infrastrukturen und -Services integrieren lässt, welchen Nutzen die Cloud dem Unternehmen bringen soll, welchen Wert sie haben und wie «kritisch» die auszulagernden Services, Anwendungen und Daten sind. Darüber hinaus müssen alle rechtlichen, datenschutzrelevanten, organisatorischen und technischen Rahmenbedingungen – zum Beispiel die Internet-Performance – berücksichtigt werden. Machbarkeitsstudien und Wirtschaftlichkeitsanalysen sollten nicht nur die «Cloud-Reife» eines Unternehmens aus technischer Sicht beurteilen, sondern auch prüfen, ob und in welchem Umfang das Geschäft eines Unternehmens mit Cloud Computing zusammenpasst und inwieweit der Weg in die Cloud wirtschaftlich ist.
Cloud-Servicemodelle
Welche Risiken des Cloud Computing für einen Anwender wichtig werden, ist im wesentlich dadurch bestimmt, welches Modell der Cloud-Bereitstellung er wählt. Das wiederum hängt davon ab, was er mit der Cloud in seinem Business-Modell erreichen will. Die drei Servicemodelle, nach denen sich das Cloud Computing üblicherweise unterscheidet, differieren auch hinsichtlich der Art und Weise, wie Sicherheit realisiert wird; da in diesen Modellen der Cloud Service Provider (CSP) verschieden stark eingebunden und der Anwender in unterschiedlichem Mass für die Sicherheit verantwortlich ist.
Infrastructure as a Service (IaaS)
Bei IaaS werden die Komponenten einer IT-Infrastruktur wie Hardware, Rechenleistung, Speicherplatz oder Netzwerk-Ressourcen via Cloud bereitgestellt. Der Cloud-Kunde mietet Ressourcen in einem (virtuellen) Rechenzentrum und lässt hier Anwendungsprogramme und Betriebssysteme seiner Wahl laufen. Der IaaS-Anbieter hat die Verantwortung für die Hardware, Wartung, Verfügbarkeit und Performance. Der Nutzer benötigt kaum eigene Ressourcen und nur ein kleines IT-Team. Ein weiterer Vorteil ist, dass sich Ressourcen schnell hochskalieren lassen. Hinsichtlich der Sicherheit hat der IaaS-Kunde die volle Kontrolle über «seine» Systeme; er ist damit selbst verantwortlich für Firewall, Intrusion Prevention oder Antivirenschutz, für Identitäts- und Access-Management oder die Klassifizierung und Verschlüsselung seiner Daten.
Platform as a Service (PaaS)
PaaS bietet Softwareentwicklern eine Cloud-Infrastruktur in Form eines Frameworks, angereichert mit nützlichen Funktionen wie Mandantenfähigkeit, Skalierbarkeit, Zugriffskontrolle oder Datenbankzugriff. Das reduziert die Entwicklungskosten nachhaltig. Der CSP übernimmt in diesem Modell die Sicherheit; für den Nutzer ein grosser Vorteil, weil er sie ausgewiesenen Experten überlassen und sich auf seine Software fokussieren kann. Umgekehrt hat er aber keinen Zugriff auf Hardware und Betriebssystem und damit keinen Einfluss auf die von ihm genutzte Infrastruktur. Nur seine Programme und Daten unterliegen seiner Kontrolle. Daher muss er selbst für den Schutz des Source Codes sorgen, beispielsweise mittels Klassifizierung und Verschlüsselung.
Software as a Service (SaaS)
Im SaaS-Modell stellt der CSP eine fertige Anwendung als Service bereit, mit allen Service-Komponenten wie Netzwerk, Datenbanken, Anwendungsserver, Webserver und Disaster Recovery. Er führt auch operative Dienstleistungen wie Software Upgrades oder Change Requests durch. Der Nutzer ist verantwortlich für den Schutz seiner Daten durch ein Identity-&-Access- und Rollen-Management oder die Klassifizierung, Verschlüsselung beziehungsweise Tokenisierung der eigenen Daten. Zu den grössten Risiken zählen in diesem Modell Manipulation und Ausspähen von Daten oder der Ausfall des Service.
Datensicherheit und Datenschutz für KMU
Demnach erhöht Cloud Computing für kleine oder mittelgrosse Unternehmen die Datensicherheit, den Datenschutz sowie die Verfügbarkeit, weil die Sicherheitsvorkehrungen der zertifizierten Cloud-Rechenzentren die Möglichkeiten von Unternehmen übersteigen. Eine hoch verfügbare Netzanbindung, redundante Daten und Stromleitungen, eine effektive Brandschutzvorrichtung, Zutrittskontrollen, professionelle Backups, die Einhaltung des gesetzlichen Datenschutzes, zum Beispiel durch die Verschlüsselung der Daten – das erfordert schliesslich nicht unerhebliche Ressourcen. Ausserdem benötigt man erfahrene Spezialisten, die sich um die Bereitstellung, die Wartung und die Überwachung der Systeme kümmern.