Cloud Computing

aus SecuPedia, der Plattform für Sicherheits-Informationen

Anzeige
Wechseln zu: Navigation, Suche
Bild: Cloud Computing

Cloud Computing ist ein Sammelbegriff für eine aktuelle IT-Entwicklungstendenz und beschreibt im einfachsten Fall die zunehmende Aufgabenverlagerung vom lokalen Computer hin zur Infrastruktur des Netzes. Im Jahr 2017 nutzen bereits 2 von 3 Unternehmen die Cloud[1]. Allerdings verlangsamt sich dabei der Anstieg der Nutzung der Public Cloud-Betriebsart (vermutlich aus Sicherheitsbedenken).

Allgemeines

Anbieter aus dem Internet stellen komplexe Leistungen aus Soft- und Hardware in Form von Diensten über festgelegte Schnittstellen bereit, wobei es dann unerheblich ist, wo genau die Datenverarbeitung in der Internet-Wolke (deshalb der Begriff Cloud) letztendlich stattfindet. Zumeist liegt hier im Sinne das Datenschutzes ein Auftragsdatenverarbeitungsverhältnis zugrunde. Neben dieser Form als sogenannte Public Cloud wird neuerdings verstärkt auch die Private Cloud propagiert, wobei hier die Bereitstellung der IT-Ressourcen im Unternehmen selbst erfolgt. Dazwischen gibt es mehrere Mischvarianten.

Obwohl es schon erste Anbieter von Cloud Computing-Dienstleistungen im Internet gibt, sind einige grundlegende Fragen der IT-Sicherheit noch offen. So ist die Abschottungsproblematik verschiedener Applikationsdaten mit z.T. sehr unterschiedlichen Schutzbedarfen weiterhin offen, auch ungelöste Datenschutzfragen in Hinblick auf das unterschiedliche Datenschutzniveau in den verschiedenen an Internet angeschlossenen Ländern (z.B. Prinzip Safe Harbor für Datenverarbeitung in den USA, das mangels Kontrollmöglichkeit von vielen aufsichtsführenden Datenschutzbehörden als unzureichend angesehen wird), dessen Prüfbarkeit und Kontrollierbarkeit (siehe auch die acht Kontrollen nach Bundesdatenschutzgesetz, die im Zweifelsfall über ein rechtskonformes Gutachten jederzeit nachweisbar sein müssen) und eingeschränkte Sanktionsmöglichkeiten verhindern derzeit noch die Ausbreitung. Eine besondere Brisanz ergibt sich, wenn die Daten auf US-amerikanischen Servern liegen und der Zugriff über den "Patriot Act" möglich wird. Aber auch in anderen Staaten (z.B. Indien, viele arabische Staaten, Indonesien) sind umfassende Zugriffe, insbesondere auf mobile Daten, möglich. Weitere Problemfelder sind die Insolvenzvorsorge und die Datenverarbeitungsbeschränkungen hinsichtlich des Steuerrechts. Praktische Probleme entstehen durch mögliche Fehlhandlungen des IT-Betriebspersonals, unzureichende Disaster Recovery-Vorkehrungen, Ausfall der Netzverbindung zur Cloud, mangelhafter Cloud-Services, durch Daten-Kompromittierung infolge von beispielsweise Konfigurationsfehlern und möglicher Nichtanwendbarkeit der Daten-Verschlüsselung. Letzteres resultiert aus der Tatsache, dass die heutigen Computer nur eine Datenverarbeitung im Klartext ermöglichen. So entfällt beispielsweise eine durchgängige Verschlüsselung, wenn mit Office-Anwendungen als ein Service gearbeitet wird, die den Zugriff auf die Dateien übernehmen. Abhilfe könnte die homomorphe Verschlüsselung bringen, deren Entwicklung allerdings noch in den Kinderschuhen steckt. Derzeit ist also nur eine verschlüsselte Datenspeicherung sicher gestaltbar. Angesichts dieser Hürden ist eine gesetzeskonforme Nutzung von Cloud-Services derzeit wohl nur für große Unternehmen und Privatpersonen denkbar.

Für einige Teilbereiche der IT-Sicherheit kann Cloud Computing allerdings auch vorteilhaft sein bzw. aktuelle Probleme lösen helfen. So könnte die Prüfung auf infizierte Webseiten (Drive-by-Download) und die Verlagerung des Virenschutzes beim Scannen von Dateien in die „Cloud“ den sich abzeichnenden Engpass durch die lokal begrenzten Ressourcen eines einzelnen Computers auflösen. Einen Ausblick hierauf gibt bereits jetzt schon der DE-Cleaner[2] zur Entfernung von Bots. Bei der Umsetzung "DE-Cleaner powered by Norton von Symantec" wird schon sehr stark auf Cloud Computing orientiert.

Ein anderes Beispiel, das nur effektiv in der Cloud funktioniert, ist die DDoS-Mitigation zur Abwehr von Breitbandattacken bzw. DDos-Angriffen. Dabei versucht im Angriffsfall ein Cluster von Proxy-Servern, aus dem dorthin umgeleiteten Traffic den bösartigen Anteil herauszufiltern.


Cloud Modelle

Cloud Computing unterscheidet verschiedene Betriebsmodelle, Dienstleistungen und typische Angebote. Diese sind:

Betriebsmodelle

Public Cloud

In einer "Public Cloud" teilen sich viele Benutzer die Ressourcen und Dienste. Ressourcen sind Infrastruktur, Prozesse oder Software[3].

Private Cloud

Die gleichen Ressourcen werden im "Private Cloud" isoliert und von einem dedizierten Anbieter (intern oder extern) für eine feste Gruppe von Benutzern in einer Organisation zur Verfügung gestellt.

Community Cloud

Als Mischform teilen sich mehrere Nutzer einer Branche mit ähnlichem Schutzbedarf die Ressourcen und Dienste.

Hybrid Cloud

Ebenfalls eine Mischform, die nur einzelne ausgewählte (unkritische) Dienste gemeinsam zur Verfügung stellt (z.B. Hochverfügbarkeit, Load Balancer).

Dienstleistungen

IaaS (Infrastruktur as a Service)

Dem Nutzer werden Prozessorleistung, Speicher, Netzwerkleistung und andere Grundfunktionalitäten zur Nutzung angeboten. Je nach Service Level Agreement können zu diesen Funktionalitäten auch Unterstützungsleistungen, Betriebssystem und Software eingekauft werden. Der Nutzer hat keinen Einfluss auf die zugrunde liegende Cloud Infrastruktur.

PaaS (Platform as a Service)

Der Nutzer kann seine Software auf der Cloud Infrastruktur des Anbieters verteilen. Der Nutzer hat keinen Einfluss auf die zugrunde liegende Cloud Infrastruktur (ink. Betriebssystem).

SaaS (Software as a Service)

Programme und Verfahren werden vom Cloud Anbieter zur Verfügung gestellt. Verschiedene Clients können auf diese Verfahren zugreifen (z.B. Webbrowser bei web-basierender E-Mail). Der Nutzer hat keinen Einfluss auf die zugrunde liegende Cloud Infrastruktur.

BaaS (Business Process as a Service)

Hierbei werden ganze Geschäftsprozesse in die Cloud verlagert.

Typische Angebote

Charakteristisch für Cloud Computing sind folgende Angebote:

  • On-demand Self Service
  • Zugriffmöglichkeit aus verschiedenen Netzen
  • Ressourcenteilung mit anderen Nutzern
  • Skalierbarkeit durch den Anbieter

Cloud Computing Angebote basieren auf vielen Geschäftsfeldern, Anbietern und Lösungswegen und unterliegt einer ständigen Erweiterung.


BSI-Mindestanforderungen an Anbieter von Cloud-Lösungen

Das BSI hatte zunächst ein Eckpunktepapier zum Cloud Computing mit zusätzlichen Anforderungen für die Bundesverwaltung erstellt, u.a. sind folgende Punkte enthalten:

  1. Auswahl zertifizierter Rechenzentren (ISO 27001,Grundschutz-Zertifikat)
  2. Einsatz zertifizierter Software zur Trennung der Datenverarbeitung (Hypervisor) bis hin zur EAL4 nach CC
  3. Zwei-Faktoren-Authentifikation (Wissen und Besitz) für Anwender und IT-Betriebspersonal
  4. Zulassung von Penetrationstests durch das BSI
  5. regelmäßige IS-Revision
  6. vertragliche Vereinbarungen bei Insolvenz

Im Oktober 2014 hatte das BSI dann eine Broschüre zur sicheren Nutzung der Cloud veröffentlicht, die frei verfügbar ist[4].

Im März 2016 veröffentlichte das BSI einen Anforderungskatalog (englischer Titel: Cloud Computing Compliance Controls Catalogue, kurz "C5"), anhand dessen Sicherheitsmerkmale eines Cloud-Angebots geprüft und nachgewiesen werden können (Umsetzung von Sicherheitsanforderungen, Offenlegung von Umfeldparametern wie Datenlokation, Diensterbringung, Gerichtsstandort, Zertifizierungen sowie Ermittlungs- und Offenbarungspflichten gegenüber staatlichen Stellen)[5]. Der Anforderungskatalog ist auf der Webseite des BSI frei verfügbar und bietet Cloud-Anbietern die Möglichkeit, sich im Rahmen einer Compliance- oder Wirtschaftsprüfung schnell und mit geringem Mehraufwand die Erfüllung der Anforderungen testieren zu lassen. Der Nachweis, dass ein Cloud-Anbieter die Anforderungen des Katalogs einhält und die Aussagen zur Transparenz korrekt sind, wird durch einen SOC2-Bericht erbracht. Dieser basiert auf dem international anerkannten Testierungsregime der ISAE 3000, das von Wirtschaftsprüfern verwendet wird. Für die Bundesverwaltung ist C5 ist ein Mindeststandard des BSI gemäß § 8 BSIG. Ergänzend dazu hat das BSI gemeinsam mit der ANSSI ein gemeinsames Label für Cloud Sicherheit - das ESCloudLabel- entwickelt.

Der IT-Planungsrat empfiehlt seinen Mitgliedern bei der Beschaffung von Cloud-Diensten die Anwendung eines entsprechenden eigenen Anforderungskataloges.


Nationale und EU-Clouds

Bundesinnenminister Hans-Peter Friedrich gab im Dezember 2011, vermutlich auch in diesem Zusammenhang, den Plan bekannt, eine "Bundes-Cloud" entwickeln zu wollen[6] (ähnliche wie Frankreich). Hauptantrieb sind Sicherheitsbedenken und der für amerikanische Unternehmen gelten Patriot Act.

Das Bundeswirtschaftsministerium hat die staatlich geförderte Plattform "Trusted Cloud" ins Leben gerufen. Auf diesem Portal können sich die Anbieter von Cloud-Diensten listen lassen, die entsprechend festgelegte Anforderungen (Transparenz, Sicherheit, Qualität und Rechtskonformität) erfüllen.

Die EU-Kommission hat im Rahmen der Digitalen Agenda ein Dokument "Cloud Service Level Agreement Standardisation Guidelines" ausgearbeitet.

Auch der IT-Planungsrat beschäftigt sich im Rahmen der NEGS mit Cloud Computing und hat erste Dokumente (u.a. einen Entwurf einer Richtlinie öffentliche Aufträge in der Cloud) veröffentlicht.

Der IT-Rat (zentrales Gremium für die ressort-übergreifende IT-Steuerung auf Bundesebene) hat zur Cloud-Nutzung durch die Bundesverwaltung eigene Kriterien zur Nutzung von Cloud-Diensten der IT-Wirtschaft veröffentlicht. Die Kriterien verhindern dabei nicht den geplanten Aufbau der eigenen Bundes-Cloud[7].


Internationale Clouds

Der Cloud-Dienst von Microsoft, Azure, wurde im Januar 2014 nach dem gemeinsamen Sicherheitsstandard der internationalen Zahlungssysteme PCI DSS [8] und Anfang 2015 nach ISO/IEC 27018 zertifiziert.

Um deutschen Datenschutzbedenken zu begegnen, bietet Microsoft nun auch regionalisierte Cloud-Dienste an. Über den "Datentreuhänder" Telekom, der die Rechenzentren in Deutschland (in Frankfurt/Main und Biere -Bördeland, Sachsen-Anhalt- in der Nähe von Magdeburg, die über eine vom Internet unabhängige Leitung verbunden sind) betreibt, sollen die Cloud-Dienste Azure, Office 365 und Dynamics CRM angeboten werden. D-Trust, eine hundertprozentige Tochter der Bundesdruckerei, liefert hierfür die TLS-Zertifikate, um Unternehmenskunden den geschützten Zugang zu Microsofts Deutschland-Cloud zu ermöglichen[9]. Eine Übertragung der Daten in andere Rechenzentren außerhalb Deutschlands findet nicht statt. Damit reagiert Microsoft auf die Problematik, einheitlich entwickelte Cloud-Dienste trotz international unterschiedlicher Datenschutzstandards und gesetzlichen Anforderungen (Stichwort Safe Harbor) vermarkten zu können, da die Daten nur im Geltungsbereich und entsprechend der jeweiligen Gesetze gespeichert und verarbeitet werden[10]. Auch Salesforce bietet, neben der Verwendung der von der EU-Kommission freigegebenen Standardvertragsklauseln als Ersatz für Safe Harbor, mittlerweile seine CRM-Produkte aus der T-System-Cloud an.

Auch die Firma Oracle bietet im Rahmen seine ULA-Verträge (Oracle Unlimited License Agreement - Konzern- bzw. Länderverträge) für seine Fusion Middleware ein Cloud Management Packet an.


Anwendung im SoHo-und Home-Bereich

Im Smartphone- und Tablet-Bereich ist Cloud Computing zwischenzeitlich schon weit verbreitet, auch wenn dies dem Nutzer gar nicht so bewusst ist. Jedes große Betriebssystem bietet auch seine Cloud (Android mit GoogleDrive, iOS mit iCloud, Windows mit SkyDrive). In diesen Geräteklassen ist eine Nutzung sogar sinnvoll, um beispielsweise Einstellungen und Profile online zu speichern und nicht auf die unbequeme Synchronisierung per zusätzlichen PC angewiesen zu sein. Allerdings sollte man keine vertraulichen Dokumente in der Cloud speichern (oder zuvor verschlüsseln, z.B. mittels dem Programm BoxCryptor); dies sollte im Smartphone- und Tablet-Bereich jedoch noch die Ausnahme sein. In den Nutzungsbedingungen amerikanischer Cloud-Anbieter ist nämlich eine mögliche Kooperation mit Regierungsbehörden eingeräumt. Auch räumen sich beispielsweise Microsoft und Apple zusätzlich die Möglichkeiten ein, Dateien zu sperren und zu löschen, wenn Urheberrechtsverletzungen vorliegen. In einem Fall reichte Microsoft über die US-Polizei einen Verdacht zu kinderpornographischem Material an das BKA weiter.

Bild: Voreinstellung SkyDrive

Allerdings wird ab Windows 8 auch die PC- und Laptop-Klasse standardmäßig mit einer Cloud-Anbindung versorgt. Windows 8.1 speichert neben den Benutzereinstellungen (u.a. auch das Anmelde-Passwort) auch Fotos, Songs, Videos & Co. automatisch auf OneDrive. Bei neuen Dokumenten ist OneDrive außerdem im Speicher-Dialog voreingestellt. Zumindest das automatische Speichern der Dokumente auf OneDrive sollte deaktiviert werden.

Im EU-Parlament wird die neue Outlook-App von Microsoft blockiert[11]. Damit ist der Zugriff auf die E-Mail-Konten der Parlamentarier mit der iOS- und Android-Smartphone-App nicht mehr möglich, da keinen direkten Kontakt zum E-Mail-Server aufgenommen wird. Der Kontakt wird von Microsoft über Dritt-Server geschleust, um bestimmte Funktionen, wie beispielsweise Push-Benachrichtigungen, bereitzustellen. Dazu speichert die Outlook-App den Benutzernamen sowie das Passwort auf den Servern des Anbieters in den USA.


Weblinks


Einzelnachweis

  1. SecuPedia Aktuell: Nutzung von Cloud Computing in Unternehmen boomt
  2. DE-Cleaner auf www.botfrei.de
  3. Studie (PDF-Datei) des Fraunhofer Instituts für sichere Informationstechnologie (SIT) von sieben Anbieter von Cloud-Speicherdiensten. 03/2012 (engl.)
  4. SecuPedia Aktuell: Sichere Nutzung der Cloud
  5. SecuPedia Aktuell: Anforderungskatalog Cloud-Computing
  6. Beitrag "Bericht: Innenministerium plant sichere "Bundes-Cloud" in heise.de/Security vom 19.12.2011 abgerufen am 20.12.2011
  7. SecuPedia Aktuell: Wie die Bundesverwaltung Cloud-Dienste nutzen will
  8. Beitrag "Azure wird kreditkartentauglich" in heise.de/Security vom 19.01.2014
  9. Beitrag "Bundesdruckerei liefert Zertifikate für Microsofts Deutschland-Cloud" in heise.de/Security vom 04.03.2016
  10. Beitrag "Microsoft: Deutsche Rechenzentren für Daten in der Cloud" in heise.de/Security vom 11.11.2015
  11. Beitrag "Outlook: EU-Parlament blockiert Microsofts neue App wegen Sicherheitsbedenken" in heise.de/Security vom 06.02.2015


Siehe übergeordnete Stichworte


Siehe auch



Diese Seite wurde zuletzt am 18. Mai 2017 um 11:26 Uhr von Oliver Wege geändert. Basierend auf der Arbeit von Ralf Schulze, Peter Hohl, Barry Scott, M. Albert, Sebastian Frank und Admin.

Anzeigen