Cloud-Security

Marktplätze in der Wolke

Von Karl-Heinz Möller · 2017

Per Cloud-Computing beziehen Unternehmen auf ihre Bedürfnisse zugeschnittene Infrastruktur-Services. Um Daten und Prozesse in die „Rechnerwolke“ zu transformieren, bedarf es Vertrauen und Kompetenz des Providers. Es gehört Erfahrung dazu, um eine bestehende IT bei laufendem Betrieb zu transformieren. Datenschutz und Datensicherheit sollten dabei ebenso selbstverständlich sein wie die Erfüllung höchster Compliance-Anforderungen.

Kaum ein Thema in der IT wurde so kontrovers diskutiert wie Cloud Computing. Diese Phase ist überwunden. Für viele Business-Entscheider und IT-Verantwortliche ist die Cloud eine unverzichtbare Technologie, mit der sich Geschäftsprozesse optimieren und ein Unternehmen insgesamt agiler gestalten lässt. Zudem gilt sie als probates Mittel, um den optimalen Nutzen aus IT-Investitionen zu ziehen.

Vertrauensverhältnis zwischen Unternehmen und Provider

Gestern noch eine Geschäftsidee, mittlerweile schon Big Business. Das Internet-Zeitalter macht es möglich. Mit Cloud Computing beziehen Unternehmen und andere Einrichtungen bedarfsgerecht Infrastruktur-Services bis hin zu Software-as-a-Service (SaaS). Bis die Daten und Prozesse in die Cloud gelangen, muss zwischen Unternehmen und Betreiber ein Vertrauensverhältnis entstanden sein. Cloud Computing muss auch Cloud Security sein. „Der Erfolg hängt aber letztlich davon ab, inwieweit die Anbieter von Cloud-Diensten die Bedenken der Nutzer ausräumen können“, sagt IT-Berater Markus Vehlow bei PricewaterhouseCoopers PwC.

Angebote und Nutzung der Dienstleistungen erfolgen dabei über technische Schnittstellen, Protokolle und via Webbrowser. Die Bandbreite der im Cloud Computing angebotenen Dienstleistungen umfasst das gesamte Spektrum der Informations- und Kommunikationstechnik und beinhaltet unter anderem Infrastruktur, Plattformen und Software.

Die Cloud-Investitionen (B2B) stiegen in Deutschland von 2011 von 1,4 Milliarden Euro in 2016 auf mehr als sechs Milliarden Euro in an. Ungefähr neun Prozent der gesamten IT-Ausgaben flossen nach Marktbeobachtern in Cloud-Technologien, -Beratung und -Services. Die Grenzen zwischen Public- und Private Cloud-Modellen verwischen. Das Ergebnis sind immer häufiger Hybrid Clouds oder auch Community Clouds.

Unterscheidung zwischen datenkritischer und -unkritischer Workflows

Public- oder öffentliche Clouds sind Angebote eines frei zugänglichen Providers, der seine Dienste offen über das Internet für jedermann zugänglich macht. Dem gegenüber stehen Private Cloud Dienste. Aus Gründen von Datenschutz und IT-Sicherheit ziehen es Unternehmen häufig vor, ihre IT-Dienste selbst zu betreiben und ausschließlich eigenen Mitarbeitern bereitzustellen.

Mit Hybrid Clouds werden Mischformen dieser beiden Ansätze bezeichnet. So werden bestimmte Services bei öffentlichen Anbietern über das Internet abgewickelt, während datenschutzkritische Anwendungen und Daten im Unternehmen verarbeitet werden. Die Herausforderung liegt hier nach Definition der Fraunhofer Gesellschaft in der Trennung der Geschäftsprozesse in datenschutzkritische und -unkritische Workflows.

Identifizierung und die Regelung des Zugangs sind ein zentraler Komplex im Einsatz von Cloudtechnologie und deren Management. Die Sicherheit der IT-Ressourcen, Daten und Anwendungen genießt höchste Priorität. Identitäts- und Zugangsmanagement greift in alle Bereich des Unternehmens ein bis in die Cloud. Verschiedene Levels der Berechtigung und Autorisierung sind im Rahmen einer Zugangshierarchie zu definieren. Verdächtige Aktivitäten werden in einer umfangreichen Softwarelösung in Form kontinuierlich geführter Reports dokumentiert und in speziellen Audits geprüft und gegebenenfalls als Sicherheitsrisiken entlarvt und entschärft.

Ein wichtiger Faktor für Cloud Security ist die Übertragung der Daten zwischen Endgerät und Rechenzentrum (End-to-end). Die Verschlüsselung sämtlicher Daten ist Pflicht. Cloud-Anbieter sollten in der Lage sein, bestimmte Bandbreiten oder Latenzzeiten
einzuhalten.