Oft gehen Cloud-Computing-Verträge auf Sicherheitsrisiken nur mangelhaft ein, obwohl die damit verbundene Schadenswahrscheinlichkeit hoch ist. Davor warnt das jüngste Opinion Paper der ICT-Management-Beratung Detecon.
Es empfiehlt deshalb, Sicherheitsanforderungen früh und systematisch zu definieren sowie gegenüber dem jeweiligen Cloud-Anbieter vertraglich festzuschreiben. Zugleich betonen die Autoren, dass Anwender beim Umstieg zu Cloud Computing ihre IT-Sicherheit sogar erhöhen können.
„Grundsätzlich ist Cloud Computing nicht sicherer oder unsicherer als andere IT-Betriebsmodelle“, betont Bernd Jaster, Detecon-Berater und Koautor der Studie. „Die neuen und spezifischen Risiken müssen nur ausreichend adressiert und ernst genommen werden.“ Viele Gefährdungen ließen sich schon durch detailliert formulierte Vertragsklauseln vermeiden: „Falls etwa die Daten wegen gesetzlicher Vorschriften in einem bestimmten Land zu halten sind, muss ich mir einen Dienstleister wählen, der das vertraglich zusichern kann.“
Zugleich biete Cloud Computing Chancen für eine höhere IT-Sicherheit als bisher. Zum Beispiel führe die mit der Wolke verbundene Zentralisierung der IT-Services immer auch zu einer höheren Standardisierung von IT-Prozessen und zu spezialisierterem Fachwissen, was die Umsetzung von Schutzmaßnahmen erleichtere. „Vor allem bei kleinen und mittleren Betrieben ist mit einem eher höheren Sicherheitsniveau zu rechnen, da die IT-Aufgaben dann in den Händen größerer und erfahrener IT-Dienstleister liegen“, ergänzt Jaster.
Detecon weist darauf hin, dass Unternehmen, die den Einstieg in Cloud Computing planen, einen Kriterienkatalog benötigen, der unter Berücksichtigung von Sicherheitsanforderungen und Schutzzielen erstellt wird. Solch ein Katalog sei ein wichtiges Hilfsmittel bei der Anbieterauswahl und den anschließenden Vertragsverhandlungen. Nur so könne ein tragfähiges Sicherheitskonzept für die Migration und den Betrieb der IT-Dienste in der Cloud gewährleistet werden.
Das Detecon-Papier bewertet die Risiken nach möglicher Schadenshöhe und Eintrittswahrscheinlichkeit. So befinden sich zum Beispiel IT-Dienste und -Anwendungen aus Sicherheitsgründen traditionell in unterschiedlich geschützten Zonen innerhalb eines Netzwerks. Beim Cloud Computing lässt sich diese Segmentierung bei Software-Schwachstellen oder Fehlkonfigurationen vergleichsweise leicht umgehen. Ein weiterer wichtiger Aspekt ist der geografische Ort der Daten. Vorgaben seitens des Geschäfts und zum Teil auch der Gesetzgeber verlangen für manche IT-Dienste, dass deren Daten in bestimmten Ländern oder Regionen gehalten werden. Doch nicht alle Cloud-Computing-Anbieter wollen oder können dies garantieren.
Solche Sicherheitslücken behindern derzeit ein noch schnelleres Wachstum des Cloud Computings. Dies belegt eine im Detecon-Papier zitierte CIO-Research-Studie, nach der 45 Prozent der befragten Chief Information Officers (CIOs) Sicherheit mit Abstand am häufigsten als kritischen Erfolgsfaktor für Cloud Computing nennen. Zugleich unterzieht nicht einmal jedes zehnte die Cloud nutzende Unternehmen den gebuchten Service einer ernsthaften Sicherheitsprüfung oder schult Mitarbeiter auf Gefährdungen. Dies ist das Ergebnis einer aktuellen Untersuchung des Ponemon Institute.
„Die Sicherheitsrisiken von Cloud Computing lassen sich oft mit einfachen Mitteln in den Griff bekommen“, sagt Bernd Jaster. „Sie müssen nur identifiziert und offen adressiert werden.“ Cloud Computing sei keine neue Technologie, sondern ein Geschäftsmodell zur bedarfsgerechten und flexiblen Erbringung von IT-Diensten, deren tatsächliche Nutzung abgerechnet wird. „Die heutigen Anbietermärkte für Cloud Computing sind geprägt von Standardisierung, Automation und Modularisierung. All diese Trends erhöhen die Sicherheit mehr, als dass sie sie untergraben“, so Jaster.