Swiss Infosec AG - Newsfaelle: Risiken bei „Cloud Computing“, Was ist eigentlich Cloud Computing?

Risiken bei „Cloud Computing“

Was ist eigentlich Cloud Computing?

Kontinuierliche, hohe Verfügbarkeit wichtiger Daten und Geschäftsanwendungen allen Ortens bei gleichzeitig minimalem Administrationsaufwand und geringen Fixkosten. Das klingt verlockend und verspricht einen erheblichen Vorteil gegenüber klassischen selbst betriebenen Data Centern. Derzeit ist „Cloud Computing“ ein Hype. Welche Versprechungen Produkte „aus der Cloud“ tatsächlich halten können muss sich jedoch erst noch zeigen.
Bisher sind in den meisten Unternehmen die IT-Systeme in einem eigenen Rechenzentrum untergebracht und übersichtlich in einem Netzwerkdiagramm dokumentiert. Das Internet wird in diesen Diagrammen meist nur als undurchsichtige Wolke dargestellt, gegen die man sich mit Firewalls schützt und durch die sich VPNs ihren Weg schnitten. Der Trend zum Cloud Computing versucht nun unsere IT-Aktivitäten in genau diese Wolke zu verlagern. Da ist es kaum verwunderlich, dass so mancher Bedenken äussert und ungern seine Applikationen metaphorisch „im Nebel“ verschwinden sehen möchte.

In einer von THALES in Auftrag gegebenen Studie gaben 52% der Befragten Datensicherheit als primären Aspekt an, welcher ihre Organisation von der Einführung von Cloud Computing abhält. In die gleiche Richtung gehen die Zahlen der Studie „Cloud Vendor Benchmark 2010“ der Experton Group, welche ebenfalls Sicherheits- und Compliance-Bedenken zusammen mit Intransparenz und Performance-Befürchtungen als Hauptgründe für die Zurückhaltung gegenüber den Cloud Computing Technologien anführt .

Den Bedenken stehen dabei enorme Kostenvorteile oder zumindest Kostentransparenz gegenüber, denn Angebote „aus der Cloud“ werden als „Software/Infrastructure/Platform as a Service“ streng nutzungsbasiert abgerechnet. Den unter ständigem Kostendruck stehenden CIOs kann daher Cloud Computing durchaus schmackhaft erscheinen.
Anbieter von Cloud Services sehen den klassischen Administrator, der Betriebssysteme installiert, Patches einspielt und sich mit Hardwareproblemen herumschlägt, bereits als aussterbende Spezies an. Technisch kann Cloud Computing als Kombination aus Virtualisierung verbunden mit einem intelligenten Management der verwendeten Ressourcen verstanden werden. Die dadurch effizientere Nutzung von Hardwareressourcen und das einfache Handling virtueller Maschinen in Bezug auf Ressourcenverteilung, Datensicherung, Klonen, etc. hat mittlerweile dazu geführt, dass sich auch unternehmensintern kaum noch ein Rechenzentrum dieser Technik verschliesst. Kombiniert man dies noch mit einer Trennung zwischen Plattform und Applikation, so dass die einzelnen Fachabteilungen ihre eigenen Applikationen auf zentral bereitgestellten Plattformen laufen lassen können, spricht man bereits von einer „Private Cloud“.

Zur kommerziellen Vermarktung als Dienstleistung bedarf es zusätzlich noch einer genauen verbrauchsabhängigen Abrechnung der tatsächlich genutzten Rechenleistung, des Speicherplatzes und der Übertragungskapazitäten. Auch innerhalb einer „Private Cloud“ ist dies schon bekannt. So ist es bei IBM schon lange üblich, die Rechenkapazität des Hostsystems im eigenen RZ nur noch zu mieten, statt sie zu kaufen. Wird beispielsweise am Jahresende mehr Rechenleistung für den Jahresabschluss benötigt, kann der Kunde sich diese je nach Bedarf für seine Systeme dazu mieten. Eben dieses Geschäftsmodell verfolgt IBM allerdings auch in der externen Wolke als „Computing on Demand“-Lösung, bei der entsprechende Infrastruktur „in der Cloud“ bedarfsweise hinzu gemietet werden kann.
Diesen Dienst gibt es allerdings schon länger und er wurde in letzter Zeit nur aus Marketinggründen noch mit „Cloud“ Begriffen verziert. Die von den Anbietern gepriesene „Hybrid Cloud“, bei der die Kunden ihre virtuellen Maschinen „per Drag and Drop“ je nach Lastanforderungen und Kritikalität zwischen der privaten und der öffentlichen Cloud hin und her verschieben können, ist derzeit wohl eher ein frommer Wunsch des Marketings. Die hierfür benötigten Kapazitäten in den Netzwerkverbindungen liegen noch weit entfernt von denen eines üblichen Breitbandanschlusses. Bei VMware werden für „vMotion“ durchaus 10 GBit an Bandbreite veranschlagt. Von den Latenzzeiten in öffentlichen Netzen ganz zu schweigen!

Wirklich innovativ wird die „Public Cloud“ vor allem bei den Anbietern von Plattformen (folgerichtig: „Platform as a service“) umgesetzt. Hierzu zählen vor allem „die Grossen“ der Branche wie Amazon mit den „Amazon Web Services“, Microsoft mit der neuen „Azure“ Plattform oder Force.com. Auf all diesen Plattformen sollen künftig Entwickler ihre eigenen webbasierten Anwendungen erstellen und dem Kunden online bereitstellen.
Technisch wird jeder Applikation dabei eine eigene virtuelle Maschine zugewiesen, deren Hardwareressourcen durch einen Loadbalancer verwaltet (und zur Abrechnung protokolliert) werden. Die Anwendung steht dann automatisch weltweit bereit und kann dort entweder einer geschlossenen Benutzergruppe oder eben „jedem“ zugänglich gemacht werden. Die Administration des zugrunde liegenden Betriebssystems oder der Datenbanksoftware obliegt dabei stets dem Plattformanbieter.

Streng genommen ist Cloud Computing gar nicht so neu. Im weiteren Sinne ist die Nutzung der meisten Webmailer oder die Verwendung von WebEx für Konferenzen eine Form von „Cloud Computing“, wenn der Begriff entsprechend weit gefasst wird. Die hier zugrunde liegende Technologie ist vergleichbar. Demzufolge verwundert es auch nicht, dass der Weg in die Cloud zunächst über Applikationen führt, die ohnehin oft schon webbasiert sind und es deshalb für den Anwender keine spürbaren Unterschiede gibt. Daher kann man gerade CRM-Systeme oder eben auch Mail und Online Collaboration Tools als Cloud-Pioniere bezeichnen. Dass klassische Officeanwendungen ebenfalls den Weg ins Web finden, hat Google mit seinen „Software-as-a-Service“-Angeboten wie z.B. Google Docs gezeigt. Auch Microsoft will zukünftig mit „Office Web Applications” das Office Paket als Online-Applikation anbieten und damit der Konkurrenz von Google Docs entgegentreten.

Die Cloud Computing-Technologie reisst die physikalischen Grenzen nieder, die uns bisher geholfen haben, unsere informationellen Werte zu schützen. Ganz bewusst muss sich der zukünftige Cloud-Kunde vertrauensvoll in die Hände seines Providers begeben. So räumt auch Andreas von Gunten, Verwaltungsratspräsident des Cloud-Dienstleisters PARX in einem Interview ein: „Er [der Kunde] muss sich da weitgehend auf den Markt, auf die Zertifizierungen und die rechtlichen Rahmenbedingungen verlassen. Das ist ähnlich wie bei den meisten anderen Dienstleistungen. Sie können meistens nicht wirklich unter die Haube schauen.“
Dabei ist es genau das, was die Kunden davon abhält, über das Thema Cloud Computing im grösseren Umfang nachzudenken. Schliesslich gibt man die Datenverarbeitung und -speicherung in fremde Hände und niemand kann einem wirklich garantieren, dass die Daten dort ebenso sicher liegen, wie im eigenen Rechenzentrum. Denn schliesslich haben auch die Cloud-Anbieter ihre Sicherheitsprobleme, wie der Vorfall bei Google Docs vom März 2009 zeigte. Hierbei hatten Anwender, denen man bereits einmal Zugriffsrechte auf eigene Dokumente eingeräumt hatte, dieses Recht auch für andere Dokumente, ohne dass diese explizit freigegeben wurden. Aber auch Anwenderfehler innerhalb von Google Docs können dazu führen, dass private Daten in jedermanns Hände gelangen können. Sicher sind derartige Fehler auch in Unternehmensnetzwerken nichts Unbekanntes. Allerdings ist die Wirkbreite solcher Anwenderfehler hier viel geringer.

Bisher noch nicht in der Presse aufgetaucht sind Vorfälle, bei denen sich Hacker unberechtigten Zugriff auf Daten in Cloud-Applikationen verschafft haben. Dies dürfte jedoch nur eine Frage der Zeit sein, wenn man davon ausgeht, dass Kreditkartendaten doch mindestens „genauso gut“ wie die Daten von Cloud Usern geschützt sein müssen und dennoch regelmässig zu Markte getragen werden. Dabei müssen es noch nicht einmal Schwachstellen bei den Anbietern sein, die zu solchen Pannen führen. Besorgniserregend ist zum Beispiel, dass Zugriffe auf die online angebotene Software überwiegend nur mit der Kombination aus Nutzername und Passwort abgesichert werden und damit die diesem System immanenten Schwachstellen nun sogar im Internet „verfügbar“ sind. Hier wurden längst etablierte Security-Mechanismen beim Remotezugriff auf das Firmennetz wieder der Angst vor möglichen Markteintrittsbarrieren geopfert. Scheinbar hat man nichts aus den Sicherheitsdebakeln bei der Einführung der WLAN Router oder anderer Technologien gelernt.
Des Weiteren ist die Trennung der einzelnen virtuellen Maschinen untereinander, welche etwaige unerwünschte Querverbindungen zwischen den Applikationen einzelner Kunden unterbinden soll, essentiell für das Sicherheitskonzept eines Cloud Computing Providers. Auch hier gab es in der Vergangenheit Schwachstellen die, wenn sich die Virtualisierung innerhalb des Unternehmens abspielte, keine gravierenden Auswirkungen hatten. In einer Public Cloud wäre das der grösste anzunehmende Unfall gewesen. Wenig beachtet sind auch die Risiken auf der Client-Seite. Die Nutzung von Anwendungen in der Cloud basiert fast immer auf der Nutzung von Webbrowsern, oft ergänzt durch proprietäre Plugins. Das Risiko einer Kompromittierung des internen LAN durch eine Browserschwachstelle wächst hierdurch. Zusätzliche Risiken ergeben sich aus der viel gepriesenen Nutzung der Software Services „aller Orten“. Im Zweifelsfall heisst das für den Anwender: Super, ich kann jetzt meine Arbeit auch im Internetcafé erledigen! Risiken die sich hieraus ergeben (Daten, die im Cache des Browsers verbleiben, Ausspähen von Applikations- und Zugangsdaten über Keylogger oder SSL Proxies) werden oftmals durch den Anbieter ausgeblendet und nur in den einschlägigen Foren diskutiert.

Last but not least spielt natürlich auch die Verfügbarkeit der Plattform eine entscheidende Rolle. Sicher ist die Infrastruktur der Provider hoch redundant ausgelegt und über die ganze Welt verteilt, so dass Hardwareausfälle sich höchstens, wenn überhaupt, in der Performance auswirken. Systematische Fehler hingegen können die gesamte Plattform in Mitleidenschaft ziehen. Und läuft die Plattform nicht, geht gar nichts mehr. Es könnten Millionen betroffen sein. Der Ausfall von Microsoft Azure über 22 Stunden hat dies sehr eindrücklich demonstriert, obwohl hier der Fairness halber gesagt werden muss, dass dieser Ausfall noch innerhalb des Probebetriebes geschah.
Neben diesen Sicherheitsbedenken eher technischer Art spielt natürlich auch das Vertrauen in den Anbieter selbst eine Rolle. Schliesslich hätte dieser, wenn er nur will, vollen Zugriff auf die Daten seiner Kunden und auch den Einblick in die Datenverarbeitung. Hiergegen ist rein technisch auch kaum ein Kraut gewachsen. Verschlüsselungskonzepte gibt es, wenn überhaupt, bisher nur für die Datenablage. Die Datenverarbeitung innerhalb des Speichers bleibt dagegen für den Provider offen einsehbar.
Abgesehen davon ist auch die verschlüsselte Datenablage nur dann wirklich ausreichend, wenn der Provider nicht selbst auch das Schlüsselmaterial verwaltet. Das wiederum ist technologisch schwer zu lösen, solange es sich bei der Dienstleistung nicht nur um eine reine Dateiablage handelt. Sobald Applikationen auf der Plattform mit den verschlüsselt abgelegten Daten arbeiten sollen, müssen diese auch irgendwie Zugriff auf den Schlüssel haben, der dann zumindest wieder im Arbeitsspeicher der virtuellen Maschine im Klartext zu finden ist.
Gerade dieses Thema scheint aber die potentiellen Kunden zu bewegen. In der bereits erwähnten Studie, die von THALES bei Trust Catalyst in Auftrag gegeben wurde, gaben 45% der Befragten an, dass sie Cloud Computing erst einführen würden, wenn die Daten verschlüsselt würden. 59% der Befragten möchten nicht, dass Schlüsselmaterial vom Anbieter des Cloud Computing-Dienstes verwaltet wird. Allerdings ist „gar keine Verschlüsselung“ derzeit eher die Regel.

Ungeachtet dessen kann Public Cloud Computing aber auch durchaus Sicherheitsvorteile bieten. Erfahrungsgemäss sind gerade die kleinen und mittelständischen Unternehmen betreffend IT-Sicherheit sowohl in technischer Hinsicht, als auch in den organisatorischen Abläufen, häufig überfordert. Das fängt bei geordneten IT-Betriebsprozessen (allen voran das Change Management) an und hört beim professionellen Einsatz von Sicherheitsprodukten auf. Hier kann die Verlagerung von IT-Ressourcen „in die Cloud“ durchaus auch Security-Vorteile bringen. Denn in Bezug auf die stabile Verfügbarkeit der Applikationen dürfte ein etablierter Provider hier gegenüber der internen IT die besseren Karten haben.
Diese Entscheidung sollte allerdings jedes Unternehmen auf Basis einer Chancen- und Risikobetrachtung fällen und sich nicht nur von Kostenaspekten leiten lassen. Denn letztendlich verbleibt die Gesamtverantwortung für die Sicherheit der eigenen Datenverarbeitung im Unternehmen, auch wenn die Plattform nicht in den eigenen Einflussbereich fällt.

Neben den Sicherheitsbedenken, die sich aus eigenen Interessen des Unternehmens ergeben, müssen auch rechtliche Aspekte in die Entscheidung Pro oder Contra von Cloud Computing einfliessen. Die Verarbeitung personenbezogener Daten, sei es die der eigenen Mitarbeiter oder im Auftrag Dritter, muss sich den rechtlichen Anforderungen unterwerfen. Für die Einhaltung dieser Richtlinien ist der Auftraggeber, in diesem Fall also der Kunde des Cloud Computing Providers verantwortlich.
Gerade durch die Virtualisierung innerhalb der Cloud, kann es vorkommen, dass ein Provider nicht genau beeinflussen kann, auf welchem Server und in welchem Land Daten eines bestimmten Kunden verarbeitet werden. Im Sinne des Datenschutzes ist dies jedoch nicht zulässig, da eine Übermittlung personenbezogener Daten in das nicht-europäische Ausland („Drittstaaten“) nur zulässig ist, wenn der Eidgenössische Datenschutz- und Öffentlichkeitsbeauftragte (EDÖB) die Angemessenheit des dortigen Datenschutzniveaus bestätigt hat. Dies ist zum Beispiel für die USA nicht der Fall (ausgenommen sind Unternehmen, die dem „Safe Harbor“ Abkommen beigetreten sind).
Unabhängig von den allgemeinen datenschutzrechtlichen Aspekten erfolgt der Zugriff von Behörden auf einen Server immer nach lokalem Recht. Im Zweifelsfall müsste ein Provider daher Kundendaten (oder auch Schlüsselmaterial) an Behörden in einem Drittstaat herausgeben, falls diese den Zugriff auf die Daten des Kunden verlangen. Dies gilt natürlich auch dann, wenn der Zugriff nach hiesigem Rechtsverständnis nicht zulässig ist. In diesem Fall unterbleibt in der Regel auch eine Information des Betroffenen. Die Einsichtnahme amerikanischer Behörden in die Banktransaktionen über SWIFT in den USA ist ein prominentes Beispiel hierfür.

Trotz der ausführlich betrachteten Sicherheitsaspekte ist Cloud Computing kein Teufelswerk, sondern eine zukunftsweisende Technologie, die durchaus ihre Existenzberechtigung hat. Dienstleistungen aus der Cloud können daher eine sinnvolle Alternative zur inhouse-Bereitstellung von Anwendungen sein, wenn folgende Bedingungen erfüllt sind:

Es handelt sich um weniger geschäftskritische Anwendungen, bei denen die zugesicherte Gesamtverfügbarkeit des Providers zusammen mit der Verfügbarkeit der Internetanbindung eine entsprechende Verlagerung als vertretbar erscheinen lassen.
Es werden keine vertraulichen Daten verarbeitet und es stehen keine gesetzlichen oder vertraglichen Auflagen der Verarbeitung in der Cloud entgegen.
Die Anwendung verlangt keine nennenswerte Bandbreite zwischen Client und Server.
Der Anbieter legt transparent dar, wie die Informationssicherheit in seinem Unternehmen gehandhabt wird (lediglich ein ISO 27001- oder SAS70-Zertifikat ist hierfür nicht ausreichend).
Idealerweise räumt er dem Kunden ein Auditrecht vor Ort ein.

Quelle: All-about-security.de; Holm Diening; 15.01.2010

Zurück