Analysten von Gartner bis Forrester haben Cloud Computing als einen der wichtigsten IT-Trends für 2010 benannt. Die Nutzung von Cloud-Services, um Informationen zu speichern und Anwendungen über das Internet oder firmeneigene Netzwerke zu betreiben, bietet Unternehmen enorme Chancen für dauerhafte Kostenreduktion, höhere Flexibilität und verbesserte Wettbewerbsfähigkeit. Für IT-Entscheider wird es zunehmend wichtiger, eine Infrastruktur aufzubauen, die schnell an die sich wandelnden Geschäftsbedürfnisse angepasst werden kann und die gleichzeitig leicht zu verwalten ist. Wie erklärt sich aber die noch bestehende Zurückhaltung bei der Nutzung von Cloud-Services? Gründe dafür sind vor allem die Abwägung eventueller Sicherheitsrisiken und die Angst vor einer fehlenden Kontrolle über firmeneigene Daten. Diese Skepsis ist nachvollziehbar, da in der Cloud die Grenzen von Rechenzentren durchlässig werden und etablierte Compliance-Lösungen ihre Tragfähigkeit verlieren. Doch bereits vor dem Schritt in die Cloud können durch ein koordiniertes Sicherheitsmanagement Risiken ausgegrenzt und Compliance-Fragen geklärt werden.

Compliance ebnet den Weg in die Wolken

Cloud Computing ist kein eigentlich neues Konzept, sondern eine Outsourcing-Variante. Auch Cloud-Anwendungen mit sensiblen Daten sind nicht wirklich neu. Schon vor Jahrzehnten wurden etwa Lohn- und Gehaltsabrechnungen ausgelagert. Heute können Unternehmen im Cloud-Szenario Applikationen oder Infrastrukturdienstleistungen als On-Demand-Service bereitstellen oder abrufen. Dies bietet Flexibilitäts- und Kostenvorteile, kann aber manchem IT-Verantwortlichen Bauchschmerzen bereiten, wenn etwa Produktinformationen, Finanzdaten oder Nachweise über bestimmte Produktionsauflagen in eine Cloud-Infrastruktur eingebunden werden sollen. Schnell stellt sich die Frage nach ausreichenden Standards und Absicherungen, die erforderliche Compliance-Auflagen gewährleisten sowie nach der Revisionsfähigkeit von Daten und Programmen. Fest steht: Wie bei allen Technologieanwendungen, müssen auch beim Cloud Computing im Vorfeld die Risiken und Gefahren geklärt sein. Dann ist das Compliance-Risiko von Cloud-Anwendungen nicht größer als bei der internen IT-Nutzung. Beim Auslagern von IT-Diensten beginnt die Risikoanalyse mit der Betrachtung der jeweiligen Cloud-Art. Eine Infrastruktur-Cloud bietet beispielsweise wesentlich bessere Kontrollmöglichkeiten über die Daten als eine Plattform-Cloud. Zu berücksichtigen ist auch, ob es sich um eine interne, externe oder gemischte Cloud handelt, denn eine spezielle Cloud-bezogene Compliance-Relevanz besteht nur bei externen und gemischten Clouds.

Die Überprüfung der Compliance läßt sich beschleunigen, wenn der gewünschte Cloud-Provider bereits über Lösungen und Kunden verfügt, die aus der gleichen Branche stammen und somit denselben Auflagen unterliegen. Hier gilt es abzuklären, welche Geschäftsprozesse und Daten diese Unternehmen in die Cloud verlagert haben und welche Art von externen Cloud-Services sie nutzen. Rechnung zu tragen ist in jedem Fall einem besonderen Problem der Daten-Compliance: In Europa dürfen verschiedene personenbezogene Daten nicht außerhalb des Hoheitsgebiets physisch gelagert werden. Im Zweifel empfiehlt sich die Hinzuziehung eines juristischen oder externen Sicherheitsexpertens. Alle Zusagen des Providers sollten von diesem schriftlich bestätigt werden, am besten im Rahmen der erforderlichen Service Level Agreements (SLA). Diese Vereinbarung enthält auch Aussagen zur Revisionsfähigkeit. Ein Cloud-Provider muss seine IT-Prozesse auf Wunsch einer genauen Überprüfung unterziehen können.

Trotz aller Vereinbarungen kann sich der Cloud-Nutzer nicht von seiner unternehmerischen Verantwortung frei machen. Denn dem Cloud-Provider kommt die Rolle eines Lieferanten zu, der zwar Vorschriften unterliegt, der aber nicht die Endhaftung übernimmt. Letztlich ist dem Provider daran gelegen, alle SLAs und Compliance-Anforderungen zu erfüllen, da er bei Verstößen umgehend sein Geschäft verliert.

IT-Sicherheit – Basis für das Vertrauen in die Cloud

Wer Security-Verantwortung an einen Cloud-Partner abgibt, sollte nicht nur diesem sondern auch seinem System vertrauen können. Möglich wird dies durch eine Trust-Infrastruktur, die Beziehungen und Prozesse der Partner im Cloud Computing verifiziert. Daneben kann ein Identitäts-Management eingeführt werden, das Third-Party-Authentifizierung ebenso einschließt, wie föderierte Identitäten mit netzweiter Gültigkeit. Wichtig dabei: starke Authentifizierungsmethoden wie One-Time-Passwords, die durch risikobasierte Funktionen, wie eine kontextbezogene Verhaltensprotokollierung, ergänzt werden.

Schutzwälle nach außen, durch die traditionelle Rechenzentren Integrität, Authentizität und Vertraulichkeit von Daten garantieren, werden in der Cloud durchlässig. Alle Informationen, die auf die Reise durch die Wolke geschickt werden, benötigen eine eigene Schutzhülle. Da Clouds als Multi-Mandanten-Plattform viele Anwender simultan versorgen, müssen Daten durch Virtualisierung, Verschlüsselung und Zugriffskontrolle auf sämtlichen Ebenen sicher gegeneinander abgeschottet sein. Dies läßt sich durch ein flexibles Richtlinien-Rahmenwerk umsetzen, das den Lebenszyklus von Informationen vollständig abdeckt. Zudem sollte nicht auf effektive Klassifikations-Tools verzichtet werden, mit denen das Schutzbedürfnis und die Zugriffspriorität für jeden Informationstyp ermittelt werden kann. Um Compliance-Ansprüchen zu genügen, empfiehlt sich außerdem eine Art Cloud-Logbuch, das Event- und Statusinformationen lückenlos aufzeichnet. Auch die Sicherheit der beteiligten Komponenten und deren Schnittstellen ist ein Schwerpunkt der Cloud-Security. Dazu bedarf es zusätzlicher Kontrollfunktionen auf Prozessebene, etwa beim Konfigurations- oder Change-Management.

Gute Vorraussetzungen für eine Zukunft in den Wolken

Cloud Computing fordert von Unternehmen einen Wechsel der Perspektive – weg vom autarken, festungsartigen Rechenzentrum, hin zu einem übergreifenden, informationszentrierten Ansatz. Grundbedingungen für die Nutzung von Cloud-Services sind die Bewältigung spezifischer IT-Security-Herausforderungen und die entsprechende Anwendung von Compliance-Auflagen. Unternehmen, die ihre Schritte in die Cloud sorgfältig planen und umsichtig realisieren, müssen nicht damit rechen, dass am Ende des Horizonts dunkle Wolken aufziehen.