Security als Erfolgsfaktor für Cloud Computing

„Über den Wolken muss die Freiheit wohl grenzenlos sein. Alle Ängste, alle Sorgen, sagt man, blieben darunter verborgen...“ heißt es in dem bekannten Lied von Reinhard Mey, in dem er ein startendes und in den Wolken verschwindendes Flugzeug besingt. Die Wolken sind jedoch längst nicht mehr nur Flugzeugen oder von Fernweh geplagten Mitmenschen vorbehalten. Auch immer mehr Unternehmen befassen sich mit „IT-Wolken“, in die sie Anwendungen und Daten auslagern können, um so effizientere und leistungsfähigere IT-Infrastrukturen aufzubauen. Neben dieser beinahe grenzenlos scheinenden IT-Freiheit gibt es jedoch auch hier Ängste und Sorgen, mit denen sich jeder auseinander setzen muss, der die unbestreitbaren Vorteile des Cloud Computings nutzen will. Denn im Cloud-Szenario werden die Grenzen von Rechenzentren durchlässig, etablierte Security-Ansätze verlieren ihre Tragfähigkeit. Es gilt, sich neuartigen Sicherheitsherausforderungen zu stellen.

Die Marktforscher von Forrester bis Gartner sind sich einig: Cloud Computing bleibt in den nächsten fünf Jahren ein Megatrend. Die Analysten sprechen von einem Paradigmenwechsel in der IT und betonen die enormen Chancen zu dauerhafter Kostenreduktion, höherer Flexibilität und verbesserter Wettbewerbsfähigkeit. Begrifflich spielt der Terminus Cloud Computing auf die Idee einer IT-Wolke an, die als Metapher eine neue Bereitstellungsform von Software und Infrastruktur-Diensten über das Internet umschreibt und das Wo und Wie der zugrundeliegenden Infrastruktur vor den Anwendern verbirgt. Cloud Computing erweitert serviceorientierte Konzepte wie SOA oder SaaS in Richtung einer universellen Plattformarchitektur, über die IT-Services jederzeit „On-Demand“ abrufbar sind.

Für Unternehmen stehen naturgemäß die wirtschaftlichen Aspekte von Cloud Computing im Vordergrund. Dazu zählen höhere Effizienz und Flexibilität der IT sowie die Möglichkeit, schwer kalkulierbare Infrastrukturinvestitionen in planbare Fixkosten zu verwandeln. Dabei bietet das Modell der abgeschlossenen Cloud interessante Möglichkeiten: Wer seine Anwendungen als gut geschützte Clouds in der eigenen Infrastruktur betreibt, kann bei Bedarf zusätzliche Ressourcen von externen Anbietern ergänzen. Voraussetzung dafür sind natürlich einheitliche Standards.

Prinzipiell können Unternehmen im Cloud-Szenario jede Art von Applikation oder Infrastrukturdienstleistung als On-Demand-Service bereitstellen oder extern abrufen. Trotz aller Flexibilitäts- und Kostenvorteile dürfte jedoch vielen IT-Verantwortlichen unwohl sein bei dem Gedanken, sensible Daten und kritische Prozesse aus der Hand zu geben und einer Cloud-Infrastruktur anzuvertrauen. Cloud Computing braucht deshalb angemessene Sicherheitskonzepte, die dem komplexen Beziehungsgeflecht zwischen Nutzern und Anbietern Rechnung tragen. Es klingt wie die Quadratur des Kreises: In einer Cloud müssen IT-Verantwortliche Kontrollfunktionen zwar abgeben, dürfen dadurch aber weder Integrität noch Vertraulichkeit von Informationen gefährden. Hinzu kommen diverse Compliance-Anforderungen, die für Cloud-User natürlich genauso verbindlich sind wie für Unternehmen mit traditionell arbeitenden Rechenzentren.

Eine Sache des Vertrauens

Wer Security-Verantwortung partiell an Cloud-Partner abgibt, muss diesen Partnern und ihren Systemen vertrauen können. Cloud Computing erfordert folglich eine Trust-Infrastruktur, um sämtliche Beziehungen und Prozesse zwischen den Cloud-Partnern zu verifizieren. Etliche Elemente einer solchen Plattform sind in vielen Rechenzentren schon heute etabliert. Sie lassen sich von hier aus nahtlos auf private und öffentliche Clouds erweitern. Dazu könnte beispielsweise das Identitäts-Management als Cloud-weite Lösung implementiert werden. Dies schließt Third-Party-Authentifizierung ebenso ein wie föderierte Identitäten mit netzwerkübergreifender Gültigkeit. Einfache Nutzer- und Passwortkennungen sind durch starke Authentifizierungsmethoden wie One-Time-Passwords abzulösen und durch risikobasierte Authentifizierungsfunktionen zu ergänzen, zum Beispiel durch kontextbezogene Verhaltensprotokollierung.

Traditionelle Rechenzentren garantieren Integrität, Authentizität und Vertraulichkeit von Daten vorrangig durch Schutzvorkehrungen an ihren Außengrenzen. Da diese Schutzwälle im Cloud-Szenario durchlässig werden, brauchen die Informationen selbst eine Schutzhülle, die sie auf ihrer Reise durch die Cloud begleitet. Dies ist wiederum nur mit einem dezidiert informationszentrierten Security-Ansatz möglich. Als Multi-Mandanten-Plattform versorgen Clouds zudem viele Anwender simultan. Deren Daten müssen durch Virtualisierung, Verschlüsselung und Zugriffskontrolle sicher gegeneinander abgeschottet sein – nicht nur auf Dateiebene, sondern auch auf Satz-, Feld- und Blockebene. Umsetzen lässt sich all dies nur mit einem flexiblen Richtlinien-Framework, das den Lebenszyklus von Informationen vollständig abdeckt. Unverzichtbar sind außerdem effektive Klassifikationstools, mit denen sich das Schutzbedürfnis und die Zugriffspriorität für jeden Informationstyp präzise einstellen lassen. Um Governance- und Compliance-Ansprüchen gerecht zu werden, ist schließlich eine Art digitales Cloud-Logbuch empfehlenswert, das alle Event- und Statusinformationen lückenlos dokumentiert.

Ein weiterer Schwerpunkt der Cloud-Security betrifft die Sicherheit der beteiligten Komponenten und deren Schnittstellen. Hier sind zusätzlich Kontrollfunktionen auf Prozessebene gefragt, zum Beispiel beim Konfigurations- und Change-Management. Die Architektur als solche muss von Grund auf als selbstverteidigende und selbstheilende Infrastruktur ausgelegt sein. Mit Blick auf die Wirtschaftlichkeit von Clouds als Multi-User-Plattform darf Sicherheit jedoch nicht zulasten der Flexibilität gehen. Schon gar nicht, wenn es um die kundenindividuelle Ressourcen-Bereitstellung bei sehr unterschiedlichen Anforderungen geht. An dieser Stelle zeigt sich, wie eng IT-Security und Resource-Lifecycle-Management in einer Cloud zusammenhängen.

IT-Sicherheit ist Grundvoraussetzung für die Cloud

In den frühen Tagen der Industriegeschichte hatte jede Manufaktur ihre eigene Stromversorgung, etwa ein hölzernes Rad in einem Fluss, dessen Strömung Webmaschinen in Gang hielt. Mitte des 19. Jahrhunderts traten dann die ersten firmenübergreifenden Energieerzeuger auf den Plan. Schnell entwickelte sich eine flächendeckende Versorgungsinfrastruktur, die ihrerseits zum Treiber der weiteren Industrialisierung wurde. Ähnlich grundlegend verändern gemeinsam genutzte IT-Infrastrukturen die Ökonomie heutiger Rechenzentren. Grundbedingung für die Cloud ist jedoch die Bewältigung spezifischer IT-Security-Herausforderungen. Cloud Security erfordert daher einen Wechsel der Perspektive: weg vom autarken Rechenzentrum, das einer Festung gleicht, hin zu einem übergreifenden, informationszentrierten Security-Ansatz. Unternehmen, die dies berücksichtigen, können – anders als Reinhard Mey – sagen: „Wolken spiegeln sich darin. Ich bin gern mitgeflogen.“