Gastbeitrag: Cloud9 or Lost In (that) Space

Cloud Blog / 25. Mai 2010

„Cloud9 or Lost In (that) Space“ war die Frage, der sich jüngst auf einer internationalen Konferenz Fachleute für Sicherheit und Identitätsmanagement gegenübergestellt sahen. Auf Cloud 9 oder Wolke 7 sehen sich die meisten Sicherheitsspezialisten kaum, wenn es um die Auslagerung von ICT-Services ins „Internet“ geht. Und „verloren im All“ ist der Anwender jedenfalls auch nicht. Consumer, Geschäftkunden und Großkonzerne nutzen die Dienste aus der Wolke – nicht erst seit gestern.

Doch wo die Probleme angeblich oder auch wirklich liegen, ist nicht immer leicht beantwortet. Die Technik, also Unterschiede zwischen eigenen Installationen und denen spezialisierter Dienstleister, kann es tendenziell kaum sein. Denn der Provider hat in seinem Kerngeschäft nicht nur viel zu verlieren. Er kann in der Regel auch auf in jeder Hinsicht bessere Ressourcen zurückgreifen. Arbeitsteilung und die damit einhergehende Spezialisierung schafft Qualität und erhöht die Leistungsfähigkeit. Das Rezept ist alt und wird auch für die IT gelten. Schlägt man, wie der zitierte Vortrag, einen großen Bogen, so kann man sich fragen, ob die Probleme, die wir aktuell betrachten, die wirklich entscheidenden sind oder nur temporärer Natur – also Aufgaben, die zu erledigen sind und keine Probleme, für die wir erst Lösungen suchen müssen.

Betrachten wir dazu die Virtualisierung als eine Standardtechnik in der Wolke. Fehlerhafte Mandantentrennung aufgrund eines technischen Fehlers oder einer Schwachstelle ist nur eine Quelle möglicher Sicherheitsprobleme. Bereits bei der Trennung der Mandanten ist die Administration fast anfälliger. Zur Absicherung gehören hier auch die Prozesse und die Verwaltung der Zugriffsberechtigungen. Und Identitäts- und Zugriffsmanagement ist ebenfalls kein rein technisches Thema. Mangelhafte Portierbarkeit stellt ein weiteres Risiko dar, das die beste Sicherheitstechnik nicht löst. Verfügbarkeit und Performance hängen ebenfalls nicht allein von der Abwehr der Hacker ab, sondern werden vom Quality-of-Service bestimmt, die durch alle Elemente einschließlich der Netze bestimmt wird. Patchlevel, Konfigurationen usw. sind weitere Aspekte, die die Sicherheit bei der Virtualisierung im Rechenzentrum mit bestimmen.

Auch der Blick in die Vergangenheit zeigt: Wir dürfen die Verursacher für die wirklichen Risiken beim Cloud-Computing gerne auch jenseits von Technologien und Architekturen suchen. Fünf Kandidaten stelle ich gerne zur Diskussion: Datenlecks bzw. unerlaubter Informationsfluss durch schlechte Integration in Geschäftsprozesse und Infrastruktur des Anwenders. Regelverstöße durch nicht vorgesehene Nutzung. Schon heute fliehen Programmierer aus der vorgeschriebenen Programmierumgebung in die fremde Cloud im Internet. Drittens: Der Provider kann es einfach nicht. Gerade in neuen Märkten gibt es Herausforderer, die am Ende auch den Anwender vor Herausforderungen stellen. Viertens bleiben uns Ignoranz und ihre Verwandten wie „andere Prioritäten“ (echte und falsche) sicher erhalten. Schließlich werden Geschäftsstrategie und IT-Strategie nicht immer harmonisch einander folgen. Gibt es Reibungen, bleibt manches auf der Strecke. Sind das Sicherheitsaspekte, die (auch) Beachtung verdienen?

Ihr
Eberhard von Faber

 

Kommentare


Ausschlussklausel für Haftung: Diese Kommentare zu unseren Beiträgen spiegeln allein die Meinung einzelner Leser wider. Für die Richtigkeit und Vollständigkeit der Inhalte übernimmt T-Systems keinerlei Gewähr.
Kommentar verfassen

Verpflichtende Angaben *

Mit dem Absenden des Kommentars akzeptieren Sie unsere Kommentar-Policy.

a) Leser sind herzlich zum Kommentieren eingeladen.

b) Kommentare sollten den Wert des Weblogs erhöhen.

c) Bitte haben Sie Verständnis dafür, dass wir Kommentare erst nach Prüfung frei schalten.

d) Kommentare, die nichts mit dem Thema des Beitrags zu tun haben, offensichtlich Urheberrechte verletzen, beleidigenden Inhalt oder persönliche Angriffe enthalten, werden gelöscht.

e) Links können gerne eingebunden werden, sollten aber zum Thema des jeweiligen Blog-Postings gehören. Links zu anderen Webseiten oder Blogs, die nichts mit dem jeweiligen Blog-Posting zu tun haben, werden als Spam angesehen und gelöscht.