Gastbeitrag: Sicherheit und die Industrialisierung der ICT-Produktion

Cloud Blog / 9. Dezember 2010

Diskussionen über die Sicherheit der Cloud können nur dann genügend konkret sein, wenn das abzusichernde Gebilde einigermaßen klar definiert ist. Definitionen der öffentlichen, privaten und anderen Wolken sind hier schon sehr hilfreich, aber nicht ausreichend. Denn es zeigt sich, dass die Vorstellungen von der zu schützenden Informations- und Telekommunikationstechnik (ICT) doch manchmal weit auseinander gehen. Das Bundesamt für Sicherheit in der Informationstechnik (BSI) hat sich dem auf dem IT-Grundschutztag am 25. November 2010 in Darmstadt  angenommen und sich um Detailtiefe bemüht.

Der notwendige Austausch zu Sicherheitsfragen http://www.sit.fraunhofer.de/seminare/Veranstaltungen/IT-Grundschutztag.jsp) wird nämlich erleichtert, wenn man versteht, wie ein industrielles ICT-Produktions¬system für Cloud-Services gemanaged und abgesichert wird. Denn dieses unterscheidet sich vollständig von dem, was viele von uns kennen und was in manchen historisch gewachsenen ICT-Landschaften noch gang und gäbe ist. Die industrielle ICT-Produktion hat – und das wurde in einem der Vorträge deutlich – ihre eigenen Herausforderungen und bringt – Sorgfalt und Professionalität vorausgesetzt – sicherheitstechnisch auch Vorteile.

Woher kommt die Dynamik und Skalierbarkeit der Wolke? Benötigt ein Programm (Virtuelle Maschine) mehr CPU-Zeit oder Hauptspeicher, so kann ihm auf Kosten eines anderen mehr zugewiesen werden. Das klappt aber nur innerhalb eines physischen Computers. Reicht die Kapazität dieser physischen Maschine für beide Programme nicht, hilft nur der Umzug auf eine andere Maschine mit freien Ressourcen. Kritisch ist dann aber nicht nur die sichere Trennung der Programme und ihrer Daten auf einem System (sichere Virtualisierung) und die Absicherung des Zugriffs auf die Systeme und ihre Funktionen. Vielmehr geht es bei industrieller ICT-Produktion auch darum, das korrekte „Deployment“ der Programme zu gewährleisten. Dazu gehört die korrekte und sichere Verwaltung der Software-Images sowie die korrekte und sichere Erstellung der Images, weil deren Code und Konfiguration massiv Einfluss auf Funktion und Security hat. Denkt man an das ganze Ausbringen, Starten und Verschieben von Software sowie das Auffinden, Konfigurieren und Pflegen der Images, dann wird schnell klar, dass die Sicherheit ganz wesentlich durch Prozesse beim ICT-Dienstleister und den Automatisierungsgrad der ICT-Produktion mitbestimmt wird.

Virtualisiert wird aber nicht nur, was die Computerchips auf den Platinen bieten. Wenn Anwender Cloud-Services nutzen, müssen sie schlussendlich mit einem Rechenzentrum und dann mit einem Computer-System bzw. ihrer Anwendung verbunden werden. In einem dynamischen Umfeld, wie dem eben skizzierten, sind Netzwerkmanagement und die Verwaltung der Verkehrswege ganz entscheidend. Passende Technologien schaffen private Netzwerke – ganz virtuell auf gemeinsam genutzten Leitungen.

Die Liste der Beispiele ließe sich fortsetzen. Betrachtet man die Systeme beim Dienstleister und die Maßnahmen zu deren Absicherung, wird schnell ersichtlich, dass technische Sicherheits¬maßnahmen nur ein Aspekt sind. Prozesse, deren Automatisierung und die Organi¬sation sind mindestens ebenso wichtig für bedarfsgerechte Sicherheit. Gerade spezialisierte Dienstleister mit ICT als Kerngeschäft sollten hier die Nase vorn haben. Doch eine Frage verbleibt: Wie kann man Effekt und Güte messen?

 

Kommentare


Ausschlussklausel für Haftung: Diese Kommentare zu unseren Beiträgen spiegeln allein die Meinung einzelner Leser wider. Für die Richtigkeit und Vollständigkeit der Inhalte übernimmt T-Systems keinerlei Gewähr.
Kommentar verfassen

Verpflichtende Angaben *

Mit dem Absenden des Kommentars akzeptieren Sie unsere Kommentar-Policy.

a) Leser sind herzlich zum Kommentieren eingeladen.

b) Kommentare sollten den Wert des Weblogs erhöhen.

c) Bitte haben Sie Verständnis dafür, dass wir Kommentare erst nach Prüfung frei schalten.

d) Kommentare, die nichts mit dem Thema des Beitrags zu tun haben, offensichtlich Urheberrechte verletzen, beleidigenden Inhalt oder persönliche Angriffe enthalten, werden gelöscht.

e) Links können gerne eingebunden werden, sollten aber zum Thema des jeweiligen Blog-Postings gehören. Links zu anderen Webseiten oder Blogs, die nichts mit dem jeweiligen Blog-Posting zu tun haben, werden als Spam angesehen und gelöscht.