Wer Cloud Computing sagt, muss auch Cloud Security sagen. Die Virtualisierung von Anwendungen und ihre Bereitstellung als bedarfsgerecht abrechenbare Dienstleistung sorgen für günstige Skaleneffekte bei Verarbeitungskapazität und Kosten. Doch sie bringen auch neue technische Herausforderungen, nicht zuletzt im Bereich Sicherheit und Datenschutz.
Mit der Verlagerung der Daten und deren Verarbeitung in den Rechenzentren eines Dienstleisters wandern die vielfältigen Verpflichtungen der Dateneigner an die Integrität der Daten nicht mit den Daten zusammen in die „Wolke“, sondern bleiben ganz klar auf der Erde. Für die Sicherheitsverantwortlichen in den Unternehmen und in den Organisationen wachsen damit noch einmal die Aufgaben. Sie müssen durch geeignete Maßnahmen dafür sorgen, dass die Daten, die in fremde Hände gegeben werden, dort gut aufgehoben sind. Für den Dateneigner kann das eigentlich nur heißen, dass Vertrauen gut ist, Kontrolle aber besser.
Der Dateneigner kann die Kontrolle am besten behalten, wenn er die Oberhoheit über seine Daten nicht aus der Hand gibt. Das geht nur mit einer Verschlüsselungslösung, bei welcher der Schlüssel „im Haus bleibt“. Nötig sind dazu ein Schlüsselmanagement, mit dem verschlüsselte Daten und die Schlüssel selbst streng getrennt aufbewahrt werden. Der Provider darf keinen Zugriff zu den Schlüsseln haben. Am besten sollte der Dateneigner den Schlüsselserver selbst verwalten, als zweitbeste Lösung ist die Beauftragung eines Dienstleisters für IT-Sicherheit möglich. Auf keinen Fall darf der Provider Zugriff auf die Schlüssel haben, er sollte immer nur die verschlüsselten Daten sehen können.
Verschiedene Sicherheitslevels in der Public-und der Private-Cloud
Verschlüsselte Daten machen Cloud Computing sicher, aber die Sicherheit hat ihren Preis. Zumindest Stand schränken verschlüsselte Daten die Weiterverarbeitung ein. So sind beispielsweise schon Suchanfragen nicht möglich, es sein denn man entschlüsselt die Daten, was dann schnell wieder eine Sicherheitslücke darstellen kann.
Für eine Private Cloud gibt es mittlerweile agentenbasierte Lösungen (unter anderem von TrendMicro und SafeNet), auf deren Basis der jeweilige Dateneigner die Kontrolle über Verschlüsseln und Entschlüsseln behalten kann. Für die beliebten, weil preisgünstigen Public-Cloud-Lösungen à la Salesfroce.com sind solche Lösungen kaum vorstellbar. In solchen Anwendungen muss man sich deshalb sehr genau überlegen, was man verschlüsselt – Adressen und Namen wohl eher nicht, wohl aber Bankkonten oder Kreditkartendaten.
Als Sicherheitslösungen in der Public Cloud werden beispielsweise Proxys angeboten, die den Datenstrom analysieren und dann verschlüsseln. Grundsätzlich muss aber dieser Datenstrom, wenn eine Verarbeitung der Daten in der Cloud ansteht, immer entschlüsselt werden, sodass der Endbenutzer sich auf die Kompetenz und Integrität von Dienstleistern, die Proxy-Lösungen anbieten, verlassen muss.
Vorsorge für den totalen Datenverlust
Ein sicheres Schlüsselmanagement ist also für Cloud Computing (über-)lebensnotwendig. Wichtig ist aber auch die existenzielle Sicherung der Daten. Die Daten sind bei Providern zwar in der Regel mehrfach gesichert, aber sie sind natürlich nicht hundertprozentig sicher Jedes Unternehmen sollte sich also Gedanken zu effizienten Sicherungs- und Aufbewahrungsmechanismen machen, denn ein Totalverlust der Daten ist in keinem Service Level Agreement vorgesehen.
Jürgen Höfling
