Cloud-Computing: Chancen oder Risiken?

Transkript

1 1 Cloud-Computing: Chancen oder Risiken? Von Sebastian Andres Kaum ein Thema ist so umstritten wie Cloud-Computing. Dabei ist es wenig hilfreich, dass täglich neue Varianten von Clouds angeboten werden. 1 Was bedeutet überhaupt Cloud-Computing? Der Begriff Cloud kommt aus dem Englischen und bedeutet Wolke. Bei Cloud-Computing werden Datensätze in die Wolke ausgelagert, um effizienter und kostengünstiger einzelne Datensätze zu verwalten. Der größte Vorteil des Cloud-Computing neben einer ständigen Verfügbarkeit aller Anwendungen (egal ob zu Hause, auf dem Mobiltelefon unterwegs, usw.) ist, dass bedarfsabhängig ( dynamisch ) die Cloud erweitert oder reduziert werden kann. Es können somit die Verarbeitung von Daten aus einem Unternehmen ausgelagert werden (Outsourcing). Die IT-Abteilung muss somit keine Rechenzentren oder Server vorhalten, um beispielsweise den Internetauftritt zu realisieren dieser wird in die Wolke ausgelagert. Sollte aufgrund einer Neuentwicklung oder der Bereitstellung eines Updates zeitweise mehr Leistung für den Webauftritt benötigt werden, kann die Wolke innerhalb weniger Sekunden vergrößert und nach Bedarf auch wieder verkleinert werden. Dieser Beitrag gibt einen Überblick, der zur Zeit existierenden Cloud-Lösungen und legt dabei den Schwerpunkt auf die Sicherheit, Risiken und neuen Möglichkeiten von Cloud- Computing. Der Gedanke, Systeme auszulagern und bestimmte Datensätze zentral zugänglich zu machen, ist nicht neu. 2 Eine Vorstufe des Cloud-Computing wurde mit den so genannten Thin-Clients erreicht. Dies waren Computer, die keine eigene Festplatte beinhalteten und neben einer Hauptplatine (Motherboard) mit Prozessor und Arbeitsspeicher ausgerüstet wurden also nur eine Arbeitsstation. Die eigentlichen Programme wurden dabei auf Servern ausgeführt, welche mit ausreichend Rechenleistung bestückt waren. Solche Thin-Clients werden auch heute noch in vielen Umgebungen wie Bibliotheken, Info- Terminals usw. eingesetzt. Der Vorteil von solchen Systemen liegt klar auf der Hand: Zum Einen sind sie sehr kosteneffizient, da nur ein Minimum an Hardware angeschafft werden muss. Zum Anderen sind diese Systeme besonders leicht zu warten die komplette Software liegt zentral auf einem Server. Bei einem Update muss also lediglich an einer einzigen Stelle die Software aktualisiert werden. 3 1 Vgl. [ ]. 2 Vgl. [ ]. 3 Vgl. Lier (2 3 Vgl. [ ]. 3 Vgl. [ ): S. 770.

2 2 Der Nachteil bei solchen Lösungen ist jedoch, dass die Arbeitsstation (Client) immer und vor allem mit einer schnellen Netzwerkanbindung an den Server angeschlossen sein muss, da viele Daten übertragen werden müssen. Aus diesem Grund waren solche Systeme für Privatanwender bis vor wenigen Jahren uninteressant, da die Internetverbindung über Analog-Modem oder ISDN für solche Anwendungen eindeutig zu langsam sind. Diese Technik ist zwar für das Cloud-Computing eine wesentliche Voraussetzung, aber nicht der eigentliche Grund, warum man Clouds ins Leben gerufen hat. Der eigentliche Grund ist, dass bei Cloud-Computing die Rechenleistung, Speicherplatz oder gar komplette Datenverarbeitungssysteme, die benötigt werden, bedarfsabhängig von der Nutzung (nach Zeit und Menge) abgerechnet wird. 4 Arten von Clouds Die Vielfalt von Clouds sind enorm. Täglich kommen neue Varianten dazu. Fast immer sind die neuen Produkte jedoch Mischformen, der bis jetzt bekannten Cloud-Lösungen. Private und Public Cloud Zunächst muss zwischen Private und Public Clouds unterschieden werden. Private Clouds stehen rechtlich unter einer Abteilung bzw. einem Unternehmen, welches mit dem Auftraggeber in einem besonders engem Rechtsverhältnis steht. Meist wird eine Private Cloud innerhalb eines Unternehmens eingerichtet und steht vollständig unter der Kontrolle der jeweiligen IT-Abteilung. 5 Das zentrale Merkmal von privaten Clouds ist, dass die jeweiligen Daten die Cloud nicht verlassen und auch kein Dritter unkontrollierten Zugang zur Cloud bekommen kann. Unter Private Cloud werden aber auch Clouds von rechtlich eng zueinander stehenden Stellen wie öffentlichen Verwaltungen oder Konzernen verstanden. Diese Form der Wolke ist hinsichtlich des Datenschutzes vollkommen unproblematisch, da hier, Fragen des Zugangs (physischer Zugang), der Zugänglichkeit (über andere Netze) und der Frage nach internationalem Datenschutz in der Regel eindeutig geklärt sind. Anders hingegen verhält es sich bei Public Clouds: Eine Public Cloud ist, wie der Name schon sagt, eine öffentliche Wolke, d. h. die Wolke ist prinzipiell für alle zugänglich. Mehrere Nutzer teilen sich die Ressourcen einer Cloud. Sie haben dabei weder Einfluss auf den Standort der Cloud noch können sie mitbestimmen, wer die Cloud mitbenutzen darf und wer nicht. 6 Internationale Unternehmen wie Google, Microsoft, IBM bieten sowohl Private als auch Public Clouds an. Neben diesen beiden Formen gibt es einige Mischformen. So ist beispielsweise die Hybrid Cloud eine Mischung aus Private und Public Cloud. Die Hybrid Cloud wird von Unternehmen eingesetzt, um Last zu verteilen oder um in Spitzenzeiten ausreichend Kapazität vorhalten zu können. 4 Vgl. [ ]. 5 Vgl. [ ]. 6 Vgl. [ ].

3 3 Dabei liegen alle Daten in der Private Cloud des Unternehmens. Wird mehr Rechenleistung benötigt, werden diejenigen Daten, mit denen etwas gemacht werden soll, dynamisch in eine Public Cloud verschoben. Innerhalb der Public Cloud werden die Datensätze dann verarbeitet, das Ergebnis wird dann wieder in die Private Cloud zurück übertragen. 7 Abstraktionsebenen von Clouds Es gibt unterschiedliche Abstraktionsebenen, in denen man Clouds realisieren kann: Die unterste Schicht wird als Infrastructure-as-a-Service (IaaS) bezeichnet. Dabei werden von dem Cloud-Anbieter lediglich virtuelle Maschinen bereitgestellt, welche allerdings auf unterschiedlichen Hardware-Systemen liegen können. 8 Virtuelle Maschinen sind Computer, die in Computern laufen: Auf einem Computer wird eine Virtualisierungssoftware installiert, welche es dann ermöglicht weitere komplette Computer virtuell zu erstellen. Dabei wird versucht, die komplette Hardware eines Computers nachzubauen (Festplatten, Prozessor, Chipsätze usw.). Diejenige Hardware, welche sich nur schwer emulieren lässt, wird von dem physischen Computer an die virtuellen Computer durchgereicht. Über ausgeklügelte Zugriffsbeschränkungen und verteilten Systemen ist es möglich, mit dieser Technik unbegrenzt viele virtuelle Maschinen zu erstellen. Die Administration der virtuellen Maschinen wird auf dieser Ebene komplett in die Hand des Nutzers gegeben. Ein typischer Anbieter von IaaS ist Amazons Elastic Compute Cloud (EC2). In der nächst höheren Schicht auch als Platform-as-a-Service (PaaS) bezeichnet wird von dem Anbieter neben einer virtuellen Maschine zusätzlich das Betriebssystem bereitgestellt. PaaS ist besonders bei Softwareentwicklern sehr beliebt, da sie ohne größeren Aufwand ihre entwickelte Software in unterschiedlichen Umgebungen ausprobieren können, bevor sie für andere Anwender freigegeben wird. Die Administration eines Betriebssystem fällt auf dieser Ebene der Clouds bereits weg darum kümmert sich der Anbieter. 9 Typische Anbieter von PaaS ist Google mit seiner App Engine Umgebung oder Microsoft mit Windows Azure. Die oberste Abstraktionsebene ist das so genannte Software-as-a-Service (SaaS). Hier wird neben der Hardware und dem Betriebssystem zusätzlich die Software von dem entsprechenden Anbieter bereit gestellt. Es kommt also alles bereits passend vorkonfiguriert ins Haus. Der Nutzer muss lediglich seine Dokumente in die Cloud hochladen und kann bereits mit dem Arbeiten beginnen. 10 Typische Beispiele für SaaS sind: Google Docs, Microsoft Skydrive Office Web Apps und Exchange Online, Sharepoint Online, Livemeeting, Office Communications Online, etc. 7 Vgl. [ ]. 8 Vgl. Wissenschaftlicher Dienst des Deutschen Bundestag: [ ]. 9 Vgl. Wissenschaftliche Dienst des Deutschen Bundestag: [ ]. 10 Vgl. Wissenschaftlicher Dienst des Deutschen Bundestag: [ ].

4 4 Datenschutz in Clouds Ein großes Problem beim Auslagern der IT-Infrastruktur ist neben der Sicherheit der Datenschutz. Sowohl für Privatpersonen als auch für Unternehmen ist es wichtig, dass diejenigen Daten, die in einer Cloud landen, vor Zugriffen durch Dritte abgesichert sind. Besonders heikel verhält es sich dabei mit personenbezogenen Datensätzen. Daneben spielen aber besonders für Unternehmen auch interne Daten eine Rolle, so könnte bei einer schlecht abgesicherten Cloud, der Industriespionage Tür und Tor geöffnet werden. Aus Sicht der Datenschützer sind Public Clouds deshalb sehr problematisch. Der Kunde hat, wie oben bereits erwähnt, bei einer Public Cloud keinerlei Einfluss darauf, mit wem er sich die Hardware, auf der die Cloud läuft, teilen muss. Wenn in der vom Cloud- Anbieter bereit gestellten Cloud, Bugs (so genannte Fehler ) enthalten sind, können durchaus Dritte auf einige oder gar alle Daten, welche in der Cloud liegen, zugreifen. Genau das ist im Jahr 2009 in der Cloud von Google passiert. 11 Durch einen Fehler in der Cloud-Software bekamen Nutzer von google Dokumente in ihrem Account angezeigt, welche gar nicht für sie bestimmt waren es handelte sich um private Dokumente von Nutzern, mit denen irgendwann einmal andere Dokumente freigegeben wurden. Das Problem des Datenschutzes rückt besonders dann in den Mittelpunkt, wenn die verwendete Cloud nicht nur in einem Rechenzentrum untergebracht ist, sondern über den gesamten Erdball verteilt ist. Oftmals wissen die Cloud-Anbieter selbst nicht einmal, auf welcher Hardware jetzt genau die Cloud läuft. Um die Kapazitäten optimal ausnutzen zu können, verschiebt der Anbieter die laufende Cloud in Echtzeit dynamisch auf diejenige Hardware, die am wenigsten ausgelastet ist. Dieses Vorgehen verteilt zum einen die Rechenlast gleichmäßig auf alle zur Verfügung stehenden Systeme, andererseits ist für den Kunden somit immer eine Mindestleistung seiner Cloud gewährleistet. 12 Für das Datenschutzrecht ist jedoch immer noch der Ort, an dem die Daten verarbeitet werden, ausschlaggebend. Daher ist es absolut notwendig zu wissen, in welchem Land sich die Cloud gerade befindet, um als Nutzer nicht gegen geltendes Recht zu verstoßen. Um innerhalb Europas die Datenverarbeitung zu vereinfachen, wurde eine Europäische Datenschutz Richtlinie (EU-DSRL) geschaffen. Diese erlaubt es, auch personenbezogene Datensätze innerhalb des europäischen Wirtschaftsraum zu verarbeiten (Art. 1 Abs. 2 EU- DSRL). Damit auch weiterhin das nationale Datenschutzrecht Anwendung findet, wurde in Art. 4 Abs. 1 a, b EU-DSRL festgelegt, dass nicht mehr der Ort, an dem die Daten verarbeitet werden, eine Rolle spielt, sondern nun vielmehr dasjenige Datenschutzrecht des Mitgliedsstaates Anwendung findet, in dem das datenverarbeitende Unternehmen seinen Sitz hat. Damit auch diejenigen Unternehmen, welche innerhalb der EU keine Niederlassung haben, personenbezogene Daten verarbeiten können, legt 1 Abs. 5 S. 3 BDSG fest, dass diese Unternehmen dann einen Datenschutzbeauftragten innerhalb der EU benennen müssen, welcher für die Einhaltung der Datenschutzrichtlinien verantwortlich ist. 11 Vgl. [ ]. 12 Vgl. [ ].

5 5 Aus Artikel 2 c (EU-DRSL) wird abgeleitet, dass ausschließlich der Cloud-Nutzer für Mängel bei der Umsetzung von Datenschutzrichtlinien verantwortlich ist. Der Cloud- Anbieter kann in erster Linie nicht verantwortlich gemacht werden. Dennoch hat auch der Cloud-Anbieter seiner Pflicht nachzukommen. 13 Wenn Datensätze innerhalb einer Cloud verarbeitet werden, handelt es sich rechtlich gesehen um eine Auftragsdatenverarbeitung ( 11 BDSG). Die Schwierigkeit des Auftraggebers im Zusammenhang mit 11 BDSG ist, dass dieser sich in regelmäßigen Abständen vor Ort davon überzeugen muss, dass die datenverarbeitende Stelle alle Datenschutzrichtlinien einhält. Im Cloud-Computing ist dies fast nicht möglich, da der Auftraggeber nicht alle Rechenzentren des Cloud-Anbieters untersuchen kann. Befinden sich die Rechenzentren innerhalb des Europäischen Wirtschaftsraums, greift die Europäische Datenschutzrichtlinie und in diesem Fall ist der Auftraggeber juristisch abgesichert. Aus Sicht der staatlichen Aufsichtsbehörden und der Strafverfolgung wird die Datenverarbeitung innerhalb einer Cloud noch weiter verstärkt, wenn die Cloud außerhalb des europäischen Wirtschaftsraums gehostet wird. Die Aufsichtsbehörden können ausschließlich in ihren eigenen territorialen Grenzen agieren. Innerhalb der EU gibt es die Möglichkeit, durch so genannte Amtshilfe über die Unterstützung der jeweiligen Behörden in dem betroffenen Mitgliedsstaaten Zugriff zu erhalten. Außerhalb der EU ist dies jedoch nicht möglich. Hier sind die Aufsichtsbehörden und die Strafverfolgungsbehörden auf die freiwillige Mitarbeit des jeweiligen Landes angewiesen. 14 Dieses Problem ist nicht neu: Auch vor der Entstehung von Clouds war die Strafverfolgung im Internet tätig, um z. B. Webseiten mit kinderpornografischen Inhalten sperren zu lassen. Neben den bereits schon immer existierenden Schwierigkeiten kommen jedoch beim Cloud-Computing einige hinzu: Es ist sehr schwierig, den Standort der Daten auszumachen. Welche Ermittlungsbehörde ist bei verteilten Daten überhaupt zuständig? Bei Ermittlungen, bei der die Daten in einer Cloud liegen, kann den Ermittlungsbehörden nur eine Kopie zugestellt werden dies wirft besonders die Fragen nach Exaktheit und der Unveränderbarkeit von Daten auf. 15 Für diese hier angesprochenen Punkte wurde bis heute keine Lösung gefunden. In einem Beitrag in der Zeitschrift Computer & Recht (5/2010, S.345ff.) kommt Gerckes zu dem Schluss, dass die Intensivierung der internationalen Zusammenarbeit der einzig gangbare Weg sei. Die bereits existierenden Normen reichen bei weitem nicht aus, um auf Clouds, welche sich außerhalb des europäischen Wirtschaftsraums befinden zuzugreifen, so Gercke. Über die Frage, ob 110 StPO als Ermächtigungsgrundlage ausreichend ist, um auf Clouds 13 [ ]. 14 Vgl. [ ] [ ].

6 6 zuzugreifen, scheint selbst unter Experten unklar zu sein die Tendenz geht jedoch dahin, dass 110 StPO bei weitem nicht ausreicht, um den Strafverfolgungsbehörden den Zugriff zu garantieren. 16 Die Tatsache, dass es in einigen Ländern nur sehr rudimentäre oder teilweise gar keine Datenschutzbestimmungen gibt, erschweren den Umgang mit Clouds erheblich. Ein bis jetzt vollkommen ungelöstes Problem ist, dass die Strafverfolgungsbehörden bei einer Beschlagnahmung von Mobiltelefonen oder Computern an keine Daten gelangen können, da diese ja nicht mehr auf dem Gerät selbst, sondern in einer Cloud gespeichert werden. Weiterhin kann es vorkommen, dass in bestimmten Ländern Dritte auf die Daten in Clouds zugreifen, um Menschen bewusst zu überwachen bzw. zu verfolgen. Grund und Menschenrechte werden in solchen Ländern meist vollkommen vernachlässigt. 17 Im Ergebnis lässt sich festhalten, dass aus der Sicht des Datenschutzes die Datenverarbeitung von personenbezogenen Daten innerhalb von Clouds sehr problematisch ist, zumindest dann, wenn sich die Cloud weder im Deutschen noch im europäischen Territorium befindet. Datenspeicher und Sicherheit Ein großer Vorteil beim Auslagern der Daten in eine Cloud ist, dass mehrere Benutzer gleichzeitig an gleichen Dokumenten arbeiten können. So kann beispielsweise bei einem Cloud-Anbieter wie Google die Software zur Text und Tabellen Bearbeitung gebucht werden. Ein Benutzer kann dann ein Dokument anlegen und es zur Bearbeitung für Andere freigeben. Die anderen Benutzer können jetzt gemeinsam an dem Dokument arbeiten die gemachten Änderungen sind sofort für alle sichtbar. Um sich gegenseitig austauschen zu können, existiert direkt in der Bearbeitungssoftware ein Chat-Fenster, welches Raum für Abstimmungen und Unterhaltungen bietet. Der Text verbleibt dabei immer in der von Google bereit gestellten Cloud. Der Benutzer muss somit weder Speicherplatz für die Dokumente zur Verfügung stellen, noch muss er die Software, welche zur Bearbeitung benötigt wird, kaufen. 18 Diese Vorteile sehen auf den ersten Blick erst einmal sehr gut aus. Allerdings bekommen wir eine ganz andere Perspektive, wenn wir uns über die Sicherheit unserer Dokumente nähere Gedanken machen. Macht der Cloud-Anbieter regelmäßige Sicherungskopien (Backups) unserer Daten? Was passiert, wenn Dritte Zugriff auf die Dokumente erhalten? Diese und ähnliche Fragen stellen sich besonders dann, wenn die ersten Dokumente im Nichts der Wolke verschwunden sind. Im Jahr 2009 berichteten Nutzer von Google, dass in ihren Accounts Dokumente aufgetaucht sind, welche sie weder bestellt hatten noch irgendwie anders erhalten sollten. 19 In diesem Fall ist wohl bei Google intern ein Fehler aufgetreten, so das Dokumente fälschlicherweise an Benutzer freigegeben wurden, welche diese überhaupt nicht hätten sehen dürfen. 16 Vgl. [ ]. 17 Vgl. [ ] [ ]. 19 Vgl. [ ].

7 7 Dieses Beispiel zeigt, dass sich solche Fehler nie vollkommen ausschließen lassen. Daher ist besonders bei persönlichen und privaten Dokumenten höchste Sorgfalt geboten. Vermehrt setzen Anbieter auf das Speichern der alltäglichen Daten in einer Cloud. So gibt es beispielsweise sowohl bei T-Mobile als auch bei Apple die Möglichkeit, Daten wie Kontakte, s, Kalender, etc. in einer Cloud zu speichern und mit dem Mobiltelefon auf diese Daten über eine Internetverbindung von unterwegs aus zuzugreifen. Das Problem dabei ist, dass der Nutzer selbst oftmals nur unter erschwerten Bedingungen die Möglichkeit hat, Sicherungskopien (Backups) zu erstellen. Er ist also auf die Backup- Vorsorge des Anbieters angewiesen. 20 Wenn der Anbieter dieser Sorgfalt nur ungenügend nachkommt, sind die Daten auf immer verloren. Zumindest dann, wenn es in der Serverfarm des Anbieters Ausfälle gibt und das Zurückspielen eines Backups notwendig wird. So sind z. B. sehr viele Datensätze von Nutzern bei T-Mobile USA im Oktober 2009 auf Nimmerwiedersehen verloren gegangen, da Backups nur unzureichend gemacht wurden und bei einem Serverausfall nicht mehr vollständig rekonstruiert werden konnten. 21 Solche Beispiele zeigen, dass die Auswirkungen bei mangelhaftem Umgang des Cloud-Anbieters mit den ihm anvertrauten Daten enorm sein kann. Die Tatsache, dass bei einem schlecht gemachten Backup Daten verloren gehen können, ist nichts Neues. Die Auswirkungen, die dann jedoch entstehen können, erreichen ein bis jetzt nicht gekanntes Ausmaß: Waren es früher Urlaubsbilder oder selbstgedrehte Videos, sind es heute selbsterstellte Briefe, der private Kalender oder das Adressbuch vom Mobiltelefon, was unwiderruflich zerstört sein kann. Vermehrt bieten Anbieter wie gmx, Web.de, Google Mail, etc. so genannte Online Festplatten an (Storage-as-a-Service). Nutzer erhalten damit die Möglichkeit, Daten im Internet abzulegen. Zugriff auf den Online-Speicher wird in der Regel über den Web- Browser gewährleistet. Man sollte jedoch darauf achten, dass die Verbindung verschlüsselt wird ansonsten kann es sein, dass Dritte die Verbindung mitlesen. Neben einer verschlüsselten Übertragung ist es jedoch wichtig, dass auch die abgespeicherten Daten verschlüsselt werden, damit niemand auf persönliche Dokumente zugreifen kann. Einige Anbieter bieten gegen Geld eine solche Verschlüsselung an. Allerdings ist ein gesundes Misstrauen nie verkehrt, da für den Anwender oftmals unklar ist, welche Verschlüsselungstechniken der Anbieter genau einsetzt. Wer seine Daten innerhalb der virtuellen Festplatte sicher verwahrt wissen will, sollte sich selber um die Verschlüsselung kümmern. Opensource-Anwendungen wie Truecrypt oder GnuPG sind dafür vollkommen ausreichend. 22 Kostenlosen Speicherplatz zum Ausprobieren gibt es bei vielen Anbietern. Etwa 2 bis 7 GB ist kostenlos zur privaten Nutzung erhältlich. Wer mehr Online-Speicher benötigt, erhält für etwa 20 Euro im Monat im Durchschnitt 1 TB. 20 Vgl. [ ] Handy-nicht-ab [ ]. 22 Vgl. [ ].

8 8 Oftmals ist bei den kostenlosen Angeboten jedoch weder eine Transportverschlüsselung (TLS oder SSL) noch ein verschlüsselter Online-Speicher erhältlich. 23 Unter Berücksichtigung der Verschlüsselung ist der Online-Speicher besonders als Backup-Speicher interessant. Der Nutzer kann in regelmäßigen Abständen eine verschlüsselte Kopie (Backup) seiner privaten Bilder und Dokumente in einer Cloud ablegen. Sollte der heimische Computer dann einmal ausfallen, sind alle Daten sicher in der Cloud gespeichert. Einige Cloud-Anbieter stellen dem Nutzer neben dem Speicherplatz zusätzlich eine Backup-Software zur Verfügung, welche die privaten Dokumente, Bilder, die Musik-Sammlung oder andere Daten in regelmäßigen Abständen in die Cloud sichert, so das ein vollständiges Backup zu jeder Zeit wiederhergestellt werden kann. 24 Aber auch hier gilt: Geht der Cloud-Anbieter sorgfältig mit den ihm anvertrauten Daten um? Werden Backups von Seiten des Anbieters gemacht? Wenn der Cloud-Anbieter aus Versehen das ihm anvertraute Backup verliert und gleichzeitig der Computer zu Hause seinen Dienst einstellt, bleibt der Nutzer im Regen stehen. 25 Selbstverständlich gelten bei Backups die gleichen Datenschutzbestimmungen wie bei der Verarbeitung von Daten innerhalb einer Cloud. Wenn also personenbezogene Datensätze als Backup in einer Cloud gespeichert werden sollen, ist der Auftraggeber verpflichtet, zum Einen die Sicherheitsbestimmungen einzuhalten, und zum Anderen den Standort, wo die Daten gespeichert werden, zu überprüfen. Für Privatkunden mag dies uninteressant und unproblematisch sein, für kleinere oder mittelständische Unternehmen stellt dies jedoch oft eine hohe Herausforderung dar. Nach Schätzungen einiger Experten wird es jedoch sowohl im Preissegment als auch in der Vielfalt der Anbieter von Storage-as-a-Service in den nächsten Jahren erhebliche Angebote geben. Leistung als Problem Wie in vielen Fällen hat der Zusammenschluss von mehreren Rechnern in einer Cloud auch seine Schattenseiten: Eine Wolke wird für Hacker zunehmend interessanter, da die Ausbeute bei einem erfolgreichen Angriff erheblich größer ist als bei einem einzelnen Server. Cloud-Anbieter werben damit, dass diejenigen Unternehmen, die ihre IT-Infrastruktur in eine Wolke auslagern, weniger Kosten und Administration für ihre IT-Infrastruktur aufbringen müssten. Dies ist jedoch nur zum Teil der Fall. Ein Unternehmen muss beim Auslagern in die Wolke natürlich keine eigenen Server mehr vorhalten die Kosten für Hard- und Software fallen somit nicht mehr an. Der Arbeitsaufwand hingegen wird nur verlagert. Wo Mitarbeiter früher Zeit in die Administration und in die Pflege von Hardware stecken mussten, muss jetzt die Arbeitszeit in den Entwurf und der Pflege von 23 Vgl. [ ]. 24 Vgl. [ ]. 25 Vgl. [ ].

9 9 Sicherheitskonzepten investiert werden, da ein Unternehmen sich die angemietete Wolke in der Regel mit anderen Nutzern teilen muss. Es gibt bereits erste Viren, welche sich gezielt an Clouds richten, um dort einzudringen und Schaden anzurichten. Als Beispiel sei hier der Trojaner Bohu genannt, welcher die Cloud eines Antiviren-Herstellers außer Gefecht setzte. 26 Daneben werden jedoch Clouds nicht nur als ein potenzielles Angriffsziel ins Visier genommen, vielmehr eignen sie sich als Ausgangspunkt für Hacker-Angriffe: So verwendeten die beiden Sicherheitsexperten David Bryan und Michael Anderson Amazons flexible Cloud Infrastruktur (EC2), um den Server ihres Auftraggebers mit einer DoS-Attacke vollständig zum Absturz zu bringen. Sie mussten sich keiner fremden Rechnernetze bedienen. Lediglich ein Name und eine passende Kreditkarte waren erforderlich, um bei Amazon die notwendige Rechenleistung einkaufen zu können. Die ganze Aktion kostete lediglich 6 US-Dollar. Sie mieteten bei Amazon einen virtuellen Server mit ausreichend Arbeitsspeicher und Prozessorleistung an und installierten ihr selbstentwickeltes Programm Thunder Clap (Donnerknall), welches dann den Server des Auftraggebers so lange mit Anfragen regelrecht überschüttete, bis dieser unter der anfallenden Last seinen Dienst versagte. 27 Laut Aussage der beiden Experten, wurden sie weder anhand von Bandbreitendrosselungen noch von anderen Maßnahmen daran gehindert, ihr Programm auszuführen. Auf Anfrage von DarkReading teilte Amazon mit, dass sie Vorkehrungen getroffen hätten, dass solche Angriffe nicht möglich seien. Sollte es jedoch einen Angriff aus einer Amazon Cloud heraus geben, reagiere man schnell und würde die Cloud unverzüglich vom Netz nehmen, so eine Sprecherin von Amazon. Warum es in diesem Fall nicht geklappt habe, ließ das Unternehmen offen. Dieser Versuch war zum Glück ein beabsichtigter Testlauf aber dieses Szenario kann prinzipiell von jedem, der entsprechendes Know-How und eine gültige Kreditkarte besitzt, durchgeführt werden. Rechenleistung aus einer Cloud wird immer billiger, so das sich das Übernehmen von fremden Computernetzen nicht mehr lohnt, da der Aufwand dafür zu groß ist. Thomas Roth zeigte im November 2010, dass es mit Hilfe von Clouds möglich ist, Passwörter wesentlich billiger und schneller zu hacken als bisher. Besonders praktisch ist dabei die Möglichkeit, die Prozessoren von Grafikkarten in einer Wolke zusammenzufassen und diese Rechenleistung dann zum Hacken zu verwenden. Roth gelang es auf diese Art und Weise, ein Passwort zwischen 1 und 6 Stellen in etwa 45 Minuten zu hacken. 1 Stunde kostet etwa 2,10 US-Dollar die Kosten hielten sich also im Rahmen Vgl. [ ] [ ]. 28 Vgl. [ ].

10 10 Diese Beispiele zeigen, dass die Rechenleistung in einer Cloud fast unendlich ist. Sie eröffnet für Hacker komplett neue Möglichkeiten. Dies hat erhebliche Auswirkungen auf die Sicherheit von IT-Systemen. Die Annahme, dass Passwörter mit 8 oder mehr Stellen sicher sind, ist somit nur eine Frage der Zeit und des Geldes. Früher wurde ausgerechnet, dass ein Computer zum Hacken von langen Passwörtern und anderen Schlüsseln mehrere Jahrzehnte benötigte die notwendige Rechenleistung war schlicht nicht vorhanden. Mit dem Zusammenlegen mehrerer einzelner Computer in einer Cloud bekommt die Sicherheit von Passwörtern und Algorithmen ein neues Gesicht. Weitere Einsatzmöglichkeiten von Clouds Das Unternehmen Panda Security stellte als erster Antiviren-Hersteller im Jahr 2009 einen Virenschutz aus einer Cloud vor. 29 Der Nutzer installiert dabei eine Minimalversion der Software Panda Antivirus, welche nur eine minimale Datenbank mit Virendefinitionen enthält. Diese ist für den Fall gedacht, dass der Anwender auch dann Dateien auf Viren überprüfen kann, wenn er keine Internetverbindung zur Verfügung hat. Die Stärke liegt in der Zentralisierung der Signaturen in einer Cloud. Der Anbieter (in diesem Fall Panda) erstellt von jedem ihm gemeldeten oder selbst entdeckten Virus eine Signatur und legt diese in der Cloud ab. Die Virenscanner auf den Systemen der Endanwender erstellen von den infrage kommenden Dateien einen Hash-Wert (eine Zahlenkombination, anhand derer eine Datei eindeutig identifiziert werden kann), und prüfen über eine Anfrage an das System des Anti-Viren-Herstellers, ob die Datei als bedenklich oder unbedenklich eingestuft wurde. 30 Durch das Hash-Verfahren wird sichergestellt, dass nicht ganze Dateien zum Prüfen übertragen werden müssen, sondern nur wenige Zahlen dies ist auch bei einer langsamen Internetverbindung möglich und garantiert, dass nicht der Inhalt einer Datei übermittelt wird und die Privatsphäre somit gewahrt bleibt. Kann eine Datei nicht sicher als schädlich bzw. unschädlich eingestuft werden, kann die Software, welche beim Anwender installiert ist, bestimmte Informationen an den Anti-Viren-Hersteller übermitteln und es ihm somit ermöglichen, den potentiellen Virus genauer zu untersuchen und eine passende Signatur zu erstellen. Die Hersteller von Anti-Viren- Software versprechen, dass keinerlei Inhalte der Dateien an sie übermittelt würden nachprüfbar ist diese Aussage für Anwender jedoch leider nicht. Sobald der Hersteller dann aktualisierte Signaturen in der Cloud bereit gestellt hat, stehen diese den Anwendern unmittelbar zur Verfügung. Ohne die Bereitstellung der Signaturen und der Echtzeitabfrage der Definitionen, dauert es unter Umständen mehrere Tage bis die Aktualisierung bei allen Nutzern angekommen ist. Außerdem wird bei einer ständigen Aktualisierung auf seitens der Nutzer die Virendefinitionsdatenbank bei den Endanwendern immer größer, wenn der Hersteller die 29 Vgl. [ ]. 30 Vgl. [ ].

11 11 Signaturen in einer Cloud bereitstellt, werden nur die einzelnen Hash-Werte übertragen und man braucht keine Signaturen auf den Computer des Nutzers zu kopieren Fazit Das Thema Cloud-Computing spielt bereits jetzt schon eine wichtige Rolle. Oftmals bekommt der Nutzer gar nicht mit, dass seine Daten in eine Cloud ausgelagert werden. Die größten Probleme beim Cloud-Computing liegen in der Sicherheit. Sowohl im Bereich des Datenschutzes als auch im Bereich der Datensicherheit und der Nutzung von Clouds durch Hacker. Interessant werden diese Fragen dann, wenn mit einem vertretbaren finanziellen und zeitlichen Aufwand die ersten, heute noch als sicher geltenden Verschlüsselungsalgorithmen mit Hilfe der Cloud-Technik gehackt wurden. Besonders im Bereich der Strafverfolgung kommt erschwerend hinzu, dass weder der Anwender noch der Cloud-Betreiber Kenntnis darüber hat, auf welcher physikalischen Hardware die Daten gerade ausgeführt werden. Nicht nur, dass die Wolke innerhalb eines Rechenzentrums oder eines bestimmten Netzsegmentes dynamisch, je nach Auslastung, verschoben wird, können auch einzelne Teile, welche gerade besonders viel Leistung benötigen über den kompletten Erdball dorthin verschoben werden, wo der Anbieter gerade Ressourcen frei hat. Der technische Vorteil und das Einsparungspotential bei Cloud-Computing ist jedoch enorm und lässt sich wohl kaum aufhalten. Wir stehen allerdings noch am Anfang des digitalen Zeitalters besonders wichtig wird es in Zukunft sein, bestehende Datenschutz und Strafverfolgungsrichtlinien von der analogen in die digitale Welt zu übertragen. Literatur Lier, Monika (2002): Der Dezentralisierung folgt nun die Zentralisierung. Versicherungswirtschaft, 2002, Seite