Sicheres Cloud- Computing. special. SecuMedia. Risiken in der Cloud S. 6. CeBIT 2011: Work and Life with the Cloud ab S. 32

Transkript

1 Verlagsbeilage, März 2011 Die Zeitschrift für Informations-Sicherheit special BSI-Empfehlungen zur Mindestsicherheit in der Wolke S. 10 Auf dem Weg zur sicheren und datenschutzkonformen Cloud S. 14 Sicheres Cloud- Computing Risiken in der Cloud S. 6 SecuMedia CeBIT 2011: Work and Life with the Cloud ab S. 32

2 Damit Ihr Unternehmen kein Pflegefall wird Halle 11 Stand D36 ESET-Virenschutz für die gesamte Firmen-IT Proaktive Erkennungstechnologien schützen auch vor neuen, noch unbekannten Bedrohungen Ausgezeichnete Performance, die Ihre Rechnerleistung nicht einschränkt Hohe Scangeschwindigkeit, kleine Updates Intuitive Bedienbarkeit, zentrale Installation und Administration Zügiger, professioneller, deutschsprachiger Support

3 Editorial IT-Sicherheit als Schlüsselfaktor für das Cloud-Computing Mitherausgeber Kaum ein Thema aus dem Bereich der Informationstechnik wird derzeit so stark diskutiert wie das Cloud- Computing. Es verspricht Unternehmen und Verwaltung eine hohe Flexibilität und Effizienz sowie sinkende Kosten bei der Bereitstellung und Nutzung von IT. Den Vorteilen stehen aber auch Risiken gegenüber: Angriffsszenarien auf klassische IT-Infrastrukturen können ohne Einschränkung auch auf Cloud-Systeme übertragen werden. Hinzu kommen spezielle Eigenschaften, die eine Cloud-Computing- Lösung ausmachen, wenn sich beispielsweise mehrere Nutzer eine gemeinsame Infrastruktur teilen oder die IT-Leistung dynamisch über mehrere Standorte verteilt wird. IT-Sicherheit ist daher ein Schlüsselfaktor für erfolgreiche Cloud-Projekte. Da der Nutzer beim Cloud-Computing keinen direkten Einfluss mehr auf die Hard- und Software hat, ist ein hohes Maß an Transparenz von Seiten des Cloud-Anbieters gefordert: An welchen Standorten werden die Daten und Anwendungen gespeichert und verarbeitet? Wie ist der Zugriff durch Dritte geregelt? Was geschieht bei einer Insolvenz des Cloud-Anbieters? Wie kann der Datenschutz garantiert werden, wenn Informationen und Programme weltweit verteilt sind und lokalem Recht unterliegen? Der Kunde muss die Möglichkeit haben, sich ein umfassendes Bild vom Sicherheitsniveau seines Cloud-Anbieters zu machen. Hier können internationale Standards und Zertifizierungen für mehr Verlässlichkeit sorgen. Ziel des Bundesamts für Sicherheit in der Informationstechnik (BSI) ist es, gemeinsam mit den Marktteilnehmern sachgerechte Sicherheitsanforderungen zu erarbeiten, die bei der Bereitstellung und Nutzung von Cloud-Dienstleistungen herangezogen werden sollten. In diesem Prozess setzt das BSI auf eine enge und praxisnahe Zusammenarbeit mit Anbietern und Anwendern. Denn sicheres Cloud-Computing ist nur durch die Zusammenarbeit von Kunden, Dienstleistern und IT-Sicherheitsexperten möglich. Eine interessante Lektüre wünscht Ihnen Michael Hange Präsident des Bundesamtes für Sicherheit in der Informationstechnik 3

4 Inhalt Bedrohungen und Anforderungen Von Modellen und Risiken Wer Cloud-Services nutzt, muss sich über die Risiken im Klaren sein. Zur besseren Identifizierung dieser Risiken sollte man die Charakteristik der unterschiedlichen Cloud-Computing-Services verstehen, meint unser Autor und gibt dazu einen Überblick. Seite 6 Nicht weniger als Das Bundesamt für Sicherheit in der Informationstechnik (BSI) hat ein Eckpunktepapier veröffentlicht, in dem Mindestanforderungen an Cloud-Anbieter definiert werden. Der Artikel beschreibt die wichtigsten Forderungen. Seite 10 Auf dem Weg zur sicheren und datenschutzkonformen Cloud Sowohl Anwender als auch Anbieter sehen sich einer Vielzahl von Problemen gegenüber, die eine sichere und rechtskonforme Inanspruchnahme von Cloud- Services verhindern. Dies soll durch das Projekt TClouds geändert werden. Ziel ist eine vertrauenswürdige Cloud- Infrastruktur ohne Aufbau einer physisch getrennten privaten Cloud. Seite 14 Gütesiegel für die Cloud Der Verband EuroCloud Deutschland_eco hat die Entwicklung eines SaaS-Gütesiegels gestartet. Ziel ist es, eine komplette Zertifizierung für die grundlegenden Anforderungen an Cloud-Services zu bieten. Seite 16 Neue Herausforderung für die Anti-Malware-Industrie Die tägliche Menge neuer Malware bringt die signaturbasierte Erkennung klassischer Sicherheitsprodukte an ihre Grenzen. Die Cloud könnte zur Lösung des Problems beitragen, allerdings sind die neuen Techniken noch nicht ausgereift. Seite 18 Das große Scheitern? Viele Anbieter wollen nicht wahrhaben, dass die Skepsis bezüglich der Cloud bei IT-Entscheidern immer noch groß ist. Passiert hier nichts, ist das Modell Cloud-Computing zum Scheitern verurteilt, findet unser Autor. Seite 47 Management und Wissen Finger weg! Zugriffe auf Kundendaten durch Administratoren des jeweiligen Cloud-Anbieters sind ein Sicherheitsproblem, welches Cloud-Anwender am besten mit einem Konzept begegnen, das sich schon im eigenen Rechenzentrum bewährt hat: Privileged-Identity-Management (PIM). Seite 20 Abschließen nicht vergessen Daten sollte man auch in der Cloud verchlüsseln. Geht es um den Transfer in die Cloud, ist das relativ einfach umzusetzen. Sollen die Daten jedoch auch in der Wolke bearbeitet werden, wird die Verschlüsselung schnell zum Hindernis. Seite 24 Cloud-Computing im Mittelstand Die Cloud machts einfach und kompliziert zugleich. Daher, so die Argumentation unseres Autors, sind kleinere und mittelständische Unternehmen gut beraten, ihre Cloud-Aktivitäten von einem zentralen IT-Dienstleister managen zu lassen, der unterschiedliche Cloud-Lösungen im Portfolio hat. Seite 25 Automobil-Branche: Into the Cloud Fahrzeughersteller nutzen Cloud-Services. Außerdem werden immer mehr Cloud-basierte Dienste in Infotainment- und Telematik-Systemen vorgestellt. Was sind die Besonderheiten der Automotive-Cloud? Welche Konsequenzen hat das für die IT-Sicherheit? Seite 28 4

5 Blackbox Cloud-Computing Nur wer Risiken kennt, kann entsprechend vorsorgen. Wenige Kunden wissen allerdings um die konkreten Abläufe im Rechenzentrum des Anbieters und stellen deswegen oft die falschen Fragen. Seite 40 WAF-Technik für verteilte, große und virtualisierte Web-Infrastrukturen und Cloud-Umgebungen Um die Hardware-Kosten gering zu halten und eine hohe Skalierbarkeit zu gewährleisten, sollten auch Dienste wie Web-Application-Firewalls (WAFs) durchgängig virtualisiert werden, meint unser Autor und beschreibt die entsprechende Software-Architektur. Seite 43 Abwehr statt Reparatur, Selbstverteidigung statt Schutz von außen Sicherheit aus der Cloud und für die Cloud heißt ein neues Konzept, durch das Sicherheit fester Bestandteil der Cloud-Architektur wird. Seite 44 CeBIT CeBIT 2011: Cloud ganz groß Mit dem Thema Work and Life with the Cloud rückt die CeBIT 2011 einen Wachstumsmarkt im IT-Geschäft in den Mittelpunkt. IT-Sicherheitsanbieter sind wie im letzten Jahr auf der Security World in Halle 11 zu finden. Seite 32 Backup Sichere -Archivierung Eine gehostete Archivierungslösung ist genauso sicher wie selbst betriebene Installationen. Unser Autor beschreibt an einem Beispiel, welche Sicherheitsmechanismen diese Behauptung untermauern. Seite 34 Sicheres Backup trotz Datenflut Der steigende Speicherbedarf ist bei der Datensicherung eine ständige Herausforderung. Die Cloud bietet hier neue und sichere Möglichkeiten. Seite 36 News und Produkte Meldungen Seite 48 Impressum Seite 50 Heute noch gratis anfordern! Mit dem unten stehenden Anforderungsabschnitt erhalten Sie ein Exemplar <kes> Special Cloud Computing für einen Kollegen oder zur Weitergabe gratis. Per Fax an oder formlos per an vertrieb@secumedia.de Absender: Bitte senden Sie mir gratis ein Exemplar1 <kes> Special Cloud Computing an nebenstehende Anschrift Bitte senden Sie mir 10 Expl. <kes> Special Cloud Computing zum Mengenpreis von insg. 25,00 E (inkl. Versandkosten) Bitte machen Sie mir ein Angebot für eine größere Menge: Stück. Datum, Unterschrift 5

6 Bedrohungen und Anforderungen Von Modellen und Risiken Der Einsatz von Cloud-Services birgt potenzielle Risiken. Welches Anwendungsmodell von Cloud-Computing für welche Organisation am besten geeignet ist, können Unternehmen durch eine objektive Risikoerhebung herausfinden. Der Beitrag gibt dazu einen Überblick. Von Jörg Asma, KPMG AG Wirtschaftsprüfungsgesellschaft Die Informationsverarbeitung durchläuft derzeit einen Paradigmenwechsel, an deren vorderster Front Cloud-Computing steht und Plattformen, Infrastrukturen und Software als Services für Unternehmen bereithält. Es mag unterschiedliche Wertungen dieser Technik geben, unbestritten ist jedoch, dass es signifikante Vorteile für Organisationen gibt, die Cloud-Computing anwenden, wie beispielsweise Kosteneinsparungen, Skalierbarkeit und Flexibilität. Trotzdem muss sich jede Organisation, die Cloud-Services nutzt, über deren Risiken im Klaren sein und angemessene Risikobehandlungsstrategien umsetzen. Diese Risiken können eine Vielzahl von Themen betreffen, wie Finanzrisiken, Betriebsrisiken, Regulierungsrisiken, Lieferantenrisiken und Technologierisiken. Zur besseren Identifizierung dieser Risiken ist es wichtig, die Charakteristik der unterschiedlichen Cloud-Computing-Services zu verstehen. Versuch einer Definition Das National Institute for Standards and Technologies (NIST) definiert Cloud-Computing wie folgt: Cloud Computing is a model for enabling convenient, on-demand network access to a shared pool of configurable computing resources (e.g., networks, servers, storage, applications, and services) that can be rapidly provisioned and released with minimal management effort or service provider interaction. Schlüsselcharakteristiken könnten sein: bedarfsorientierter Self Service, wie Speicherzuordnung von Endbenutzern, elastische Dienste, die nutzungsorientiert skalieren, Pay per Use Dienste, Netzzugänge für mobile Endgeräte, Ressourcenpooling für mehrere Organisationen oder Endbenutzer. Anwendungsmodelle Clouds können sowohl als Public- oder Private-Cloud aufgebaut werden. Private-Cloud-Computing kann intern durch die eigene IT-Organisation angeboten werden, oder aber extern unter Anwendung spezieller Arrangements durch einen Dienstleister für eine Organisation. Public-Cloud-Computing wird dagegen per Definition immer durch einen Dienstleister offeriert. Mögliche Definitionen hierfür sind: Private-Cloud Eine Private-Cloud ist ein geschlossenes Netzwerk von IT-Ressourcen, die ausschließlich durch eine einzelne Organisation genutzt werden. Private-Internal-Cloud In einer Private-Internal-Cloud werden die IT-Ressourcen durch die organisationseigene IT-Organisation bereitgestellt. Die IT-Ressourcen gehören der Organisation und werden durch sie selbst verwaltet. Private-External-Cloud In einer Private-External-Cloud werden IT-Ressourcen durch einen externen Dienstleister bereitgestellt und ausschließlich durch eine Organisation benutzt. Die IT-Ressourcen gehören dem IT-Dienstleister und werden durch diesen verwaltet. Public-(External)-Cloud In einer Public-Cloud werden IT- Ressourcen über das Internet bereitgestellt. Jeder mit einem Internetzugang kann diese Ressourcen gegen Gebühr nutzen. Servicemodelle Es existieren verschiedene Servicemodelle für jedes der vorab genannten Anwendungsmodelle: Infrastructure-as-a-Service In diesem Modell werden Infrastrukturkomponenten (Storage, Netzwerk, Server) bereitgestellt und der Anwender kann seine eigenen Anwendungen und Softwarepakete installieren. Der Dienstleister (interne IT oder externer Dienstleister) verwaltet die Infrastruktur, während die Anwenderorganisation Anwendungen und darauf ablaufende Software verwaltet. Platform-as-a-Service In diesem Servicemodell stellt der Dienstleister spezifische Plattformen zur Verfügung, in denen die Anwenderorganisation die eigene Business Logik abbilden und Anwendungsregeln definieren kann. Der Dienstleister (interne IT oder externer Dienstleister) verwaltet die Infrastruktur und die Softwareplattform, während 6

7 die Anwendung durch den Kunden verwaltet wird. Software-as-a-Service In diesem Modell wird die gesamte Anwendungslogik als Dienst zur Verfügung gestellt und der Anwender nutzt diesen Service. Der Dienstleister (interne IT oder externer Dienstleister) verwaltet die Infrastruktur, die Softwareplattform und die Anwendung. Mit Blick auf das Risiko ist eine gewisse Steigerung in den unterschiedlichen Servicemodellen zu erkennen, während in den Anwendungsmodellen die Risiken stark variieren. Welche Risiken sind für Cloud-Computing-Anwendungsmodelle identifizierbar? Monetäre Risiken Monotäre Risiken sind allgemein die Risiken, deren Auswirkung finanzielle Verluste darstellen, oder zu hohe Ausgaben bedeuten. Beim Aufbau einer Private- Cloud können die Anfangsinvestitionen unterschätzt werden. Dabei ist das Risiko der kontinuierlichen Anschaffung von Hard- und Software zu berücksichtigen, um den erhofften Nutzen zu erzielen. Wird die Private-Cloud von einem Dienstleister betrieben, so besteht das Risiko, dass im Falle einer Rückabwicklung des Dienstleistungsvertrages Konventionalstrafen durch die Anwenderorganisation zu tragen sind. Das Risiko von Rückabwicklungen steigt mit wachsendem Komplexitätsunterschied zwischen ursprünglichem und geplantem Service. Auch besteht die Gefahr, dass durch Planungsunsicherheiten Change Requests durchgeführt werden müssen, die zu höheren Kosten führen. Für Public-Clouds besteht das Risiko, dass Dienstleister Konventionalstrafen im Falle der (vorzeitigen) Beendigung des Services erheben. Sollte die Anwenderorganisation auf Basis falscher oder fehlender Informationen die Nutzungsintensität des Services eingekauft haben, entstehen Folgekosten aus stärkerer Nutzung des Services als geplant. Die dafür anfallenden Kosten sind häufig preislich höher anzusiedeln als die verhandelten Kosten, da hier Kapazitätsrisiken durch den Dienstleister getragen werden. Datensicherheitsrisiken Datensicherheitsrisiken gehen einher mit dem Verlust der Vertraulichkeit, der Verfügbarkeit oder der Integrität der verarbeiteten Daten. Im Bereich einer Private- Cloud sind die Risiken mit denen des traditionellen Eigenbetriebs vergleichbar. Jedoch müssen im Bereich der External-Private-Clouds noch Datensicherheitsrisiken durch dubiose Handlungen des Betriebspersonals des Dienstleisters hinzugerechnet werden. Auch dieses Risiko besteht bereits bei reinem Outsourcing. Im Bereich der Public-Clouds kann, bedingt durch den geteilten Zugriff auf Infrastrukturen, eine Kompromittierung von Daten nicht gänzlich ausgeschlossen werden wenn die Konfigurationsfehler der Cloud-Services existieren. Kryptografie könnte hier Abhilfe schaffen, jedoch sind bei Public-Cloud-Services nicht alle Kryptografieverfahren anwendbar. Technologische Risiken Technologie-Risiken müssen mit der permanenten Evolution von IT-Services in Verbindung gesetzt werden. Auch ein zu geringer Standardisierungsgrad muss als Technologierisiko identifiziert werden, da hier möglicherweise Technologienutzung eingeschränkt wird, um Interoperabilität zu gewährleisten. Im Bereich von Private-Cloud- Services kann dies bedeuten, dass Unternehmen teure Architekturupgrades oder Reorganisationen durchführen müssen, um ihre Zukunftsfähigkeit zu erhalten. Dies führt zu weiteren Kosten im Personalbereich, zum Beispiel für Ausbildungen. Für Public-Cloud-Services liegen die Risiken deutlich geringer, da die Service-Anbieter selbst für ihre Zukunftsfähigkeit verantwortlich sind. Dennoch liegen Risiken dahingehend vor, dass die eingesetzten Technologien möglicherweise erforderliche Anpassungen verhindern. Weiterhin können Inkompatibilitäten zu anderen Cloud-Services existieren oder aber entstehen, zum Beispiel wenn die Anwender verschiedene Cloud- Services nutzen möchte. Zusätzlich zu den bereits benannten Risiken existiert ein inhärentes New Technology -Risiko, ohne Ansehen der verwendeten Architektur. Da Cloud-Services einem schnellen Wandel unterliegen, ist nicht absehbar, welche Veränderungen durchlaufen werden, die zu einer Sackgasse für die Anwenderorganisation werden. Operationelle Risiken Operationelle Risiken sind Risiken, die sich auf den IT-Betrieb und die damit verbundenen Aufgaben beziehen, die das Geschäftsmodell der Anwenderorganisation unterstützen. Im Bereich von Private- Cloud-Services sind mangelnde Serviceleistungen als Hauptrisiko zu nennen. Damit verbunden ist in der Regel ein Risiko der Verfügbarkeit von Services. Zum Beispiel wenn aus Budgetgründen nicht die beste verfügbare Technologie eingesetzt wird. Im Bereich der Public-Clouds sind zu stark standardisierte Service- Level-Agreements (SLA) ein großes Risiko: Unternehmen müssen oft das am besten passende SLA des Anbieters nutzen und haben wenig Spielraum für Anpassungen der Services an das eigene Geschäftsmodell. Damit geht, was die Qualität des Services angeht, ein Kontrollverlust einher, da in der Regel ein stark standardisiertes SLA Reporting existiert, das aber spezifische Bedürfnisse nicht reflektiert und dies auch nicht soll. Regulatorische Risiken Regulatorische Risiken sind diejenigen Risiken, die sich aus der Verletzung von Gesetzen oder anderen regulatorischen Rahmenbedingungen ergeben. Im Bereich der Private- Clouds besteht ein Risiko der Verletzung von Gesetzen vor allem dann, wenn Cloud-Services verschiedene Rechtsräume abdecken und die darin enthaltenen rechtlichen Rahmen- 7

8 Bedrohungen und Anforderungen Risiko- Dimensionen Monetäre Risiken Ungeplante Kosten aufgrund fehlender oder falscher Planungsannahmen Vertragskosten bei Rückabwicklung Datensicherheitsrisiken Technologische Risiken Operationale Risiken Regulatorische Risiken Anbieterrisiken bedingungen nicht einheitlich sind. Dies ist am Beispiel personenbezogener Daten sehr gut erklärbar. Werden solche Daten aus Deutschland in einen Cloud-Service geladen, der nicht ausschließlich in Deutschland angesiedelt ist, sind weitere rechtliche Prüfungen für den Betrieb unerlässlich, was häufig in weiteren Verträgen (zum Beispiel Beitritt zum Safe Harbor Abkommen) mündet oder auch technische Implikationen haben kann (zum Beispiel bei der Auswahl von Verschlüsselungsmethoden). Weiterhin besteht das Risiko, zumindest aus deutscher Sicht, Private- Internal-Cloud Unterschätzen initialer Kosten Kontinuierliche Investitionen Ähnlich wie bei tradtitionellem Outsourcing Evolution der Technologien können Re-Invests und gesteigerte HR Kosten bedeuten Verlässlichkeit des Services und Verfügbarkeit Unterschiedliche Rechtsräume bei Betrieb grenzüberschreitender Clouds Steuerrisiken Datenschutzrisiken Prüfungsrisiko n/a Anwendungsmodell Private- External-Cloud Unterschätzen initialer Kosten Kontinuierliche Investitionen Preisanpassungen durch Changerequests Vertragskosten bei Rückabwicklung Dolose Handlungen durch Betriebspersonal Evolution der Technologien können Re-Invests und gesteigerte HR Kosten bedeuten Verlässlichkeit des Services und Verfügbarkeit Fehlende Kontrollmöglichkeiten hinsichtlich regulatorischer Anforderungen Prüfungsrisiko Verlässlichkeit des Anbieters Insolvenzrisiko Übernahmerisiko Public- Cloud Dolose Handlungen durch Betriebspersonal Verlust der Datensicherheit durch Konfigurationsfehler und Nutzung durch mehrere Organisationen Fehlende Flexibilität bei der Anwendung von Kryptografie Limitationen der Anpassbarkeit von Cloud-Services Kompatibilitätsprobleme zu anderen Anbietern Auswahl der falschen Technologie Fehlende Flexibilität bei SLA Kontrollverlust hinsichtlich der Qualität Fehlende Kontrollmöglichkeiten hinsichtlich regulatorischer Anforderungen Verlässlichkeit des Anbieters Insolvenzrisiko Übernahmerisiko der Verletzung des Steuerrechts, da der Betrieb von Cloud-Services über Landesgrenzen hinweg für Daten, die die Steuerbilanz der Organisation betreffen kann, eine entsprechende Genehmigung der Finanzbehörden voraussetzt. Auch kann durch die Verteilung der IT-Ressourcen über verschiedene Rechenzentren hinweg das Problem entstehen, dass im Bereich der regulatorisch getriebenen Prüfung der IT-Ressourcen signifikante Zusatzaufwendungen entstehen (zum Beispiel für die Jahresabschlussprüfung), die einen großen Teil der Kostenreduzierungen von IT-Services wieder eliminieren können. Im Bereich der Public-Clouds besteht zusätzlich das Risiko, dass angesichts der Unübersichtlichkeit der angebotenen Services für die Unternehmen nicht immer klar ist, welche Gesetze und Regulierungen zur Anwendung kommen müssen. Anbieterrisiken Anbieterrisiken sind nur im Bereich der Public-Cloud-Services sowie der External-Private-Cloud-Services zu finden. Sie beziehen sich auf unvorhergesehe Ereignisse, die die Leistungserbringung des Anbieters beeinträchtigen, wie zum Beispiel eine Insolvenz oder Klagen. Diese Risiken bestehen jedoch auch bereits bei traditionellen Outsourcing-Beziehungen. Zusätzlich besteht das Risiko, dass durch einen Aufkauf oder Verkauf eines Cloud-Anbieters eine Architekturänderung einhergeht, die der Anwenderorganisation verborgen bleibt. Zum Beispiel könnte ein deutscher Spezialanbieter durch ein amerikanisches Unternehmen aufgekauft werden und die IT-Ressourcen werden vollständig in das Rechenzentrum des neuen Gesellschafters in den USA übertragen. Zusammenfassung Der vorliegende Artikel gibt einen breiten Überblick über potenzielle Risiken, die sich aus der Entscheidung für den Einsatz von Cloud-Computing-Services ergeben können. Komplexere Strukturen, wie die Mixtur aus verschiedenen Anwendungsmodellen zu Hybrid Cloud Services, wurden nicht diskutiert, sind jedoch als Kombination leicht abzuleiten. Welches Anwendungsmodell von Cloud-Computing für welche Organisation am besten geeignet ist, kann nur durch eine objektive Risikoerhebung, für die der Artikel erste Ansätze liefert, evaluiert werden. Als Zusammenfassung werden in Tabelle 1 noch einmal die diskutierten Risiken aufgelistet. n Tabelle 1: Zusammenfassung der Modelle und Risiken 8

9 konkurrenzlose zuverlässigkeit. unschlagbarer nutzen. Weltweit vertrauen mehr als Organisationen die Sicherheit ihres Netzwerks und den Schutz der Anwender den mehrfach ausgezeichneten Lösungen von Barracuda Networks an. Eine schnelle Installation sowie die Benutzerfreundlichkeit bedeuten Zeit- und Geldersparnisse für die immer kleiner werdenden IT-Abteilungen. Zudem werden Security- und Compliance-Vorgaben erreicht und das alles mit den Lösungen eines einzigen Herstellers. Optionen für den virtuellen, Cloud-basierten oder hybriden Einsatz verfügbar Security Barracuda Spam & Virus Firewall Barracuda Web Application Firewall Barracuda Web Filter Barracuda IM Firewall Barracuda NG Firewall Barracuda SSL VPN Networking Barracuda Load Balancer Barracuda Link Balancer Storage Barracuda Message Archiver Barracuda Backup Service Testen Sie unsere Lösungen 30 Tage kostenfrei

10 Bedrohungen und Anforderungen Nicht weniger als Das Bundesamt für Sicherheit in der Informationstechnik (BSI) hat ein Eckpunktepapier zum Thema Informationssicherheit beim Cloud-Computing veröffentlicht. Es definiert Mindestsicherheitsanforderungen an Anbieter von Cloud-Lösungen. Von Isabel Münch, Alex Didier Essoh, Dr. Clemens Doubrava, Bundesamt für Sicherheit in der Informationstechnik (BSI) Neben den oft genannten potenziellen Vorteilen, gibt es auch eine Reihe von Risiken, die beim Cloud-Computing betrachtet werden müssen. Viele dieser Risiken sind zwar nicht Cloud-spezifisch, werden aber durch die Einsatzumgebung verstärkt. Die Auslagerung der IT in die Cloud bedeutet beispielsweise, dass der Kunde sich in eine starke Abhängigkeit des Cloud-Dienstleisters begibt. Er hat schließlich keinen direkten Zugriff mehr auf Hard- und Software. In einer Cloud teilen sich zudem mehrere Nutzer eine gemeinsame Infrastruktur. Damit steigt das Risiko einer Verletzung der Grundwerte der Informationssicherheit. Desweiteren wird beim Cloud-Computing den Nutzern eine Web-Schnittstelle zur Verfügung gestellt, über die sie auf die Ressourcen der Cloud zugreifen können. So können sie beispielsweise virtuelle Maschinen starten, stoppen oder stilllegen. Auch können sie sich die Qualität der in Anspruch genommenen Dienste anzeigen lassen. Ist die Web-Anwendung unsicher programmiert, können Schwachstellen ausgenutzt werden, um Zugriff auf die Ressourcen zu erlangen. Wird das Cloud-Rechenzentrum Ziel eines Angriffs, beispielsweise einer Distributed-Denial-of- Service (DDoS) Attacke, sind Daten und Anwendungen möglicherweise nicht mehr verfügbar. Neben technischen und organisatorischen Fragen müssen auch die juristischen Aspekte des Cloud-Computing beachtet werden. In diesem Zusammenhang gibt es eine Reihe von Fragen zu beantworten, wie etwa: Welches nationale Recht gilt beim Auslagern der IT in die Wolke? Wo liegen die Daten und sind sie vor dem Zugriff Dritter etwa staatlicher Stellen ausreichend geschützt? Was geschieht bei einer Insolvenz des Cloud-Anbieters? BSI-Eckpunktepapier Um das Thema Informationssicherheit beim Cloud-Computing zu adressieren und Anwender und Anbieter zu unterstützen, hat das Bundesamt für Sicherheit in der Informationstechnik (BSI) das Eckpunktepapier Mindestsicherheitsanforderungen an Cloud-Computing-Anbieter ( im September 2010 als Diskussionsentwurf veröffentlicht. Darin wird die Cloud-basierte Verarbeitung von Informationen mit einem normalen bis hohen Schutzbedarf betrachtet. Der Entwurf soll eine Grundlage für die Diskussion zwischen Cloud-Anbietern und -Kunden bieten, mit dem Ziel, sinnvolle und angemessene Sicherheitsanforderungen an das Cloud-Computing zu entwickeln, die einen Schutz von Daten und Systemen gewährleisten. Die nachfolgenden Eckpunkte werden also künftig einer weiteren Detaillierung und Überarbeitung unterzogen. IT-Sicherheitsmanagement als Basis für die Cloud-Sicherheit Basis für ein zuverlässiges und sicheres Cloud-Computing ist ein professionelles Informationssicherheits-Managementsystem (ISMS) auf Seiten des Cloud-Anbieters. Das BSI empfiehlt, sich am ISO- Standard oder bevorzugt am IT-Grundschutz auf der Basis von ISO zu orientieren. Sicherheitsarchitektur Die Rechenzentren der Cloud-Anbieter sind die technische Basis von Cloud-Computing und sollten auf dem aktuellen Stand der Technik sein. Dazu zählen eine permanente Überwachung des Zutritts, Bewegungssensoren, Brandschutz, Alarmsysteme und geschultes Sicherheitspersonal. Alle für den Betrieb unverzichtbaren Versorgungskomponenten, wie zum Beispiel Stromversorgung, Klimaaggregate und Internetanbindung, sollten redundant ausgelegt sein. Für eine besonders hohe Verfügbarkeit sollte der Anbieter 10

11 zwei redundante Rechenzentren vorhalten, die geografisch so weit voneinander entfernt liegen, dass sie im Fall von Katastrophen nicht beide in Mitleidenschaft gezogen werden. Neben dem eigentlichen Rechenzentrum sollten alle Komponenten der Cloud-Architektur wie Netze, IT-Systeme, Anwendungen, Daten sowie virtuelle Infrastrukturen geschützt werden. Neben den gängigen IT-Sicherheitsmaßnahmen, wie beispielsweise Viren- und Spam- Schutz, IDS und IPS sowie Verschlüsselung aller Kommunikationsverbindungen, ist auf eine verlässliche und durchgängige Trennung der Mandanten zu achten. Bei hohen Anforderungen an die Sicherheit der Informationen sollte der Cloud-Anbieter zertifizierte Hypervisoren gemäß Common Criteria EAL 4 einsetzen. ID- und Rechtemanagement für Cloud-Nutzer und Administratoren Aufgabe des ID-Managements ist es, nur befugten Personen Zugriff auf Daten, Anwendungen und Infrastrukturservices zu gestatten. Eine hohe Sicherheit kann hier nur durch eine starke Authentisierung (zum Beispiel Zweifaktor-Authentisierung) garantiert werden. Das ID-Management kann auch von einem Drittanbieter übernommen werden (zum Beispiel mit SAML). Jeder authentisierte Nutzer sollte nur Zugriff auf diejenigen Daten haben, die für die Erfüllung seiner Aufgaben erforderlich sind. Die hohen Anforderungen an das ID-Management gelten in besonderer Weise für die Mitarbeiter des Cloud-Anbieters: Sie sollten ebenfalls nur über eine sichere Authentisierung (zum Beispiel Zweifaktor-Authentisierung) Zugriff auf die Systeme erhalten. Für besonders kritische Administrationstätigkeiten (zum Beispiel Einspielen von Patches) empfiehlt das BSI das Vier-Augen-Prinzip. Monitoring und Security- Incident-Management Jeder Cloud-Anbieter sollte ein wirksames Monitoring implementieren und sicherstellen, dass das Management der Cloud 24/7 erreichbar und handlungsfähig ist. Notfallmanagement Um auf Notfälle vorbereitet zu sein, sollte jeder Cloud-Anbieter über ein Notfallmanagement basierend auf einem etablierten Standard verfügen und regelmäßig für den Ernstfall üben, bei hohen Anforderungen sollte dies nachgewiesen werden. Sicherheitsprüfungen beim Cloud-Anbieter und dessen Subunternehmern Durch die Auslagerung der Daten beziehungsweise Anwendungen in die Cloud begibt sich der Kunde in eine große Abhängigkeit von der IT des Cloud-Anbieters und sollte sich daher auf dessen Sicherheitsmaßnahmen verlassen können. Nachweise für das hohe Niveau der infrastrukturellen, technischen und organisatorischen Vorkehrungen sollten darum regelmäßig erbracht werden. Bei besonders hohen Anforderungen an Vertraulichkeit und Verfügbarkeit der Dienste empfiehlt das BSI, auch bei den Subunternehmern des Cloud-Anbieters regelmäßige Sicherheits-Revisionen durchzuführen. Ein Maximum an Transparenz ist erforderlich Zu den ursprünglichen Charakteristika des Cloud-Gedankens gehört das Bild der diffusen Computerwolke, in der Daten und Anwendungen an beliebigen Orten und für den Nutzer nicht nachvollziehbar gespeichert sind beziehungsweise verarbeitet werden. Bei hoch sensiblen Daten sollten Cloud-Nutzer von ihrem Anbieter hohe Transparenz fordern: Er sollte offen legen, an welchen Standorten die Daten und Anwendungen gespeichert und verarbeitet werden und wie dort der Zugriff durch Dritte geregelt ist. Das gilt auch für die Aktivitäten von Subunternehmern, die eventuell Teile der Datenspeicherung und -verarbeitung übernehmen. Bei besonders hohen Anforderungen an die Vertraulichkeit und Verfügbarkeit der Dienste sollten auch die bestehenden Eingriffs- und Einsichtsrechte staatlicher Einrichtungen oder Dritter transparent gemacht werden. In diesem Zusammenhang sollte der Cloud-Anbieter auch alle Besitzverhältnisse sowie möglichst die Entscheidungsbefugnisse innerhalb seines Unternehmens offenlegen. Vertragliche Vereinbarungen zur Sicherheit und für den Fall einer Insolvenz Die Sicherheitsleistungen sollten in einem Service Level Agreement (SLA) zwischen Cloud-Anbieter und -Kunde eindeutig geregelt werden. Das geschieht vorzugsweise in einem speziellen Security-SLA oder an hervorgehobener Stelle im SLA. Bei sensiblen Daten und Anwendungen sollte sowohl der Zugriff auf die Daten als auch die Kontinuität der Geschäftsprozesse im Fall einer Insolvenz des Cloud-Anbieters sichergestellt sein. Cloud-Nutzer brauchen eigene Kontrollmöglichkeiten Der Cloud-Kunde sollte die Möglichkeit haben, sich selbst ein 11