Sicherheit in der Wolke
Sicheres Cloud-Computing dank Verschlüsselung
Die Cloud wird populär. Alle reden davon und viele Unternehmen finden den Ansatz attraktiv. Doch wie sicher ist es, seine Daten in die Cloud zu geben? Wer hat die Kontrolle darüber und auf was sollte geachtet werden, bevor mit Cloud-Computing gestartet wird?
Cloud Computing ist in aller Munde und dank der Flexibilität sowie geringer Kosten sicherlich für viele Anwender ein Gewinn. Doch bevor aufgezeigt wird, welche Daten bedenkenlos in die Cloud eingestellt werden können und was dabei beachtet werden muss, sollte die Materie kurz definiert werden.
Cloud-Computing bedeutet, dass eine abstrahierte IT-Infrastruktur – wie Rechenkapazität, Datenspeicher oder Software- und Programmierumgebung – dynamisch an den Bedarf des jeweiligen Anwenders angepasst und via Netzwerk zur Verfügung gestellt wird. Beim Cloud-Computing geht es auch darum, alles als dynamisch nutzbaren Dienst bereit zu stellen. Im Mittelpunkt steht dabei die Illusion der unendlichen Ressourcen, die völlig frei ohne jegliche Verzögerung an den tatsächlichen Bedarf angepasst werden können.
Cloud-Services verbessern daher die Skalierbarkeit und sind flexibel nutzbar. Das macht sich auch bei den Kosten bemerkbar. Denn es werden vom Anwender nur tatsächlich genutzte Services gezahlt. Die Anwender betreiben ihre IT-Landschaft – oder einen Teil davon – somit nicht mehr selbst, sondern mieten einen Dienst. Die Anwendungen und Daten befinden sich dann nicht mehr auf dem lokalen Rechner, sie sind in der Wolke (einem nicht näher spezifizierten Teil des Internets).
Für den potenziellen Anwender sind vor allem die verschiedenen Typen der Cloud interessant, denn hier muss er sich festlegen, was er überhaupt nutzen möchte.
Es gibt die
Private-Cloud: Hier befinden sich Anbieter und Nutzer im selben Unternehmen, datenschutzrechtlich gibt es kaum Bedenken.
Public-Cloud: Die Public-Cloud ist eine öffentliche Cloud, die von beliebigen Personen und Unternehmen genutzt werden kann. Hier könnten sich datenschutzrechtliche Probleme auftun.
Hybrid-Cloud: Hier betreibt ein Unternehmen eine eigene Private-Cloud und nutzt zusätzlich, als Failoverstrategie oder für mehr Belastungen, eine Public-Cloud.
Virtual-Private-Cloud: Hier existiert eine Private-Cloud innerhalb der Public-Cloud. Anwender haben einen privaten Bereich und können zeitgleich die enormen Ressourcen der Public-Cloud nutzen.
Vor allem die Ansprüche im Datenschutz sind entscheidend für die Auswahl der Cloud-Form. Ist diese Entscheidung getroffen, muss der Anwender nur noch ein passendes Service-Modell für seine Ansprüche auswählen. Hier unterscheiden sich die drei Modelle IaaS (Infrastructure as a Service – es wird die Infrastruktur bereit gestellt), PaaS (Platform as a Service – hier kommt zusätzlich eine komplette Arbeitsumgebung hinzu) und SaaS (Software as a Service – hier werden neben Infrastruktur und Arbeitsumgebung auch der Service bereit gestellt, die gemietete Software wird so beispielsweise gewartet).
Die noch größten Bedenken beim Cloud-Computing löst derzeit weiterhin der Datenschutz aus. Welche Daten dürfen in die Cloud gegeben werden? Worauf muss geachtet werden?
Unternehmen sollten vor allem die für sich ausgelegten Datenschutz-Richtlinien im Auge behalten. Es macht einen großen Unterschied, ob ein Unternehmen sich an deutsche, europäische oder eben an keine besonderen Vorschriften halten muss.
Generell lässt sich aber die Regel benennen, dass vertrauliche und personenbezogene Daten in der Public-Cloud nicht sicher sind.
Und ein weiterer Aspekt ist wichtig: Cloud-Anwender sollten sich selbst um die Sicherheit kümmern, denn sie werden am Ende für die Verluste belangt. So heißt es in der Kundenvereinbarung von Amazon-Web-Services in etwa, dass sich das Unternehmen bemüht die Inhalte seiner Kunden zu schützen. Allerdings könne auf Grund der Natur des Internets nicht garantiert werden, dass diese Bemühungen erfolgreich sind. Demzufolge muss der Anwender bei Amazon bestätigen, dass er die alleinige Verantwortung für ausreichend Sicherheit, Schutz und Sicherung der Inhalte und Anwendungen trägt. Zu schützen sind dabei zwei Dinge: Die gespeicherten Daten selbst, als auch die laufende Instanz, beziehungsweise der Zugriff darauf. Die beste Möglichkeit des Schutzes bietet daher derzeit die Verschlüsselung der Daten in dem externen Storage. Die Verschlüsselung sollte mit einem separaten Schlüssel-Management umgesetzt werden, welches nicht innerhalb der Cloud betrieben wird. Dieser Ansatz ist auch unter dem Begriff Private-Key-Management bekannt.
Beim Private-Key-Management hält nicht mehr der Cloud-Anbieter, sondern der Kunde selbst den Schlüssel in der Hand. Die Daten werden verschlüsselt in der Cloud gespeichert. Dieser Ansatz ist neu und wird seit vergangenem Oktober erst von einem Hersteller angeboten.
- Sicheres Cloud-Computing dank Verschlüsselung
- Funktionsweise Private-Key-Management
- Fazit
