Search Icon
ConnectProfessional Logo
Search Icon
Startseite > Datacenter & Verkabelung > Geheimniskrämerei beim Cloud-Computing schafft Sicherheitsprobleme

Kommentar: SAS-70-Audits

Geheimniskrämerei beim Cloud-Computing schafft Sicherheitsprobleme

8. Oktober 2012, 17:29 Uhr | Mathias Hein, freier Consultant in Neuburg an der Donau
Mathias Hein, Consultant

Der Einstieg in die Public-Cloud schafft Sicherheitsrisiken und bewegt sich auf einem rechtlichen Minenfeld.

Trotz der vielfältigen Lobpreisung und Marketingattraktivität des Cloud-Computings als Outsourcing-Option werden die warnenden Töne immer lauter. Immer öfter bezeichnet man das öffentliche Cloud-Computing als unkalkulierbares Sicherheitsrisiko und als rechtliches Minenfeld für die Unternehmen. Die Public-Cloud-Service-Provider dagegen bekleiden sich gerne mit der Aura der Verschwiegenheit und reden nicht gerne über die von ihnen erbrachten Services und Leistungen.

Viele Unternehmen und auch Industrie-Analysten begnügen sich jedoch nicht mehr mit den nichtssagenden und blumigen Aussagen der Anbieter und wollen nicht zuerst fragwürdige Non-Disclosure Agreements (NDAs) unterschreiben, um dem Anbieter einige Fragen stellen zu können, die dieser sowieso nicht beantworten will. Zu diesen ungebührlichen Fragen gehören beispielsweise die Frage nach den Standorten der Rechenzentren und den Sicherheits- und Geheimhaltungspraktiken des Anbieters. In der Regel werden diese Themenbereiche von den Cloud-Anbietern wie militärische Geheimnisse behandelt und einfach die berechtigten Fragen der Interessenten niedergebügelt. Die Public-Cloud-Anbieter verwechseln das natürliche Informationsbedürfnis des Kunden mit dem Ausspionieren von Geschäftsgeheimnissen. Das Geheimnisvolle scheint das angemessene Geschäftsprinzip der Public-Cloud-Modelle zu sein, denn alle Anbieter verhalten sich grundsätzlich nicht transparent.

Oft wird auf die bestehenden SAS-70-Audit-Zertifizierungen mit dem Hinweis verwiesen, dass sich die Kunden keine Sorgen machen müssten. Es heißt, dass die in der Wolke gespeicherten geschäftlichen Daten sicher sind. Google beispielsweise begründet seine Aussage damit, dass die ihnen anvertrauten Daten auf Basis eines internen Verteilmodells auf vielen Speicherressourcen abgelegt werden würden. Das auf einem "gehärteten Linux-Stack" basierte Verfahren sorge für eine "schnelle Aktualisierung“ aller Datenfragmente und Dateien im verteilten Speichersystem. Dieser Prozess wird auch als Verschleierung der Dateien bezeichnet.

In der Vergangenheit betrachtete Google die Preisgabe des individuellen Speicherorts von Kundendateien als Sicherheitsrisiko. Inzwischen ist eine gewisse Öffnung zu erkennen und das Unternehmen versucht etwas mehr Transparenz in seine Cloud-Geschäfte zu bringen. Google gibt auch zu, dass selbst die derzeit unter einem NDA-Agreement preisgegebenen Informationen den meisten Kunden nicht tief genug gehen.

Eines der wichtigsten Themen für die Nutzer von Cloud-Services ist der Speicherort beziehungsweise das Rechenzentrum in dem die Daten abgelegt sind. Dieses Problem wirft erhebliche legislative und judikative Fragen auf. Das Unternehmen kann zwar seine Daten auslagern, aber nicht die Verantwortung für diese Daten. Die örtlichen Datenschutzgesetze behalten trotz Cloud-Computings ihre Gültigkeit.

Hier prallen zwei konträre Sichtweisen aufeinander. Der Kunde will wissen, an welchem physikalischen Ort sich seine Daten befinden. Dagegen hält Google den Begriff der physikalischen Verstandortung für antiquiert.

In diesem Fall prallen die unterschiedlichen Sichtweisen aufeinander. Die Kunden haben ihrer Meinung nach ein Recht zu wissen, wo sich ihre Daten befinden. Somit befindet sich der Cloud-Kunde schnell im Widerspruch zu den geltenden Gesetzen und muss sich mit dem Cloud-Anbieter auf unnötige Diskussionen (Transparenz versus Geheimhaltung) beim Cloud-Computing einlassen.

Für einen Cloud-Kunden ist aufgrund der bisher veröffentlichten Informationen von Google nicht zu erkennen, wo das Unternehmen die Kundendaten ablegt und wie diese gesichert werden. Daher hat ein Kunde keinerlei Möglichkeiten, die Sicherheit einer solchen Lösung zu beurteilen. Eine SAS-70-Zertifizierung eines öffentlichen Cloud-Anbieters mag als angemessenes Testat für einige US-Kunden sein, für europäische Unternehmen ist eine solche Zertifizierung nutzlos. Böse Zungen behaupten: ein SAS-70-Testat ist auf sicherheitspolitischer Ebene ziemlich sinnlos und stellt nur den jeweiligen Prüfer zufrieden.

 

Anbieter zum Thema

AixpertSoft GmbH
Vertiv GmbH
Riello UPS GmbH
Rittal GmbH & Co. KG
Panduit
Matchmaker+
zu Matchmaker+
  1. Geheimniskrämerei beim Cloud-Computing schafft Sicherheitsprobleme
  2. SAS-70-Testat gilt nur für den Überprüfungszeitraum

Lesen Sie mehr zum Thema

Server, Datacenter
Jetzt kostenfreie Newsletter bestellen!

Weitere Artikel zu Server, Datacenter

Fokus auf Colocation-Services

Christian Zipp ist neuer CEO bei Nexspace

Schnell, skalierbar und nachhaltig

Siemens, Cadolto und Legrand zeigen modulares Edge-Rechenzentrum

Energieinfrastruktur für Rechenzentren

Siemens Energy und Eaton planen modulare Komplettlösungen

Schwarz Digits rüstet seine Cloud auf

StackIT soll der erste deutsche Hyperscaler werden

Security und Cloud aus einer Hand

Plusserver kauft MSSP Cosanta

Matchmaker+
Vertiv GmbH

Vertiv GmbH
Vodia Networks GmbH

Vodia Networks GmbH
WEKA MEDIA PUBLISHING GmbH

WEKA MEDIA PUBLISHING GmbH
nexspace data centers GmbH

nexspace data centers GmbH
Zyxel Networks A/S

Zyxel Networks A/S
KONZEPTUM GmbH

KONZEPTUM GmbH