Wolke mit zwei Gesichtern
Dieser Tage konzentriert sich die Debatte um Cloud-Sicherheit stark auf den Aspekt der Informationssicherheit. Hintergrund ist das Safe-Harbor-Abkommen, das der Europäische Gerichtshof (EuGH) kürzlich für ungültig erklärt hat. Cloud Security umfasst aber noch zahlreiche weitere wichtige Aspekte: Das Spektrum reicht vom App Testing über den Zugriffsschutz bis hin zur Reaktion auf Sicherheitsvorfälle (Incident Response).Cloud-Sicherheit ist eine Medaille mit zwei Seiten: Die einen sehen in der Cloud vor allem eine Gefahr, die anderen (zumindest unter anderem) ein Hilfsmittel, um die Sicherheit der eigenen IT zu erhöhen. Für beide Ansichten lassen sich gute Argumente finden: Viele Administratoren fürchten vor allem die Fülle teils mangelhaft gesicherter Consumer-Services, die bei ihren Endanwendern so beliebt sind, zum Beispiel um Dateien in der Cloud abzulegen und mit anderen Nutzern zu teilen. Ein Alptraum wäre es für den IT-Verantwortlichen, sensible Unternehmensdaten in einem öffentlichen Dropbox-Ordner oder einem ähnlichen Fileshare wiederzufinden. Unabhängig vom Leichtsinn einzelner Endanwender sehen manche Fachleute die Informationssicherheit in der Wolke grundlegend gefährdet: Die Veröffentlichungen Edward Snowdens machten deutlich, wie löchrig der Datenschutz und die Informationssicherheit im Cloud-Zeitalter sind - während aber der Sony-Hack vor einem Jahr erkennen ließ, dass wichtige Daten auch auf eigenen Servern nicht besser geschützt sind, wenn kompetente Angreifer mittels Social Engineering und/oder APT-Einsatz (Advanced Persistent Threat) zu Werke gehen. Cloud-Skeptiker, die die Informationssicherheit in fremden (meist US-amerikanischen) Rechenzentren als gefährdet einstufen, können sich durch das neue EuGH-Urteil bestätigt sehen: Der Europäische Gerichtshof kippte das Safe-Harbor-Verfahren schließlich deshalb, weil man die Daten in US-Rechenzentren als unzureichend geschützt betrachtet (siehe dazu "Siegeszug des ,Sowohl? als auch?" unter Link). Die Mark
