Interview mit dem Cloud-Spezialisten Ralf Schnell
Fünf Fragen an CA zum Thema Cloud Security
Ralf Schnell ist Spezialist für das Thema Cloud Computing und trägt den schönen Titel "Customer Success Architect" bei CA Technologies in Deutschland. LANline sprach mit Ralf Schnell über die Herausforderungen rund um das Thema Sicherheit, die sich aus dem Trend zum Cloud Computing ergeben.
Sicheres Cloud Computing ist machbar
Sophos: Safeguard 6 erweitert die Cloud-Sicherheit
Studie: Das Thema Cloud-Sicherheit birgt Sprengstoff
LANline: Herr Schnell, woher rührt das verbreitete Unbehagen, wenn es um Cloud Computing und Sicherheit geht?
Schnell: Cloud bedeutet die Entkopplung einer Dienstleistung von deren Erbringung. Damit ist nicht immer klar, auf welchem Server oder auf welcher Instanz ein Service gerade läuft. Diese Unklarheit sorgt für Unwohlsein. Hinzu kommen bei der Private Cloud, noch mehr aber bei der Public Cloud Fragen wie die nach Backup und Disaster Recovery, Kapazitätsplanung oder Failover. Künftig wird es für IT-Abteilungen aber wohl eher ein Problem sein, Security Best Practices ohne den Einsatz von Cloud Computing aufrechtzuerhalten.
LANline: Oft umgehen Fachabteilungen die IT-Organisation und beziehen Public-Cloud-Services direkt von den Cloud Providern. Wie lässt sich das Sicherheitsrisiko eines solchen Wildwuchses vermeiden?
Schnell: Wichtig ist vor allem, dass die hausinterne IT immer involviert bleibt. Im Idealfall bietet sie dann ein Single Sign-on (SSO) mit zentralen Vorgaben zur Passwortgestaltung und Identity Federation für alle genutzten Cloud-Services. Von Bedeutung für die sichere Nutzung von Cloud-Services sind vor allem die Authentifizierung, die Verschlüsselung ruhender Daten und die verschlüsselte Datenübertragung mittels IPSec.
LANline: Welche Sicherheitsprobleme können trotzdem noch auftreten?
Schnell: Ein Konfliktfall ist die Auftragsdatenverarbeitung in der Cloud, denn hier muss ich Unternehmensdaten entschlüsselt übergeben. Aber auch das lässt sich lösen: Man kann die ausführbaren Dateien im Hash laufen lassen und den Hash vor Ausführung prüfen, dann fällt eine Manipulation auf.
LANline: Welche Herausforderungen ergeben sich beim Umstieg auf Cloud Computing?
Schnell: Wer intern seine IT-Prozesse bereits im Griff hat, für den ist die Umstellung auf die Public Cloud nicht mehr so ein großer Schritt. Schwierig wird es nur, wenn zuerst komplexe Infrastrukturen aufzusetzen sind, zum Beispiel wenn es für Single Sign-on noch keine Zertifikatsinfrastruktur gibt. Aber letztlich besteht dann wiederum die Option, auch SSO als externe Dienstleistung einzukaufen.
LANline: Entstehen nicht auch Risiken durch Wissenslücken, wenn IT-Organisationen noch keine Erfahrung mit dem Umgang mit Cloud-Services haben, diese aber nun auf Druck der Fachabteilungen plötzlich steuern sollen?
Schnell: Um in einem Bild zu sprechen: Wenn das Personal, das früher das Flugzeug betankt hat, dieses Flugzeug nun fliegen soll, dann wird das so nicht funktionieren. Eine wichtige Voraussetzung ist es für das Management von Cloud-Services, die ITIL-Prozesse nicht nur auf dem Papier zu beherrschen, sondern wirklich zu leben, insbesondere auch die Service-Delivery-Prozesse. Dann habe ich auch das nötige Wissen, um die Arbeit der Public Cloud Provider beurteilen zu können.
LANline: Herr Schnell, vielen Dank für das Gespräch.
Lesen Sie mehr zum Thema
