Denn während bei der inhouse betriebenen IT die gesamte IT-Infrastruktur im eigenen Einflussbereich liegt und sich mit Security Policies absichern lässt, verteilen Cloud-Umgebungen zwangsweise die Verantwortung für entscheidende Sicherheitsbereiche. Und das gilt nicht nur für Schnittstellen und die Speicherung sensibler Daten, sondern auch für den Datentransfer und reicht bis zum Personal des Cloud Providers.

Für IT-Verantwortliche ergibt sich daraus ein schwerwiegendes Dilemma: Auf der einen Seite liegen die wirtschaftlichen und organisatorischen Vorteile des Cloud Computings auf der Hand, auf der anderen Seite tragen CIOs und IT-Leiter die Verantwortung für Sicherheitsbelange, die durch die verteilte Infrastruktur weitgehend ihrem direkten Einfluss entzogen sind.

Können sie innerhalb ihres eigenen Unternehmens mit IT-spezifischen Regularien selbst für die Sicherheit des IT-Betriebes sorgen, sind sie in der Cloud-Welt mit ihren verteileilten IT-Infrastrukturen gefordert, eben diese Sicherheit auf anderen Ebenen herzustellen. Dazu können etwa Maßnahmen wie verschlüsselte Übertragung oder starke Authentifizierung gehören, ebenso wie vertragliche Regelungen mit dem Cloud-Provider über die Sicherheit der Daten bis hin zur Analyse des Sicherheitsmodells und der Offenlegung der Personalpolitik des Cloud-Anbieters.

Gefährdung hängt vom Service-Modell ab

Die Anforderung an die Sicherheitsmechanismen hängen dabei auch von der Form des Service-Modells ab: SaaSSaaS (SaaS), PaaS (Platform as a Service) und IaaS (Infrastructure as a Service) stellen jeweils unterschiedliche Sicherheitsanforderungen an Anwender und Provider. „Um ein angemessenes Sicherheitslevel zu erreichen ohne dabei übers Ziel hinauszuschießen, ist es vor allem notwendig, das Bedrohungspotenzial korrekt einzuschätzen“, schreiben die Autoren der Studie Dan Hubbard und Michael Sutton. Vor diesem Hintergrund untersucht das Whitpaper potenzielle Gefährdungen und nennt adäquate Vorkehrungen zur Gefahrenabwehr. Alles zu SaaS auf CIO.de