Wer dieser Tage in Fachmedien über die Risiken von Cloud Computing liest, stößt für gewöhnlich auf Artikel mit diesem Tenor: Firmen setzen blindlings auf das neue Konzept, ohne dessen Risiken einschätzen zu können. Nicht selten werden in den Beiträgen Vertreter von Cloud-Anbietern als Experten zitiert und erhalten so ein Forum, für ihre Produkte zu werben.
Doch nicht selten sind es die Anbieter selbst, die mit Cloud Computing ins Straucheln geraten. Das beobachtet laut einem Artikel unserer amerikanischen Schwesterpublikation CIO.com Nils Puhlmann, einer der Gründer der Cloud Security Alliance. Puhlmann berät einen nicht genannt werden wollenden Sicherheitsanbieter, der unlängst sein ganz eigenes Cloud-Fiasko erlebte. "Die Firma hat bei der Einführung der neuen Version ihres SaaS-Produkts so ziemlich alles falsch gemacht, was man falsch machen kann", resümiert Puhlmann, der früher CISO bei Firmen wie Robert Half und Electronic Arts war.
Der Sicherheitsanbieter zahlte Lehrgeld: Ihm liefen die Kunden in Scharen davon. Aus seiner Erfahrung sollten andere Cloud-Dienstleister lernen, mahnt Puhlmann. Und IT-Chefs sollten die fünf großen Fehler, die das Unternehmen gemacht hat, im Hinterkopf behalten und bei der Auswahl ihres Cloud-Anbieters auf diese Punkte achten.
1. Update ohne Vorwarnung
Wer früher eine neue Software-Version von CD installierte, konnte das tun, wann immer er wollte. Der Kunde konnte auch entscheiden, die neue Version gar nicht einzuspielen. Das von Puhlmann betreute Unternehmen aus der Sicherheitsbranche dagegen ließ den Kunden gar nicht die Wahl. Ohne Vorankündigung und ohne Mitteilung an die Nutzer stellte er über die Cloud auf eine neue Version seines SaaS-Produkts um. Richtete ein Anwender später ahnungslos einen neuen Arbeitsplatz ein, wurde der automatisch an die neue Version angebunden. Die bestehenden Arbeitsplätze liefen weiter über die alte Software. Beim Kunden entstand eine Misch-Landschaft.
2. Keine Rückkehr zur alten Version möglich
Mehr als ärgerlich kann der erste Fehler für die Nutzer werden, wenn die neue Version nicht kompatibel mit anderen Anwendungen in deren Umgebung ist. Das kann wichtige IT-Funktionen zum Erlahmen bringen und die Sicherheit beeinträchtigen. Früher ließ sich eine neue, aber unkompatible Version einfach wieder deinstallieren und die alte neu einrichten. Bietet ein Cloud-Anbieter diese Möglichkeit nicht an, "wird der Kunde in eine Misch-Umgebung gezwungen und kann nicht daraus entkommen", sagt Puhlmann.
3. Den Zeitpunkt für Upgrades vorschreiben
Sicherheitsexperten sind es gewohnt, sich an neuen Versionen von Programmen abzurackern, die sich als inkompatibel erwiesen haben. Das passiere fast im Monats-Takt, wenn Microsoft einmal wieder ein Sicherheits-Update veröffentliche, witzelt Puhlmann. Damit könnten die Sicherheitsleute umgehen. Die meisten Administratoren testeten Sicherheits-Updates mehrere Wochen lang, bevor sie sie firmenweit in Umlauf bringen. Der Sicherheitsanbieter verwehrte seinen Kunden diese Möglichkeit, weil sie gar nicht wussten, wann ein Upgrade anstand.
4. Neue Versionen überschreiben Nutzereinstellungen
Der von Puhlmann namentlich nicht genannte Sicherheitsanbieter hatte noch mehr unangenehme Überraschungen für seine Kunden parat. Die neue Version seiner übers Internet angebotenen Software beachtete die Firewall-Einstellungen des Vorgänger-Programms nicht. Die Rechner zeigten unvermittelt unzählige Fenster mit Warnmeldungen an, wenn die Nutzer Standard-Anwendungen ausführen wollten. Betroffen waren nicht nur über die Cloud genutzte Programme, sondern auch Software, die im Haus erstellt und gewartet wurde. "Wenn die Integrität zwischen Cloud und Endgerät nicht gegeben ist, kann das auch ein Ansatzpunkt für Denial-of-Service-Attacken sein", warnt Puhlmann.
5. Kein Sicherheitsventil anbieten
Zu allem Überfluss hatte der Anbieter nicht einmal eine Art Schleuse installiert, mit der die Anwenderfirmen den Schaden hätten eindämmen können. Doch selbst die, die bemerkten, dass die neue Version der Sicherheits-Software Macken hatte, konnten nicht verhindern, dass sie in ihre Systeme einfloss.
Nils Puhlmann versichert, dass der SaaS-Anbieter mittlerweile die genannten Fehler beseitigt habe. Anwendern rät er, aus der Geschichte eine Lehre zu ziehen: Wer auf SaaS und Dienste aus der Cloud setzen wolle, der müsse den Anbieter vorab mit Fragen löchern. "Man sollte vor allem sicherstellen, dass Dinge, auf die man bisher Einfluss hatte, sich in der Cloud weiterhin steuern lassen."