Infrastruktur-Dienste aus der Wolke können zum Hort krimineller Projekte werden. So nutzten etwa das Zeus-Botnetz und der Trojaner InfoStealer Angebote aus dem Bereich Infrastruktur as a Service (IaaS) als Ausgangspunkt. Darauf weist die Cloud Security Alliance (CSA), ein Zusammenschluss von Firmen, in einem Papier über Sicherheitsprobleme bei Cloud Computing hin.
1. Registrierung zu einfach
Die Eingabe der Kreditkartennummer reiche bei manchen Anbietern aus, um deren Kapazitäten zu nutzen. Die Registrierungsvorgänge seien teilweise so simpel gestrickt, dass sie nahezu völlige Anonymität der Nutzer erlaubten. Dieser Umstand macht Missbrauch für die CSA zu einem der sieben größten Sicherheitsprobleme in der Cloud. Die Vereinigung fordert höhere Hürden bei der Anmeldung zu Infrastruktur- und Plattform-Diensten.
2. Schnittstellen unsicher
Laxe Authentifizierung und Zugangskontrolle ist auch die Ursache der zweiten von der CSA benannten Schwachstelle: unsicheren Schnittstellen. Cloud-Anbieter legen bestimmte Schnittstellen offen, damit Kunden sich an ihre Dienste anbinden können. Sie betonten zwar meist ihre hohen Sicherheitsstandards. Darauf könnten Nutzer aber nicht in jedem Fall vertrauen. Neben strikter Authentifizierung fordert das Sicherheitsbündnis auch verschlüsselte Datenübertragungen.
3. Kriminelle Mitarbeiter
Die dritte Gefahr, die die CSA in dem von ihrem Mitgliedsunternehmen Hewlett-Packard gesponserten Bericht "Top Threats to Cloud Computing V1.0" nennt, sind kriminelle Mitarbeiter. Die sind zwar für jedes Unternehmen gefährlich. Wer Kunde bei einem Cloud-Dienstleister ist, für den verschärfe sich das Problem allerdings. Die eigenen Daten werden einem Anbieter anvertraut, während unklar bleibt, welche Anforderungen dieser an seine Mitarbeiter stellt und welche Regeln er für den Umgang mit internen Datendieben getroffen hat.
Sicherheitsfehler bei Cloud Computing
4. Unsichere Infrastruktur
Die Infrastruktur von Cloud-Dienstleistern ist laut dem Bericht die vierte Schwachstelle. Die Komponenten, auf denen Dienste aus der Wolke aufsetzen, seien oft nicht geeignet, Bereiche auf Festplatten oder in Arbeitsspeichern, die von mehreren Kunden genutzt werden, strikt voneinander abzugrenzen. Als Kunde solle man auf Service Level Agreements bestehen, die die Beseitigung solcher Gefahren sicherstellten.
5. Mängel bei der Verschlüsselung
Als besonders hoch schätzen die Sicherheitsexperten auch die Gefahr von Datenverlusten ein. Unzureichende Zugangskontrollen, nicht durchgängiger Einsatz von Verschlüsselungstechnik oder Fehler im Betrieb sind ihnen zufolge Mängel, die in der Cloud besonders heikel sind. Geraten Daten in falsche Hände, könne dies nicht nur das Vertrauen von Kunden, Geschäftspartnern und Mitarbeitern gefährden, sondern auch wirtschaftliche Folgen haben.
6. Diebstahl von Zugangsdaten
Eine neue Qualität erhält in der Wolke auch die Gefahr, die durch Diebstahl von Zugangsdaten und anschließenden Missbrauch von Nutzerkonten entsteht. Ein Angreifer, der auf in die Wolke verlagerte Daten und Vorgänge eines Unternehmens zugreifen kann, kann Daten manipulieren, Vorgänge heimlich verfolgen oder sogar Kunden auf verbrecherische Web-Seiten umleiten.
7. Sicherheitslage intransparent
Das siebte Problem, das die Clound Security Alliance beschreibt, ist die undurchsichtige Sicherheitslage beim Cloud Computing. Über die Funktionen ihrer Angebote redeten Dienstleister gern und viel, doch Einzelheiten über interne Vorkehrungen seien nur selten ein Thema. Wer beim Anbieter Zugang zu den Daten habe oder welche Informationen bei Sicherheitsvorfällen veröffentlicht würden, sei häufig unklar.
Dass die Ausgestaltung der Beziehung zum Dienstleister entscheidend für den Sicherheitsstandard bei Cloud Computing ist, betont auch die Experton Group. Grundsätzlich könnten Firmen durch die Verlagerung in die Cloud viele Dienste sogar sicherer machen. Das gelinge allerdings nur mit ausführlichen Risikoanalysen und wenn aussagekräftige Service Level Agreements abgeschlossen würden.
Verantwortung bleibt beim Anwender
Kehren müssen Firmen Experton zufolge allerdings zunächst vor der eigenen Tür. Interne Verantwortlichkeiten und Rollen für die Informationssicherheit müssten geklärt werden. Klar müsse sein, dass die Verantwortung für die Informationssicherheit bei externen Cloud-Diensten immer im Unternehmen verbleibe.
Für jeden Cloud-Dienst, den ein Unternehmen von außen beziehen will, müsse anschließend eine Risikoanalyse durchgeführt werden. Geklärt werden muss dabei unter anderem, ob die geplante Verlagerung bestimmter Dienste und Daten in die Wolke mit geltendem Recht in Einklang steht. Ist das geklärt, empfehlen die Berater von Experton eine Gegenüberstellung der erwarteten wirtschaftlichen Vorteile mit den Risiken.
Lückenlos müssen die technischen und organisatorischen Sicherheitsmaßnahmen sein. Detailliert sollte der Anwender mit dem Dienstleister zusammen Arbeitsteilung und Schnittstellen klären. Beim Anbieter müssen zudem Prozesse für Reporting, Incident Management und Audits festgeschrieben werden.
Dienstleister muss Auskunft über Subunternehmer geben
Das von der CSA beschriebene Problem der mangelnden Transparenz muss der Auftraggeber mit Fragen durchdringen. Der Dienstleister muss offenlegen, ob er für bestimmte Leistungen Subunternehmer beauftragt, was die Sicherheit einschränken kann. Auskunft einfordern müssen Auftraggeber von Cloud-Dienstleistern auch darüber, ob gesetzliche Standards gewährleistet sind. Je nachdem, in welcher Region der Dienstleister Daten speichert, ist das fraglich.
Service Levels bringen nur etwas, wenn sie auch messbar sind und sich Anbieter und Anwender über die Messmethode einig sind. Ratsam ist aus Sicht der Experton Group außerdem eine Ausstiegsklausel im Vertrag. Sei die Trennung vom Anbieter nach schwerwiegenden Vorfällen nicht möglich, könne dies ein Unternehmen viel Geld kosten.
Arbeitsteilung bei IaaS aufwendig
Bei Software as a Service ist der Aufwand Experton zufolge noch verhältnismäßig gering. Die Schnittstelle zwischen Anbieter und Kunde sei in der Regel gut beschrieben, da der Zugriff über einen Webbrowser erfolge. Der Anbieter ist in Gänze für die Sicherheit innerhalb der Cloud-Infrastruktur verantwortlich.
Plattform- oder Infrastruktur-Dienste aus der Wolke sind demnach nicht so leicht zu handhaben. Die Arbeitsteilung zwischen Kunde und Anbieter müsse viel detaillierter festgelegt werden. Besonders vorsichtig sollten hier Firmen vorgehen, die bisher wenig Erfahrung mit dem Thema Outsourcing haben.