Cloud Computing bringt Anwendern nicht nur Vorteile sondern auch neue Gefahren. Das aktuelle Whitepaper Cloud Security Alliance (CSA) richtet sich sowohl an Unternehmensnutzer als auch an Anbieter von Cloud Services. Es listet systematisch die Bedrohungen in Cloud Computing Umgebungen auf und versteht sich als Ergänzung zu dem im letzten Jahr veröffentlichten Leitfaden “Security Guidance for Critical Areas in Cloud Computing” der CSA, der sich unterdessen zumindest in den USA als Quasi-Standard etabliert hat.
Auch Spammer und Betrüger nutzen Cloud-Services
Betrug, Missbrauch und Spam im Internet überraschen eigentlich niemanden mehr. Dass sich aber auch den Betrügern und Spammern mit Cloud Services neue Möglichkeiten für ihre ungesetzlichen Geschäfte an die Hand gegeben werden, gehört zu den neuesten Entwicklungen. So lief das Botnet Zeus teilweise auf angemieteter Cloud-Infrastruktur, illegale Downloads wurden auf Cloud-Plattformen gehostet und auch Spammer freuen sich über die flexibel nutzbaren Angebote von Rechner- und Speicherkapazität in der Wolke.
Dies sind nur einige Beispiele für Gefahren des Cloud Computing aus dem Whitepaper „Top Threats to Cloud Computing“. Das Dokument identifiziert insgesamt sieben Problemfelder und benennt Gegenmaßnahmen. Dabei sind viele der Bedrohungen nicht neu, bekommen aber durch die verteilten Strukturen im Cloud Computing Umfeld eine neue Dimension.
Denn während bei der inhouse betriebenen IT die gesamte IT-Infrastruktur im eigenen Einflussbereich liegt und sich mit Security Policies absichern lässt, verteilen Cloud-Umgebungen zwangsweise die Verantwortung für entscheidende Sicherheitsbereiche. Und das gilt nicht nur für Schnittstellen und die Speicherung sensibler Daten, sondern auch für den Datentransfer und reicht bis zum Personal des Cloud Providers.
Für IT-Verantwortliche ergibt sich daraus ein schwerwiegendes Dilemma: Auf der einen Seite liegen die wirtschaftlichen und organisatorischen Vorteile des Cloud Computings auf der Hand, auf der anderen Seite tragen CIOs und IT-Leiter die Verantwortung für Sicherheitsbelange, die durch die verteilte Infrastruktur weitgehend ihrem direkten Einfluss entzogen sind.
Können sie innerhalb ihres eigenen Unternehmens mit IT-spezifischen Regularien selbst für die Sicherheit des IT-Betriebes sorgen, sind sie in der Cloud-Welt mit ihren verteileilten IT-Infrastrukturen gefordert, eben diese Sicherheit auf anderen Ebenen herzustellen. Dazu können etwa Maßnahmen wie verschlüsselte Übertragung oder starke Authentifizierung gehören, ebenso wie vertragliche Regelungen mit dem Cloud-Provider über die Sicherheit der Daten bis hin zur Analyse des Sicherheitsmodells und der Offenlegung der Personalpolitik des Cloud-Anbieters.
Gefährdung hängt vom Service-Modell ab
Die Anforderung an die Sicherheitsmechanismen hängen dabei auch von der Form des Service-Modells ab: SaaS (SaaS), PaaS (Platform as a Service) und IaaS (Infrastructure as a Service) stellen jeweils unterschiedliche Sicherheitsanforderungen an Anwender und Provider. „Um ein angemessenes Sicherheitslevel zu erreichen ohne dabei übers Ziel hinauszuschießen, ist es vor allem notwendig, das Bedrohungspotenzial korrekt einzuschätzen“, schreiben die Autoren der Studie Dan Hubbard und Michael Sutton. Vor diesem Hintergrund untersucht das Whitpaper potenzielle Gefährdungen und nennt adäquate Vorkehrungen zur Gefahrenabwehr.
Die Non-Profit-Organisation Cloud Security Alliance
Nach Ansicht der Studienautoren liegt der Bedarf für ihr Angebot auf der Hand: „Unser Whitepaper bietet einen verlässlichen Leitfaden zum Risk-Management in Cloud Umgebungen, muss aber im Kontext einer exakten Analyse des Businesswerts von Cloud-Services, der Nutzen, Gefahren und Risiken in Cloud-Umgebungen gesehen werden. Vor allem müssen Cloud-Anwender verstehen, welcher Stellenwert den Systemen zukommt, die in die Cloud migriert werden sollen “, schreiben die Studienautoren.
Die Cloud Security Alliance ist eine Non-Profit-Organisation, die es sich zum Ziel gesetzt hat, die Sicherheit in Cloud Computing Umgebungen zu verbessern. Zu den Mitgliedern der CSA gehören viele Sicherheitsexperten aus verschiedenen Bereichen. Zahlreiche Global Player wie Microsoft, Google, Cisco, HP, Dell und Novell unterstützen die Organisation als assoziierte Mitglieder. Vor allem sollen Best Practices, unabhängige Forschung und Ausbildungsangebote dazu dienen, das Sicherheitsniveau in Cloud Infrastrukturen zu erhöhen.
Das Whitepaper steht unter http://www.cloudsecurityalliance.org/topthreats/csathreats.v1.0.pdf zum kostenlosen Download zur Verfügung.