Sicherheit
Sicherheit ist für ein effektives Cloud Computing von existenzieller Bedeutung. Nur wenn Risiken minimiert bzw. vollkommen vermieden werden können, ist es Organisationen möglich, Potenziale im Hinblick auf Wirtschaftlichkeit und Flexibilität auszuschöpfen. Der allgemeine Begriff Sicherheit lässt sich in puncto Cloud in zwei Unterkategorien unterteilen, welche im Folgenden erläutert werden.
Compliance
Nahezu jedes Unternehmen unterliegt externen Vorgaben, welche als Compliance bezeichnet werden. Hierunter fallen zum einen staatliche Vorgaben, beispielsweise bezüglich des Datenschutzes. Zum anderen existieren brachenspezifische bzw. -unabhängige Normen und Standards, welche zur Aufrechterhaltung des Geschäfts einzuhalten sind. Mit jeder Hard- bzw. Software-Komponente, die der Konsument zu einem Anbieter auslagert, erhöht sich das Risiko, dass relevante Vorgaben fortan nicht mehr eingehalten werden. Zwangsläufig muss der Konsument sicherstellen, dass der Anbieter ohne jede Ausnahme nach seinen vorgegebenen Maßstäben arbeitet. Dieser Prozess beginnt im Idealfall schon bei der Anbieterauswahl.
Das wohl wichtigste Sicherheitsthema im Hinblick auf die Cloud ist der Schutz von sensiblen Unternehmensdaten. Hierunter sind zum einen Personendaten zu verstehen, wie beispielsweise Namen, Geburtsdaten und Adressen von Mitarbeitern sowie Kunden. Des Weiteren sind auch Finanzdaten hinzuzuzählen, welche den Fiskus betreffen. Bevor ein Konsument diese Daten in ein entferntes Cloud-Rechenzentrum auslagert, muss er sich zunächst über die geltenden rechtlichen Gegebenheiten informieren. In Abhängigkeit davon, in welchem Land der Konsument ansässig ist und in welchem Land sich das entfernte Rechenzentrum befindet, kann eine Auslagerung von sensiblen Unternehmensdaten von vornherein untersagt werden. Ist die Auslagerung rechtens, muss sich der Konsument sicher sein, dass der Anbieter die ihm anvertrauten Daten gewissenhaft und vertraulich behandelt. In Deutschland kann zu diesem Zweck beispielsweise eine Auftragsdatenverarbeitung beschlossen werden. Dieses Schriftstück legt fest, dass der Anbieter die sensiblen Daten nicht für seine eigenen Zwecke benutzt bzw. der Konsument das volle Recht auf die Daten beibehält.
IT-Sicherheit
Die IT-Sicherheit beschäftigt sich mit den technischen Maßnahmen, die für einen sicheren Cloud-Betrieb vorgenommen werden müssen. Schutzziele sind beispielsweise Vertraulichkeit, Integrität oder Authentizität. Eine sichere Nutzung lässt sich dabei nur gewährleisten, wenn Konsument, Anbieter und die zwischen ihnen herrschende Verbindung ganzheitlich geschützt sind.
- Sicherheit beim Anbieter: Der Anbieter von Cloud-Diensten steht in der Verantwortung, seine Rechenzentren gegenüber Missbrauch zu schützen. Er verfügt in vielen Fällen über die sensiblen Daten diverser Organisationen bzw. Individuen und muss dafür Sorge tragen, diese vor Dritten geheim zu halten. Dabei kann er auf eine Vielzahl von Techniken zurückgreifen, die im Allgemeinen dem Schutz von Rechenzentren dienen und nicht spezifisch auf die Cloud-Architektur ausgelegt sind. Beispielhaft sei hierfür eine sichere Authentifizierung der Konsumenten nach dem Zwei-Faktor-Prinzip. Weiterhin muss er Vorkehrungen treffen, welche im Detail an das Cloud-Szenario angepasst sind. Beispielsweise ist die logische Trennung von mehreren Konsumenten (Resource Pooling) abzusichern, sodass keine Zugriffe auf fremde Ressourcen möglich sind. Auch die Anwendung von speziellen Cloud-Patterns kann die Sicherheit verbessern.
- Sicherheit beim Konsumenten: Obwohl oft davon ausgegangen wird, dass die Verantwortung für einen sicheren Cloud-Betrieb allein beim Anbieter liegt, steht auch der Konsument in der Pflicht. Wie groß sein Beitrag zur Sicherheit dabei ausfallen kann, hängt vom Dienstmodell ab. IaaS erlaubt dem Konsumenten die ausführliche Absicherung seiner genutzten Rechenknoten. Bei SaaS fallen die Möglichkeiten deutlich geringer aus, da in der Regel keine detaillierten Konfigurationsmöglichkeiten tieferliegender Hard- bzw Softwareschichten vollzogen werden können. Unabhängig vom Dienstmodell sollte der Konsument jedoch darauf achten, seine für den Zugriff genutzten Endgeräte frei von Schadsoftware zu halten und nur ausgewählten Benutzern zur Verfügung zu stellen.
- Sicherheit bei der Übertragung: Ein Schlüsselmerkmal der Cloud ist die Erreichbarkeit von Diensten über das Internet. Sensible Daten werden vom Konsumenten an den Anbieter verschickt bzw. vom Konsumenten angefragt. Dies impliziert, dass die Daten für eine bestimmte Zeitspanne auf einem öffentlichen und ggf. unsicheren Verbindungskanal befindlich sind. Zur Wahrung von Integrität und Vertraulichkeit müssen daher Mechanismen im Hinblick auf die Ver- und Entschlüsselung von Daten angewendet werden.