Wie sicher ist die Cloud?

Eine der häufigsten Fragen, wenn wir Daten außerhalb unserer eigenen Festplatte speichern, ist: „Ist das jetzt sicher?“ Eine Frage, die sich pauschal nicht beantworten lässt, denn es gibt verschiedene Cloud-Bereitstellungsmodelle und Cloud-Services für unterschiedliche Anwendungszwecke. In meiner Forschung bei KOM befasste ich mich beispielsweise intensiv mit Cloud-Lösungen für die Bankenbranche. Auch hier ist Sicherheit der kritischste Erfolgsfaktor.

Daten in der Cloud speichern: Service- und Bereitstellungsmodelle

Grundsätzlich ist das Thema Cloud sehr heterogen. Denn es existieren sowohl verschiedene Dienstservicemodelle, beispielsweise Software as a Service, Platform as a Service oder Infrastructure as a Service, als auch Bereitstellungsmodelle – die Private, Public, Hybrid oder Community Cloud.

Die Frage „Wie sicher ist die Cloud?“ lässt sich daher unmöglich pauschal beantworten sondern muss für jeden Einzelfall neu bewertet werden. Generell gilt, dass die Cloud in erster Linie Sicherheitsanforderungen der Kunden entsprechen muss.

Drei klassische Schutzziele dabei sind:

  • Vertraulichkeit,
  • Integrität und
  • Verfügbarkeit der Daten.

Gängige Sicherheitsmechanismen sind mehrstufige Authentifizierungs- und Autorisierungsmechanismen (z.B. Zweifaktor-Authentifizierung mit einem Token oder TAN-Nummer). Außerdem müssen Daten mit einem sicheren Verschlüsselungsverfahren und einem sicheren Schlüsselmanagement geschützt werden. Weiterhin sollten Monitoring-Systeme vorhanden sein, die überprüfen, ob die Sicherheitsmaßnahmen aktiv und ausreichend sind. Im Falle eines Sicherheitsverstoßes müssen sie Alarm geben und eine Fehlerbeseitigung vornehmen.

Kundendaten und insbesondere personenbezogenen Daten müssen immer nach den rechtlichen, industriellen und länderspezifischen Anforderungen gespeichert, transferiert oder weitergegeben werden.


Was ist eine Private Cloud?

Private Clouds werden von großen Anbietern wie beispielsweise IBM oder T-Systems angeboten. Die Verträge sind dem klassischen Outsourcing ähnlich, die Dienste sind aber über das Internet verfügbar und nicht über alternative dedizierte Leitungen wie beispielsweise Fibre Channel. Wichtig ist dabei, dass diese Cloud-Angebote nicht mit anderen Unternehmen teilbar sind. Beispielsweise wäre ein dediziertes Rechenzentrum mit einer physikalischen Trennung geeignet.

Wie sicher ist die Private Cloud?

Die physikalische Trennung von Daten unterstützt potenziell die Sicherheit der Cloud. Private-Cloud-Lösungen sind in der Regel die sichersten Lösungen, da sie für bestimmte Anwendungszwecke maßgeschneidert und nur für ein Unternehmen verfügbar sind.  Sie sind meist auf bilateralen Vereinbarungen aufgebaut. Ein Unternehmen kann sämtliche Daten (auch vertrauliche, personenbezogene Daten) in die Cloud auslagern, wenn dort entsprechende Sicherheitsmaßnahmen implementiert sind, die auch regelmäßig überwacht werden. Regelmäßige Audits und genau geregelte Sicherheitsmaßnahmen sind Pflicht.


Was ist eine Public Cloud?

Public Clouds sind die fast schon klassischen Anbieter von Online-Speicherplatz, die in den letzten Jahren ihre Märkte beträchtlich vergrößert haben. Vorne mit dabei sind Dropbox und Google, mit einer ganzen Reihe an unterschiedlichen Services. Auch Microsoft versucht immer stärker Cloud-Services in die eigenen Betriebssysteme zu integrieren, um beispielsweise geräteübergreifende Datensicherung anzubieten.

Wie sicher ist die Public Cloud?

Public-Cloud-Lösungen sind potenziell die unsichersten, da sie Kunden ohne Garantien zur Verfügung gestellt werden und nur keine oder wenige Informationen über die Sicherheitsmaßnahmen bekannt sind. Für Unternehmen gilt: Die technischen Sicherheitsmaßnamen sind noch nicht ausreichend genug, um die Risiken in dem mandantenfähigen Umfeld zu minimieren. Da die User nur eine sehr geringe Kontrolle in solchen Cloud-Modellen  besitzen, wissen sie teilweise nicht, wo sich die Daten befinden, was auch Datenschutzgesetze verletzen kann und zu Strafen oder Reputationsverlust führen kann. Deswegen sollten Unternehmen nur öffentliche oder nicht risikobezogen Applikationen in solche Clouds auslagern.


Was ist eine Hybrid Cloud?

Die Hybrid Cloud vereint Strukturen aus der Private und der Public Cloud. In diesem Fall kann ein Unternehmen kritische Systeme in einer Private-Cloud haben und die Systeme, die keine besonderen Sicherheitsmaßnahmen verlangen, in eine Public Cloud auslagern.

Wie sicher ist die Hybrid Cloud?

Die Sicherheit einer Hybrid Cloud hängt von den Sicherheitsmechanismen der verschiedenen Bestandteile ab. Prinzipiell vereinen Hybrid-Cloud-Lösungen Vor- und Nachteile von Private und Public Clouds. Der kritischste Punk ist hier auch die Verbindung zwischen den Clouds, insbesondere da sie unterschiedliche Sicherheitslevel haben können.


Was ist eine Community Cloud?

Eine Community Cloud ist eine Public Cloud, die aber nur einem bestimmten Personen- oder Unternehmenskreis zugänglich ist. Sie ist zwar öffentlich im Internet, aber geschützt durch Zugangsbeschränkungen. Typische Anwendungsszenarien sind Universitäten oder Behörden.

Wie sicher ist die Community Cloud?

Die Sicherheit einer Community Cloud hängt insbesondere davon ab, wieviel Know-How in die Zugangsbeschränkung und Mandantenfähigkeit investiert wurde. Das Vertrauen zwischen Community-Cloud-Benutzern ist ein wichtiger Faktor. Sicherheitslücken haben Auswirkung auf alle Benutzer, deswegen sollen die Sicherheitsmaßnahmen und Kontrollen mit allen Benutzern abgestimmt sein.


„Wie sicher ist die Cloud?“ – die richtige Antwortet lautet: „Kommt drauf an.“

Zwar gibt es einzelne Charakteristika, die die verschiedenen Bereitstellungsmodelle mit sich bringen und diese potenziell sicher oder eher angreifbar machen, letztlich sind aber auch die implementierten Sicherheitslösungen entscheidend.

Als Beispiel: Eine komplex verschlüsselte Public Cloud wäre immer noch sicherer, als eine Private Cloud, deren Server öffentlich auf einer grünen Wiese stehen. Wer Daten in die Cloud legt, muss sich in jedem Fall vorher ein Bild über das Risikopotenzial machen. Es sollte genau geprüft werden, ob sensible und sicherheitsrelevante Daten wirklich jederzeit in der Cloud zur Verfügung stehen müssen. Eine Cloud-Panik führt allerdings auch nicht ans Ziel: Auch ein Laptop kann geklaut werden und ein USB-Stick verloren gehen.