Sonntag, 19. Januar 2020

Sicherheit beim Cloud Computing "Der Kunde sitzt am kürzeren Hebel"

Wolkige Versprechen: Cloud Provider müssen besser überprüfbar sein, fordert Sicherheitsspezialist Christoph Reich

2. Teil: Amazon und die Cloud für die CIA

mm: Sie wollen, so steht es in der Projektbeschreibung, Vertrauen in die Cloud schaffen. Woran fehlt es denn?

Reich: An Transparenz, Überwachbarkeit, Zusicherung von Leistungen, Haftung und Verantwortung. Das sind die Schlagworte für die rechenschaftspflichtige Cloud. Also alles Eigenschaften, die in erster Linie nicht technisch definiert sind, sondern über Inhalte. Und dafür müssen wir Messmethoden entwickeln, aus der eine belastbare Verpflichtung resultieren kann.

mm: Können Sie ein Beispiel dafür geben?

Reich: Sagen wir, es geht um wichtige Firmendaten, die nicht in fremde Hände kommen sollen. Beispielsweise die Designdaten eines Autos. Da müssen viele Mitarbeiter an verschiedenen Standorten zugreifen können, aber eben nur die. Die Firma braucht vom Provider die Zusicherung, dass die Daten nur in Deutschland gehostet werden, dass nur ein klar bestimmter Kreis Zugriff hat - und dass der Provider, sagen wir, zehn Millionen Euro zahlen muss, wenn das nicht geklappt hat. Und er muss von sich aus Informationen liefern, wenn es ein Datenleck gegeben hat. Darüber hinaus braucht der Pkw-Hersteller automatisierte Protokolle, wer wann von wo aus auf ihre Daten zugreift. Wenn etwas schief läuft, muss eine Prüfung durch Dritte möglich sein.

mm: Und wie ist der Standard derzeit?

Reich: Ein Datencenter, das externe Dienste anbietet, arbeitet schon jetzt so. Beim Cloud Computing ist die Infrastruktur viel dynamischer. Das Reporting ist ja weitaus schwieriger - es gibt ja nicht nur einen Kunden, sondern eine Vielzahl in einer sich ständig wandelnden Struktur. Und diese Dynamik schlägt überall durch.

mm: Ist es ein Problem, dass die Provider keine individuellen Verträge anbieten, sondern alle Kunden mehr oder weniger über einen Kamm scheren?

Reich: Ja. Das könnte sich nur ändern, wenn der Kunde die Möglichkeit bekommt, individuelle Verträge abzuschließen. Die großen Cloud-Anbieter machen das aber nicht. Individuelle Anpassungen sind da nicht vorgesehen.

mm: Amazon Börsen-Chart zeigen hat für die CIA eine eigene Cloud aufgesetzt….

Reich: Das war, nach allem, was man liest, ein 600-Millionen-Dollar-Projekt. Für mittelständische Unternehmen wäre das, vorsichtig gesagt, ein wenig zu aufwändig. Die haben das Problem, überhaupt an Informationen zu kommen, wenn irgendwelche sicherheitsrelevanten Vorfälle passieren.

mm: Wie kann man sich heute schon schützen?

Reich: Wichtig ist auf schon existierende Zertifizierungen, wie ISO 2700x, sehr gute Cloud-Internetanbindung und gutes Problemmanagement zu achten. Schließlich zeigt sich in der Lösungsunterstützung beim Problemfall die eigentliche Qualität des Cloud Providers.

Seite 2 von 2

© manager magazin 2013
Alle Rechte vorbehalten
Vervielfältigung nur mit Genehmigung