Sicherheit beim Cloud Computing "Der Kunde sitzt am kürzeren Hebel"

Christoph Reich arbeitet daran, die Cloud sicherer zu machen. Der Leiter des Cloud Research Centers in Furtwangen glaubt, dass Provider in Zukunft individuellere Verträge mit ihren Kunden abschließen müssen - und viel genauer Rechenschaft ablegen müssen, was mit deren Daten passiert.
Wolkige Versprechen: Cloud Provider müssen besser überprüfbar sein, fordert Sicherheitsspezialist Christoph Reich

Wolkige Versprechen: Cloud Provider müssen besser überprüfbar sein, fordert Sicherheitsspezialist Christoph Reich

Foto: Corbis

mm: Herr Professor Reich, Sie arbeiten an der "rechenschaftspflichtigen Cloud". Was muss man sich darunter vorstellen?

Reich: Wir wollen Transparenz in die Cloud bringen. Der Kunde soll viel mehr Informationen haben, als er bisher hat. Er soll sehen können, wer Zugriff auf seine Daten hat und wo sich seine Daten konkret befinden.

mm: Ist das nicht schon Standard? Das Hosting der Daten in Deutschland ist doch gerade ein Verkaufsargument der Cloud-Anbieter

Reich: Es geht darum, eingegangene Verpflichtungen auch sicherzustellen. Wenn etwas schief geht, muss der Provider dem Kunden automatisch Rechenschaft ablegen. Es geht uns dabei um technisch umzusetzende Methoden und Algorithmen.

mm: Wo kann denn etwas schief gehen?

Reich: Ein Merkmal einer Cloud ist ja, dass ein Provider die Daten jederzeit mit Instrumenten anderer Anbieter bearbeiten kann - und auch der kann wiederum outsourcen. Wenn man da keine Regelung trifft, kann es zum Beispiel sein, dass man zwar einen deutschen Anbieter hat, der aber wiederum auf Cloud-Dienste von Amazon  zurückgreift. Das kann unter Umständen juristische Konsequenzen haben, wenn etwa ein US-Gesetz wie der Patriot Act den Zugriff auf Daten ohne gerichtlichen Beschluss erlaubt. US-Anbieter sind daran gebunden, auch wenn sie eine Dependance in Europa haben. Und ob andere Dienste im Spiel sind, merkt der Kunde gar nicht, wenn die Cloud nicht rechenschaftspflichtig betrieben wird.

mm: Im Grunde sitzt der Enduser also dem Provider gegenüber immer am kürzeren Hebel, weil er nie sicher sein kann, wie das System aufgebaut ist?

Reich: Genau. Er kann es jedenfalls nicht ohne Weiteres überprüfen. Wir wollen eine Rechenschaftskette aufbauen, die über Providergrenzen hinweg funktioniert. Wenn man die Eigenschaft weitergeben will, dass personenbezogene Daten besonders gut geschützt werden müssen, darf diese Kette ja nicht abreißen, wenn sie an einen anderen Provider weitergegeben werden.

mm: Wie soll das technisch gehen?

Reich: Wir wollen Schnittstellen definieren, die Drittorganisationen die Möglichkeit geben, die Datenströme zu überprüfen.

mm: Wäre damit auch der Bund ein potentieller Kunde? Deutsche Strafverfolgungsbehörden verlangen ja nach einer einheitlichen Schnittstelle, um Cloud-Kommunikationsdaten in Echtzeit überwachen zu können.

Reich: Im Prinzip geht das schon in diese Richtung. Aber eine gerichtlich verwertbare Nachprüfbarkeit sieht noch mal ganz anders aus. Wenn man beweissichere Daten aufnehmen will, braucht man spezielle Speicher dafür, die sehr teuer sind. Wir wollen nur dem Kunden die Möglichkeit geben, visualisiert zu bekommen, wo seine Daten liegen.

Amazon und die Cloud für die CIA

mm: Sie wollen, so steht es in der Projektbeschreibung, Vertrauen in die Cloud schaffen. Woran fehlt es denn?

Reich: An Transparenz, Überwachbarkeit, Zusicherung von Leistungen, Haftung und Verantwortung. Das sind die Schlagworte für die rechenschaftspflichtige Cloud. Also alles Eigenschaften, die in erster Linie nicht technisch definiert sind, sondern über Inhalte. Und dafür müssen wir Messmethoden entwickeln, aus der eine belastbare Verpflichtung resultieren kann.

mm: Können Sie ein Beispiel dafür geben?

Reich: Sagen wir, es geht um wichtige Firmendaten, die nicht in fremde Hände kommen sollen. Beispielsweise die Designdaten eines Autos. Da müssen viele Mitarbeiter an verschiedenen Standorten zugreifen können, aber eben nur die. Die Firma braucht vom Provider die Zusicherung, dass die Daten nur in Deutschland gehostet werden, dass nur ein klar bestimmter Kreis Zugriff hat - und dass der Provider, sagen wir, zehn Millionen Euro zahlen muss, wenn das nicht geklappt hat. Und er muss von sich aus Informationen liefern, wenn es ein Datenleck gegeben hat. Darüber hinaus braucht der Pkw-Hersteller automatisierte Protokolle, wer wann von wo aus auf ihre Daten zugreift. Wenn etwas schief läuft, muss eine Prüfung durch Dritte möglich sein.

mm: Und wie ist der Standard derzeit?

Reich: Ein Datencenter, das externe Dienste anbietet, arbeitet schon jetzt so. Beim Cloud Computing ist die Infrastruktur viel dynamischer. Das Reporting ist ja weitaus schwieriger - es gibt ja nicht nur einen Kunden, sondern eine Vielzahl in einer sich ständig wandelnden Struktur. Und diese Dynamik schlägt überall durch.

mm: Ist es ein Problem, dass die Provider keine individuellen Verträge anbieten, sondern alle Kunden mehr oder weniger über einen Kamm scheren?

Reich: Ja. Das könnte sich nur ändern, wenn der Kunde die Möglichkeit bekommt, individuelle Verträge abzuschließen. Die großen Cloud-Anbieter machen das aber nicht. Individuelle Anpassungen sind da nicht vorgesehen.

mm: Amazon  hat für die CIA eine eigene Cloud aufgesetzt….

Reich: Das war, nach allem, was man liest, ein 600-Millionen-Dollar-Projekt. Für mittelständische Unternehmen wäre das, vorsichtig gesagt, ein wenig zu aufwändig. Die haben das Problem, überhaupt an Informationen zu kommen, wenn irgendwelche sicherheitsrelevanten Vorfälle passieren.

mm: Wie kann man sich heute schon schützen?

Reich: Wichtig ist auf schon existierende Zertifizierungen, wie ISO 2700x, sehr gute Cloud-Internetanbindung und gutes Problemmanagement zu achten. Schließlich zeigt sich in der Lösungsunterstützung beim Problemfall die eigentliche Qualität des Cloud Providers.

Mehr lesen über
Die Wiedergabe wurde unterbrochen.