Cloud-Computing
30.09.2009, 10:43 Uhr
Unsicherheit in der Wolke
Kleine und mittlere Firmen können ihre IT-Sicherheit durch Cloud-Computing erhöhen. Grosskonzerne laufen dagegen Gefahr, sich und ihren Daten Sicherheitsrisiken auszusetzen, ergab eine Analyse.
Für viele Unternehmen tönt es verlockend, Software sowie Daten in die «Wolke» auszulagern und keine eigene IT mehr betreiben zu müssen. Oftmals können Kosten gespart und die Flexibilität erhöht werden. Auch lassen sich Unternehmensziele neu stecken, weil sich die IT auf die Unterstützung des Business konzentrieren kann und nicht mehr in erster Linie den Betrieb gewährleisten muss.
Andererseits begeben sich Unternehmen durch das Auslagern von IT-Dienstleistungen in eine Abhängigkeit von dem Service-Provider. «Fast jeder grosse Anbieter von Cloud-Services hatte in der Vergangenheit einen grösseren Vorfall im Bereich Verfügbarkeit oder Sicherheit», berichtet Werner Streitberger, Projektleiter am Fraunhofer-Institut für Sichere Informationstechnologie (SIT).
KMU profitieren von der Cloud
Trotz der Vorfälle ergab eine Studie des Instituts, dass kleine und mittlere Unternehmen ihre Sicherheit durch den Einsatz von Cloud-Services erhöhen würden. «Sie können Sicherheitslösungen als Service von spezialisierten Anbietern beziehen und so von deren Erfahrung beim Implementieren und Betreiben von sicheren Services profitieren», erläutert Streitberger.
Trotz der Vorfälle ergab eine Studie des Instituts, dass kleine und mittlere Unternehmen ihre Sicherheit durch den Einsatz von Cloud-Services erhöhen würden. «Sie können Sicherheitslösungen als Service von spezialisierten Anbietern beziehen und so von deren Erfahrung beim Implementieren und Betreiben von sicheren Services profitieren», erläutert Streitberger.
Grossen Firmen raten die Fraunhofer-Experten zu eingehenden Prüfungen der Cloud-Offerten. Insbesondere auf die angebotenen Sicherheitsfunktionen und die Service-Level-Agreements (SLAs) müsse besonderes Augenmerk gelegt werden.
Defizite bei Komplettangeboten
Bei Cloud-Computing-Services von zum Beispiel Amazon, Google, IBM oder Microsoft identifizierten die Experten zwar spezielle Schutzmechanismen, bemängeln aber das Fehlen von vollumfänglichen Standards. Hier seien individuelle Prüfungen ratsam. Dabei dürfe die Messlatte nicht tiefer gelegt werden als bei der Inhouse-IT. «Die aktuellen Cloud-Angebote zeigen, dass bei Infrastrukturservices zwar bereits Sicherheitstechnologien zum Einsatz kommen, sie aber den geforderten Schutzzielen teilweise noch nicht genügen», kritisiert der Fraunhofer-Experte. Als Trend zeichne sich ab, auch Sicherheitsfunktionen wie Identitäts- und Zugangsverwaltung von spezialisierten Anbietern als Service zu beziehen.
Bei Cloud-Computing-Services von zum Beispiel Amazon, Google, IBM oder Microsoft identifizierten die Experten zwar spezielle Schutzmechanismen, bemängeln aber das Fehlen von vollumfänglichen Standards. Hier seien individuelle Prüfungen ratsam. Dabei dürfe die Messlatte nicht tiefer gelegt werden als bei der Inhouse-IT. «Die aktuellen Cloud-Angebote zeigen, dass bei Infrastrukturservices zwar bereits Sicherheitstechnologien zum Einsatz kommen, sie aber den geforderten Schutzzielen teilweise noch nicht genügen», kritisiert der Fraunhofer-Experte. Als Trend zeichne sich ab, auch Sicherheitsfunktionen wie Identitäts- und Zugangsverwaltung von spezialisierten Anbietern als Service zu beziehen.
Laut Streitberger sind SLAs eine weitere Schwachstelle: Die bisher üblichen Verträge geben nur minimale Garantien der Dienstgüte des Cloud-Computing-Service. «Vor allem Sicherheitsgarantien sind nur rudimentär vorhanden und die dafür nötigen Funktionen durch den Cloud-Anbieter nur unzureichend dokumentiert», bemängelt der Wissenschaftler. Hier sollte eine Machbarkeitsstudie vor dem eigentlichen Einsatz realisiert werden.
