Cloud Computing ist mehr als nur ein Buzzword. Cloudcomputing bietet eine Reihe an Möglichkeiten hinsichtlich Effizienzgewinn und Skalierbarkeit von IT-Landschaften. Besonders für kleine und mittelständische Unternehmen sowie Forschungseinrichtungen kann sich Cloudcomputing rechnen – sofern auch Sicherheitsaspekte beachtet werden.
Was ist Cloud Computing und wofür braucht man es?
Beim Cloud Computing handelt es sich im Grunde genommen um die Bereitstellung entsprechender (und entfernter, remote erreichbarer) Computingdienste. Darunter zum Beispiel:
- Speicher
- Server
- Intelligente Funktionen
- Analysefunktionen
- Software
- Datenbanken
Diese Dienste werden über die “Cloud” angeboten. Also über das Internet.
Welche Vorteile bietet Cloud Computing?
Der Vorteil der einzelnen Cloud-Dienste bezieht sich auf flexible Ressourcen, schnellere Innovationen und Skaleneffekte. Sie als Nutzer zahlen bei den unterschiedlichen Anbietern in der Regel nur für die Dienste, welche Sie auch tatsächlich im Zusammenhang mit der Cloud in Anspruch nehmen.
Ihr Vorteil: Betriebskosten lassen sich deutlich senken!
Aber das Cloud Computing bietet noch mehr Vorteile, denn Ihre Infrastruktur lässt sich effizienter ausführen und Sie haben zudem die Möglichkeit Skalierungen in Bezug auf nicht konstante Geschäftsanforderungen vorzunehmen. Die Hauptvorteile beim Cloud Computing ändern die traditionelle Denkweise zahlreicher Unternehmen, wenn es um die Ressourcen im IT-Bereich geht.
Im Wesentlichen kristallisieren sich sechs Vorteile heraus, aufgrund derer sich so viele Unternehmen für das Cloud Computing entscheiden:
1. Die Kosten
Sie müssen keine Kosten für den Kauf von Hard- und Software investieren. Das gilt auch für die Einrichtung lokaler Datencenter und deren Betrieb. Es fallen auch keine Kosten für die Kühlung und die Stromversorgung an, welche durch den Einsatz von IT-Experten sichergestellt werden müsste. Ohne Cloud Computing würde die Verwaltung der Infrastruktur so einiges an Kosten zusammenkommen lassen.
2. Die Geschwindigkeit
Die meisten Dienste im Bereich des Cloud Computings werden als “Self-Service” und “bedarfsgesteuert” angeboten. Auf diese Weise kann sichergestellt werden, dass auch sehr große Mengen an Computingressourcen binnen weniger Sekunden bereitgestellt werden können. Und das Bereitstellen ist bereits mit wenigen Mausklicks erledigt. Das ermöglicht Ihnen im Unternehmen ein hohes Maß an Flexibilität. So entfällt schließlich auch der Druck, wenn es um die Kapazitätenplanung geht.
3. Die globale Skalierung
Ein weiterer Vorteil des Cloud Computings definiert sich über die elastische Skalierung, welche damit möglich gemacht werden kann. Um dies im Cloud-Kontext zu schildern bedeutet das, dass die richtige Ressourcen-Menge immer genau dann bereitgestellt werden kann, wenn diese benötigt wird. Das betrifft zum Beispiel:
- Die Bandbreite
- Die Computingleistung (ob höher oder niedriger)
- Die Speicherkapazität
Und diese Menge wird nicht nur zum richtigen Zeitpunkt, sondern auch vom korrekten Standort aus., zur Verfügung gestellt.
4. Die Produktivität
Wenn Sie ein lokales Daten-Center verwalten wollen, ist dies mit einem großen Aufwand verbunden. Sowohl in Bezug auf die Verwaltung selbst, als auch auf die Einrichtung. Das betrifft zum Beispiel das Einrichten der Software oder die Aufspielung von entsprechenden Software-Patches. Die Sicherheit der IT-Systeme liegt in der Verantwortung des Betreibers. Es fallen aber noch viele weitere Verwaltungsaufgaben im IT-Bereich an, welche sehr zeitaufwendig sind. Wenn Sie sich stattdessen für das Cloud Computing entscheiden, können Sie sich das Ausführen dieser Aufgaben sparen und Ihr IT-Team hat die Möglichkeit, sich auf wichtigere Ziele in Ihrem Unternehmen zu konzentrieren.
5. Die Leistung
Die aktuell größten Dienste im Cloud Computing werden in einem globalen Netzwerk ausgeführt, welches aus sicheren Daten-Centern besteht. Und diese werden permanent weiterentwickelt, um die neueste Generation anzubieten und die Computing-Software schneller zu aktualisieren. Gegenüber einzelnen Datencentern bietet dieser Aufbau zahlreiche Vorteile. Dazu zählen die bereits erwähnten Kostenersparnisse und die geringeren Netzwerklatenzen für unterschiedliche Anwendungen, aber auch eine globale Redundanz im Fall von lokal begrenzten Katastrophen, die einzelne Datencenter beeinflussen oder zerstören können.
6. Die Sicherheit
Die einzelnen Anbieter der Cloud Computing Dienste stellen zahlreiche Steuerelemente, Technologien und Richtlinien bereit, welche Ihre Sicherheitsumgebungen stärken, womit sich Ihre Apps und Daten, sowie die gesamte Infrastruktur vor möglichen Bedrohungen schützen lassen.
Cloud Computing hat Nachteile!
Wie es bei jeder noch so vielversprechenden Technologie der Fall ist, weist auch das Cloud Computing Nachteile auf.
So benötigen Sie beispielsweise eine sehr schnelle und vor allem stabile Internetverbindung, da sich der Dienst in der Regel ausschließlich online nutzen lässt. Die dafür erforderliche Bandbreite ist jedoch nicht an jedem Standort verfügbar. Dies kann zur Folge haben, dass sich die Arbeitsprozesse unter Umständen verlangsamen. Ein weiterer Nachteil ist, dass Sie sich immer wieder neu einarbeiten müssen, wenn der Dienstleister seine Anwendung aktualisiert beziehungsweise weiterentwickelt hat – in der Regel können diese Prozesse nicht zeitlich gesteuert werden, wie es bei einer eigenen Infrastruktur der Fall wäre. Und auch wenn die Sicherheit dieser Dienste groß geschrieben wird, so handelt es sich dabei eher um eine Notwendigkeit. Denn Cloud-Dienste sind für Hacker besonders interessant.
Welche Ausprägungen von Cloud Computing gibt es (SaaS, IaaS)
Sofern Sie im Dschungel des Cloud Computings in den verwirrenden Akronymen der einzelnen Computing Services verloren gehen, wollen wir Ihnen nachfolgend ein dreiteiliges Glossar an die Hand geben.
SaaS – Software as a Service
Die Abkürzung steht für “Software as a service”. Dieser Service definiert den Weg der Software, welche über das Web zum Endbenutzer gebracht wird. Designt wurde die Anwendung im Prinzip für den Endbenutzer, damit dieser die Anwendung – oftmals über das Web oder eine andere Remote-Technologie – nutzen kann.
Oftmals wird der Service dabei wird eine URL in den Browser eingetippt. Und diese URL ist für all Ihre Kunden gleich.
Auch für Software-Hersteller bietet “Software as a Service” große Vorteile: So kann in der Regel aufgrund monatlicher Gebühren ein gleichbleibender Cashflow
IaaS – Infrastructure as a Service
Dies Kürzel bedeutet ausgeschrieben: “Infrastructure as a service. Anders als es bei SaaS der Fall ist, kommt der Endbenutzer nicht mit dem IaaS in Berührung. Denn damit ist die Architektur gemeint, welche sich direkt darunter befindet. Mit dieser Anwendung befassen sich DevOps und Systemadministratoren. Die Hardware wird nicht lokal oder in einem Daten-Center installiert. Stattdessen wird eine Infrastruktur im Rahmen der Cloud genutzt und eben dann als SaaS ausgeliefert. In diesem Bereich ist Amazon das führende Unternehmen, welches letztendlich auch diese Revolution ermöglicht hat. Damit ist AWS – Amazon Web Services gemeint, dessen ursprüngliche Ambition es war, die überschüssige Infrastruktur von amazon.com, als das Hauptbusiness zu monetarisieren. Ein imposanter Erfolg!
PaaS – Platform as a Service
Und dann wäre da noch die Plat(t)form as a service (PaaS). Die Anwendung liegt irgendwo zwischen SaaS und IaaS. PaaS beschreibt primär den Weg den einzelnen Entwicklern eine Umgebung zu ermöglichen, damit diese ihre Arbeit uneingeschränkt ausüben können. Der unterliegende Staff ist für die Entwickler damit uninteressant. Es müssen dabei weder Datenbanken erstellt, noch Server installiert oder Webserver optimiert werden. Die Vorgehensweise des PaaS konnte sich im Laufe der Zeit bestens etablieren, was sich vermutlich auf die Komplexität der Anwendung zurückführen lässt.
Welche Cloud Computing Anbieter gibt es und wie unterscheiden sie sich?
Hier stellt sich natürlich die Frage, was einen typischen Anbieter für Cloud-Computing auszeichnet. Welcher Anbieter gilt auf dem noch jungen Markt als wichtiger Player? Und welche Unterschiede zeichnen sich dazwischen ab? Selbst professionelle Marktbeobachter haben es schwer, auf solche Fragen adäquate Antworten zu liefern. Zu den aktuell führenden Anbietern gehören unter anderem auf jeden Fall:
- Microsoft
- IBM
- Amazon
- Salesforce
Zwar holt SAP hier derzeit auch mit goßen Schritten zu Salesforce auf, in Summe lässt sich aber eine Dominanz der Technologieriesen aus Übersee konstatieren.
All diese Anbieter haben es gemeinsam komplette Anwendungs- und Infrastrukturplattformen zur Verfügung zu stellen, statt sich nur auf einzelne Cloud-Services zu beschränken. Kleine Dienstleister tun sich dagegen schwer, die öffentliche Wahrnehmung anzukurbeln und gegen die Marktmacht aus dem Silicon Valley zu bestehen.
Amazon.com – Pionier seit der ersten Stunde
Die Pionier unter den Cloud-Anbietern ist Amazon. Schon vor einigen Jahren, ist dem Online-Händler bewusst geworden, dass sich nicht nur Bücher vermarkten lassen. Denn inzwischen ist es Amazon möglich, seine eigene IT-Infrastruktur zu vermarkten. Aus dieser Erkenntnis resultierte AWS, sprich Amazon Web Services. So haben Kunden die Möglichkeit, ihre gewünschten Dienste per Baukastenprinzip variabel zu kombinieren. Die von Amazon bereitgestellte “Amazon E2”, sprich die Elastic Compute Cloud ermöglicht die Infrastruktur, also die gesamte Rechenkapazität, welche erforderlich ist, abzubilden.
Dabei werden die Ressourcen ja nach Abrechnungsmodell Minutengenau berechnet – man bezahlt nur das, was man auch kosumiert.
Linux – Eine Stunde für 10 Cent
Die Anwendungen von AMI, sprich Amazon Machine Images können auf der Linux Plattform gespeichert werden. Im S3, also dem Amazon Sample Store befinden sich die entsprechenden Daten. Damit der Anwender strukturiert auf die Daten zugreifen kann, bietet Amazon “SimpleDB” an. Das Schöne daran ist, dass die Nutzer tatsächlich nur die Dienste bezahlen, welche auch wirklich in Anspruch genommen wurden. So kostet die günstigste Variante nur 10 Cent für eine Stunde Rechenleistung. Die Bezeichnung “Elastic” wurde von den Amazon-Marketers deshalb gewählt, weil sich die Rechenleistung welche gewünscht wird, innerhalb von wenigen Minuten anpassen lässt.
Cloud Computing, Sicherheit und Datenschutz – Was gilt es zu beachten?
Die Wahl des falschen Providers – oder ein zu sorgloser Umgang mit den Technologien – kann ernstzunehmende Risiken mit sich bringen. Inzwischen wächst die Zahl der Angebote für Infrstrukturen permanent an. Das Angebot umfasst dabei Textverarbeitungsprogramme, virtuelle Server und sogar CRM-Suiten. Wie bereits erwähnt, lassen sich diese Dienste mit wenigen Klicks aus dem World Wide Web beziehen. Dabei wird jedoch unterschieden: Entweder es handelt sich um ein bestimmtes Private-Cloud-Angebot, welches einem definierten Nutzerkreis offensteht (zum Beispiel Angehörige der Firma) oder um einen Dienst, welcher von allen Interessenten genutzt werden kann.
Gerade vor dem Hintergrund der seit 2018 geltenden DSGVO gilt es Risiken des Datenverlustes, -Abflusses oder -Missbrauchs zu minimieren, da sonst empfindliche Strafen drohen.
Das sind die Bedrohungen der Cloud
Durch ihre Exponiertheit im Netz ist die Cloud zahlreichen Gefahren und Angriffsmöglichkeiten ausgeliefert. Diese ist öffentlich zu erreichen und wird in der Regel von Dritten betrieben. Beide Aspekte stellen ein gewisses Sicherheits-Risiko dar.
Die sieben größten Gefahren aus der Sicht der CSA, also der “Cloud Security Alliance” bei der Nutzung der Dienste des Cloud Computings wollen wir Ihnen nachfolgend vorstellen:
1. Schädliche Nutzung und Missbrauch der Cloud
Durch grundlegende Eigenschaften welche eine Cloud-Infrastruktur mit sich bringt (zum Beispiel der einfache und schnelle Abruf von neuen Ressourcen mit einer hervorragenden Netzanbindung) wird das Interesse von Angreifern begünstigt. Diese haben meistens im Sinn, eine Schadsoftware zu hosten oder eine “Denial-of-Service-Attacke” durchzuführen, welche mit DoS abgekürzt wird.
2. Unsichere APIs und Schnittstellen
Die von den Anbietern zur Verfügung gestellten Cloud-Services und Management-Schnittstellen sind vor allem in Bezug auf Public-Cloud-Angebote nicht nur leicht erreichbar, sondern ebenso leicht angreifbar. Außerdem gibt es Programmierschnittstellen, welche von Nutzern zur Konfiguration und Steuerung der Services in der Cloud genutzt werden können. Derartige Schnitt- bzw. Schwachstellen könnten gegebenenfalls potentielle Einfallstore öffnen, um den unrechtmäßigen Zugriff Dritter auf die sensiblen Kundendaten zu riskieren.
3. Böswillige Insider
Sofern es den Angreifern gelingt auf die Infrastruktur zugreifen zu können, sind Sicherheitsmaßnahmen häufig wirkungslos. Dies kommt vor allem bei böswilligen Insidern vor. Dabei handelt es sich um hinterlistige Mitarbeiter des Unternehmens, welche Ihre Anstellung für den Missbrauch der Daten ausnutzen.
4. Risiken durch geteilte Technologien
Auch das sogenannte “Pooling” gehört zu den typischen Eigenschaften des Cloud Computings. Dies sagt aus, dass alle Anwender Zugriff auf die physischen Ressourcen der Cloud haben. Dies könnte zur Folge haben, dass die Nutzerdaten nicht mehr ordnungsgemäß getrennt werden können, wenn alle Nutzer gemeinsamen Zugriff haben. Besonders spannend wird dieser Punkt, wenn Fehler in der Hardware auftauchen, die eine Trennung der einzelnen Nutzerprozesse (z.B. durch sogenanntes Sandboxing) aufheben.
Besonders ins Gedächtnis geraten sind hierbei die Spectre- und Meltdown-Lücken in x86-Prozessoren.
5. Datenkompromittierung und Verlust der Daten
Aufgrund der Tatsache, dass viele Anwender gleichzeitig den Zugriff auf in der Cloud gespeicherte Daten haben, sind auch die Anforderungen an die Sicherheit höher. In der Vergangenheit haben vereinzelt Probleme der unterschiedlichen Anbieter gezeigt, dass die Daten auch verloren gehen können, wenn es zu technischen Schwierigkeiten kommt.
Es ist daher IMMER ratsam, ein zuätzliches Backup wichtiger Daten auf getrennten Systemen anderer Dienstleister zu erstellen.
6. Diebstahl von den Konten der Benutzer
Damit der Nutzer einfach und schnell auf die Cloud zugreifen kann, nutzen viele Provider einen sehr simplen Prozess für die Anmeldung. Sofern es einem Angreifer gelingt, sich die Daten einer Nutzers, beziehungsweise dessen Kontos anzueignen, hat dieser die Möglichkeit, unter falschem Namen Ressourcen zu missbrauchen, auf die Daten zuzugreifen und damit großen Schaden anzurichten.
Hierbei ist nicht nur das Auslesen der Zugangsdaten vom Client-Computer durch Viren gefährlich. Auch sog. Social-Engineering kann dazu führen, dass einem autorisierten Nutzer die Zugangsdaten gestohlen werden.
7. Neue Risiken unbekannter Natur
Damit sich die Risiken im Rahmen der Cloud besser abschätzen lassen, ist es wichtig dass sich die Nutzer mit den Sicherheitsvorkehrungen vertraut machen. Außerdem muss die eigene Betrachtung mit einbezogen werden. Wer diese Risiko-Analyse nicht durchführen kann, weil der Provider diese nicht ausreichend bereitstellt, setzt sich einem Risiko aus, welches sich nicht einschätzen lässt.
Cloud-Infrastrukturen und ihre Anforderungen
Geht es um die wichtigste Anforderung welche in puncto Sicherheit an die Cloud gestellt wird, bedarf es einer soliden Sicherheits-Architektur. Außerdem gehört die sichere Mandantentrennung dazu, welche sich auf alle Ebenen in der Infrastruktur bezieht.
Zum Beispiel:
- Plattform
- Netzwerk
- Daten
- Visualisierung
Der Nutzer sollte zudem darauf achten, dass der Anbieter ein Vorgehensmodell definiert hat, nach welchem er für die IT-Prozesse arbeitet, wenn es um das Management geht. Zum Beispiel wie COBIT oder ITIL. Denn nur so können die zahlreichen Aufgaben im Sicherheitsmanagement strukturiert angegangen werden. Dies beinhaltet zum Beispiel das Management von:
- Änderungen
- Konfigurationen
- Systeme
- Patches
- Applications
Damit die Cloud im Notfall vor Störungen oder Totalausfällen geschützt ist, braucht es ein zusätzliches Notfall-Management. Dazu können beispielsweise Zertifizierungen dem Nutzer signalisieren, dass sich der Anbieter im Rahmen solcher Prozesse etabliert hat. Zum Beispiel mit der ISO 27001.
Fazit – Schneller aber nicht “per default” sicherer Zugriff auf die Infrastruktur
Wie so alles im Leben, haben auch Cloud-Dienste ihre Vor- und Nachteile. Eine Vielzahl von sensiblen Daten lockt nach wie vor Angreifer mit hinterlistigen Absichten an. Und das wird wohl auch immer so bleiben. Nicht zuletzt sollte man auch bei der Wahl des Anbieters die Augen offen halten. Denn gerade in diesem Bereich gibt es Provider welche leider nicht die erforderlichen Sicherheitsbestimmungen gewährleisten können.