Cloud-Computing...

...auch als «Cloud-Services» bezeichnet – also Computer-Leistungen aus dem Internet (das mit dem Begriff «Cloud» ersetzt wurde) –, stand lange unter dem pauschalen Verdacht, inhärent unsicher zu sein. Ist das wirklich so, und was sollte man als Leistungsbezüger beachten, damit sichere Cloud-Services genutzt werden können?

Ein sogenannter «Cloud-Service-Provider», kurz CSP, ist letztlich ein Unternehmen, das Computer-Leistungen sozusagen «zur Miete» anbietet. Der Bezug der Leistungen erfolgt dabei über einen Arbeitsplatz-Computer, der am Internet angeschlossen ist. Die bekanntesten Anbieter im internationalen Geschäft sind Microsoft, Google, Amazon – es gibt darüber hinaus unzählige kleinere Anbieter, die ihre Leistungen als Cloud-Service anbieten.

Ganz generell: Bei der Nutzung von Cloud-Services erfolgt die Bereitstellung der Dienstleistung, und damit der Betrieb der dazu benötigten Computer, nicht mehr durch den Leistungsbezüger selber.

Damit gibt der Leistungsbezüger die Kontrolle über die «Maschine» ab, und er muss für die Leistung dem CSP vertrauen. Selbstverständlich wird dies vertraglich geregelt, wobei hier eine wichtige Unterscheidung zum sogenannten «Outsourcing» zu machen ist: Bei Cloud-Services handelt es sich nicht um individuelle Verträge zwischen Anbieter und Bezüger, sondern typischerweise um standardisierte, modularisierte Angebote, die über «allgemeine Geschäftsbedingungen» geregelt sind.

Entsprechend lohnt es sich, diese Bestimmungen genau zu studieren, um zu wissen, worauf man sich einlässt. Insbesondere Datenschutz und Sicherheit sind im Grund-Angebot möglicherweise nur minimal abgedeckt und müssen durch zusätzliche Dienstleistungen und einen höheren Preis bezogen werden.

Angebot an Cloud-Services und Merkmale zur Sicherheit

Im Wesentlichen lassen sich drei Dienstleistungs-Typen aus der Cloud beziehen: Speicherkapazität – zur Ablage von Daten, zur Erweiterung des eigenen Speicherplatzes, zum einfachen Teilen mit Dritten, zur gemeinsamen Bearbeitung oder auch für Langzeit-Aufbewahrung. Rechenleistung, meist in Form von Software – zur Erweiterung der bestehenden Computerkapazität oder bereits durch Nutzung von Software, die in der Cloud betrieben wird; typischerweise im Servicemodell «Software as a Service – SaaS».

Netzwerk-Kapazität beziehungsweise Übertragungsleistung – Cloud-Services zeichnen sich unter anderem durch eine hoch-kapazitative Anbindung an das Internet aus, entsprechend können diese hohen Netzwerk-Leistungen zur Übermittlung von (grösseren) Datenmengen genutzt werden.

Je «tiefer» das Servicemodell, desto mehr Leistungen müssen durch den Dienstleistungsbezüger erbracht werden. Bei «Infrastructure as a Service» wird lediglich die Hardware gemietet – Betriebssystem und Anwendungssoftware (insbesondere deren Aktualisierung) müssen durch den Bezüger abgedeckt werden.

Bei «Platform as a Service» sind die Angebote oft sehr unterschiedlich, je nach Anbieter werden bestimmte (sicherheitsbezogene) Dienstleistungen ins Angebotspaket integriert oder eben nicht.

Das «Rundum-sorglos-Paket» ist meistens «Software as a Service», wobei auch hier die verschiedenen Qualitätsstufen unterschieden werden müssen – Sicherheit sollte nicht vorausgesetzt und impliziert werden, sondern konkret verlangt und mit dem Anbieter vereinbart werden.

Werden personenbezogene Daten in Cloud-Services verarbeitet, so müssen die datenschutz-rechtlichen Bestimmungen eingehalten werden. Sowohl das schweizerische wie auch das europäische Datenschutzgesetz sehen Einschränkungen in der Übertragung und Bearbeitung von personenbezogenen Daten ausserhalb der Schweiz beziehungsweise ausserhalb von Europa vor.

Vor allem die grossen, internationalen Anbieter von Cloud-Services betreiben ihre Systeme global – eine geografische Limitierung der Bearbeitung der Daten zum Beispiel auf Europa kostet zusätzlich. Wenn die Daten nur innerhalb der Schweiz bearbeitet werden sollen, wird das Feld der möglichen Anbieter zusätzlich verkleinert.

Cloud-Services...

...werden oft mit mobilen Endgeräten konsumiert – Notebook im Normalfall, immer öfter auch Smartphone und Tablet. Bei der Sicherheit dieser mobilen Geräte, die bei der Nutzung von Cloud-Services entsprechend für geschäftliche Zwecke eingesetzt werden, sind minimale Sicherheitsmassnahmen umzusetzen:

  • Einrichten einer starken Zugriffskontrolle mit einem ausreichend langen, nicht erratbaren Passwort. Die Nutzung von biometrischen Zugriffskontrollen wie Fingerabdruck oder Gesichtserkennung bietet je nach Gerät ebenfalls Sicherheit, ein komplexes Passwort ist für einen Angreifer in den meisten Fällen aber noch schwieriger zu beschaffen.
  • Besonders wichtig ist die sogenannte «Zwei-Faktor-Authentifizierung» für Anwendungen und Apps – insbesondere für die Cloud-Services. Eine unberechtigte Nutzung kann damit wirksam abgewehrt werden. Achtung bei Wechsel des Mobilgerätes: Stellen Sie sicher, dass Sie die Authentifizierungs-Apps auf das neue Gerät zügeln, bevor Sie das alte Gerät ausser Betrieb nehmen.
  • Verschlüsselung des Datenspeichers beziehungsweise des Geräts: Bei einem Diebstahl wird mit dieser Massnahme, in Kombination mit der starken Zugriffskontrolle, eine Nutzung der Daten wirksam verhindert.

INFO

Sehr nützliche Hilfsmittel zum Thema Sicherheit im Cloud-Computing bietet das deutsche BSI (Bundesamt für Sicherheit in der Informationstechnik) mit der Anleitung «Sichere Nutzung von Cloud-Diensten». Auch der eidgenössische Datenschutzbeauftragte hat Empfehlungen und Hinweise zum Thema Datenschutz und Cloud-Services bereitgestellt. Die «Cloud Security Alliance CSA» stellt ausführliche Ressourcen im Themenbereich Cloud-Computing und Sicherheit zur Verfügung.

Links: