RSA-Manager Art Coviello schlägt für Unternehmen, die Cloud-Dienste nutzen wollen, ein Vier-Stufen-Konzept vor. Basis ist die Virtualisierung im eigenen Haus. Besonders mittelständische Firmen sollen Sicherheitstechnik künftig verstärkt aus der Datenwolke beziehen.
Als "unausweichlich" beschreibt Art Coviello, Chef der EMC-Tochter RSA[1], den aktuellen Trend zum Cloud Computing[2]. Zurzeit gäben Unternehmen allein rund zwei Drittel ihres IT-Budgets dafür aus, um ihre Infrastruktur und ihre Anwendungen am Laufen zu halten. Mithilfe von Cloud-Computing-Diensten könnten sie dagegen sowohl ihr Geld als auch ihre Energie sinnvoller einsetzen[3].
Der Durchbruch von Cloud Computing wird laut Coviello derzeit noch vor allem von einem Faktor behindert: von Sicherheitsproblemen[4]. So zitierte der RSA-Präsident auf der Anwenderkonferenz des Unternehmens in London kürzlich aus einer Umfrage des amerikanischen CIO-Magazins, wonach für 51 Prozent der IT-Vorstände bei der Nutzung von Cloud Computing Sicherheit die größten Sorgen bereitet. Und Scott Charney, Microsofts Vice President für Trustworthy Computing, weist darauf hin, dass Cloud-Umgebungen ein lohnendes Ziel für Angriffe darstellen. Denn schließlich sammle sich dort eine große Menge von Information an.
Art Coviello, Chef der EMC-Tochter RSA, hält den Trend zum Cloud Computing für "unausweichlich" (Bild: RSA).
Sicherheit sei somit unabdingbar für den Erfolg des Cloud-Modells. Mit Lösungen, welche die drängendsten Probleme in der Datenwolke beseitigen, könne die Security-Branche die Nutzung des Internets als Plattform vorantreiben und somit für eine stärkere Flexibilisierung der IT sorgen. In der Cloud-Computing-Welt müssten dazu jedoch die gleichen Security-Richtlinien herrschen wie in der physischen Welt.
Die entscheidende Rolle spiele dabei Virtualisierung[5]. Sie bilde quasi die Basis für Cloud Computing. Wichtig sei es daher, Sicherheitsfunktionen in die Virtualisierungsschicht sowie in die Hardware einzubetten. Dann könnten Unternehmen von einer Sicherheitsstrategie, bei der die Infrastruktur im Mittelpunkt steht, zu einem informationszentrierten Security-Konzept gelangen.
Wie ein solcher Ansatz aussehen könnte, zeigt die Zusammenarbeit zwischen RSA, VMware[6], Intel[7] sowie dem gerade von EMC übernommenen Anbieter Archer Technologies, die auf der Anwenderkonferenz verkündet wurde. Dabei werfen die Partner ihre Technologien zusammen, um eine sichere Infrastruktur für geschäftskritische Cloud-Dienste aufzubauen. Die Hardware-Basis stellt Intel mit seiner Trusted Execution Technology, bei der Sicherheitsfunktionen in den Chip integriert sind. VMware sorgt für die Virtualisierungsumgebung, während RSA die Infrastruktur durch Informations- und Event-Management absichert. Archer bringt schließlich eine Technologie für Governance-, Risiko- und Compliance-Management (GRC) in die Kooperation mit ein.
Bildergalerie
Cloud Computing in Deutschland[8]
» zur Bildergalerie ...[8]Wenn es um Sicherheit beim Cloud Computing geht, sieht Coviello sowohl Anbieter als auch Anwender in der Pflicht. Unternehmen sollten zunächst Virtualisierung innerhalb ihrer Organisation umsetzen, bevor sie Cloud-Dienste in Anspruch nehmen. Coviello empfiehlt, in einem ersten Schritt weniger sensible Teile der Infrastruktur zu virtualisieren - etwa Testumgebungen. Firmen könnten sich auf diese Weise mit der Technologie vertraut machen und ihre Hardware entsprechend anpassen.
Als nächstes sollten Unternehmen geschäftskritische Anwendungen virtualisieren. In dieser Phase sei es auch ratsam, die Sicherheitsfunktionen in die Virtualisierungsschicht einzubauen. "Im dritten Schritt beginnt die Firma dann, eine interne Cloud-Umgebung aufzubauen."
Die IDC-Marktforscher prognostizieren für 2012 weltweit Ausgaben in Höhe von 42,3 Milliarden Dollar für Cloud-Services. Über die Hälfte davon soll auf Business-Anwendungen entfallen (Grafik: IDC).
Auf dieser Stufe sei das Rechenzentrum schon vollständig virtualisiert und automatisiert, so die Vorstellung von Coviello. Wichtig sei auf diesem Level, dass die GRC-Prozesse bereits ausgereift sind.
Erst im vierten Schritt sollte das Unternehmen beginnen, Teile seiner Infrastruktur an einen Anbieter von Cloud-Services auszulagern. Dafür müssten bei diesem bestimmte Voraussetzungen gegeben sein, damit das Anwenderunternehmen keine Sicherheitsprobleme bekommt. Dazu zählt unter anderem, dass der Service-Anbieter die Richtlinien der Firma für das Management ihrer Informationen übernehmen kann.
Außerdem sollten die spezifischen gesetzlichen Anforderungen bis tief in die Wolke hinein erfüllt werden. Und letztlich muss das Management der verschiedenen Mandanten stimmen. Die Daten der verschiedenen Cloud-Services-Nutzer müssen klar getrennt sein - unter Umständen auch hardwareseitig.
"Darauf muss ein Unternehmen bei der Auswahl seines Cloud-Dienstleisters achten", so der RSA-Chef. Anwender hätten ein Recht darauf, überprüfen zu können, ob diese Bedingungen erfüllt sind: "Das Unternehmen muss einen Blick in die Wolke werfen können."
Der grobe Überblick der Experton Group über Cloud-Angebote aus Sicht von Unternehmen (Grafik: Experton Group).
Cloud Computing stellt für Anwender und Anbieter in Sachen Sicherheit aber nicht nur eine Herausforderung dar. Die Möglichkeit, das Internet als Software-Plattform zu nutzen, bietet auch Chancen, wenn es um den Schutz der IT-Landschaft geht. Dies gelte besonders für mittelständische Firmen, so Coviello.
Angesichts der Qualität und Quantität der Bedrohungen sei diese Gruppe von Unternehmen einfach überfordert. "Die Mittelständler sind häufig nicht in der Lage, alle Sicherheitstechnologien, die sie brauchen, selbstständig zu managen", erklärt Coviello. Sie könnten keine vollständige Sicherheitsinfrastruktur aufbauen. Seine Prognose lautet daher: "Wie werden künftig deutlich mehr Security-Dienste auf Cloud-Basis sehen."
Unabhängig davon, ob es sich um eine kleine, mittlere oder große Firma handelt - um die IT-Sicherheit zu erhöhen, reichen manchmal schon scheinbar einfache Maßnahmen aus. Denn in vielen Organisationen stellten veraltete Software-Versionen die größten Schwachstellen dar.
Weitaus fortgeschrittener agieren Firmen, die spezielle Lösungen, etwa für Data Loss Prevention (DLP) einsetzen. Solche Systeme, die Datenlecks in den Organisationen stopfen sollen, wurden in den vergangenen Jahren von den Security-Anbietern vorangetrieben. Doch Coviello weist darauf hin, dass solche Lösungen nur sinnvoll sind, wenn sie auch richtig genutzt werden. "Sicherheit inklusive DLP muss zentral verwaltet werden", meint der RSA-Chef.
Ohne ein zentrales Management sorgten DLP-Systeme nur für eine Masse an Meldungen. Erst wenn man die verschiedenen Meldungen miteinander in Beziehung bringe, ergebe sich daraus ein Bild über das tatsächliche Sicherheitsrisiko. Coviello geht daher davon aus, dass es in Zukunft mehr einheitliche Sicherheitskonzepte in den Unternehmen geben werden, mit deren Hilfe die Verantwortlichen auch in Echtzeit reagieren könnten.
Trotz dieser Prognosen weiß der Security-Fachmann aber, dass Technologie nur einen Teil einer Sicherheitsstrategie ausmacht. Weitaus mehr Aufwand als die Implementierung der Technik verursachen die organisatorischen Veränderungen. "Die Umgestaltung der Prozesse nimmt die meiste Zeit ein, wenn eine Firma ihre Sicherheit auf den neuesten Stand bringen möchte", so Coviello.
Ein Bericht von Bernstein Research[9] fasst die als "Cloud Computing" im Markt vorhandenen Angebote übersichtlich zusammen. Als Komplettanbieter kann sich demnach noch keiner der Marktteilnehmer bezeichnen, Google ist aber am nächsten dran (Bild: Bernstein Research).
URLs in diesem Artikel:
[1] = http:/
[2] = http:/
[3] = http:/
[4] = http:/
[5] = http:/
[6] = http:/
[7] = http:/
[8] = http:/
[9] = http:/