Sicherheit in der Cloud: Verschlüsseln reicht nicht aus

(http://www.zdnet.de/magazin/41535971/sicherheit-in-der-cloud-verschluesseln-reicht-nicht-aus.htm)

von Markus Reppner, 27. August 2010

Glaubt man Rechtsexperten, genügt es für den Datenschutz in der Cloud, Daten zu verschlüsseln. In der Praxis erweisen sich Auditierung und Verschlüsselung jedoch als Stolpersteine. Firmen stecken daher in einer Zwickmühle.

Beim Datenschutz kennt der Gesetzgeber kein Pardon: Für die Sicherheit der Informationen hat das Unternehmen zu sorgen. Geht etwas schief, haftet die Geschäftsführung oder der Vorstand persönlich. Geeignete Lösungen zum Schutz bietet der Markt haufenweise. Eine, die zu hundert Prozent gegen Angriffe von außen oder den unberechtigten Zugriff von innen schützt, gibt es jedoch nicht.

Das ist beim Cloud Computing - also der Bereitstellung von IT-Diensten via Internet auf Abruf - nicht anders. Software-as-a-Service, Infrastruktur-as-a-Service und Plattform-as-a-Service unterscheiden sich vom klassischen Outsourcing vor allem durch schnelle Verfügbarkeit und die Abrechnung der Kosten nach Nutzung. Die Cloud-Anbieter können diese Flexibilität deshalb anbieten, weil sie selbst flexibel sind und Daten, Speicherkapazitäten oder Rechenleistung in ihren Rechenzentren beliebig so verschieben können, dass das eigene System im Sinne des Kunden optimal läuft.

Rechtsanwalt Georg Meyer-Spasche, Partner der Kanzlei Osborne Clarke (Bild: privat)
Rechtsanwalt Georg Meyer-Spasche, Partner der Kanzlei Osborne Clarke (Bild: privat)

Nach Ansicht des Rechtsanwalts Georg Meyer-Spasche[1] von der Kanzlei Osborne Clarke[2] liegt aus juristischer Sicht genau hier der Hase im Pfeffer. Wie soll ein Unternehmen, das Daten in eine solche Wolke gibt, noch feststellen können, ob kein Dritter die Daten einsehen kann, wie es beispielsweise das Bundesdatenschutzgesetz[3] vorschreibt? Und wie kann es, was nach demselben Gesetz notwendig ist, die Maßnahmen des Cloud-Providers überprüfen?

Beides ist nach Meinung von Meyer-Spasche unmöglich, weil der Cloud-Nehmer nicht auditieren kann. Die Frage, wo die Daten liegen, sei nicht zu beantworten. Sein Vorschlag deshalb: Die Unternehmen sollen ihre Daten verschlüsseln und sich somit vor dem Zugriff Dritter schützen.

Bildergalerie

Für Cloud Computing führen die Anbieter viele Argumente ins Feld. Aber welche Aspekte sehen europäische Firmen als echte Vorteile? Das Marktforschungsunternehmen Vanson Bourne hat im Auftrag von CA Unternehmen in Europa nach ihrer Einstellung und ihren Plänen in Bezug auf Cloud Computing befragt (PDF). ZDNet hat die Kernaussagen der Studie zusammengestellt. Über ein Viertel (Balken ganz links) sehen die vielfältigen Möglichkeiten auf das Netzwerk zuzugreifen, als wichtiges Plus. Fast ebenso viele nennen die Zusammenfassung von Ressourcen als einen der wichtigsten Vorteile. Für etwas weniger der Befragten ist die bedarfsgerechte Bereitstellung von Ressourcen im Selbstbedienungsmodus wichtig (dunkelgrüner Balken). Die schnelle Skalierbarkeit – von den Anbietern oft an erster Stelle genannt – ist europaweit nur für jedes fünfte Unternehmen sehr wichtig, in Deutschland aber fast für jedes Dritte. Die Möglichkeit, Services besser zu messen, gehört zwar noch zu den fünf wichtigsten Merkmalen (hellgrüner Balken), fällt aber doch deutlich ab (Grafik: CA).
Von den befragten europäischen Firmen, die eigenen Angaben zufolge bereits mit Cloud Computing begonnen haben, stehen die meisten noch ganz am Anfang. Rund zwei Drittel befinden sich noch in der Planungsphase (Balken ganz links). Erst ein Prozent behauptet von sich, die eigenen Cloud-Computing-Pläne komplett umgesetzt zu haben. In Österreich lag dieser Wert mit zwei Prozent deutlich über dem europäischen Durchschnitt (Grafik: CA).
Eine wichtige Überlegung beim Cloud Coumputing ist, wer sich darum kümmern soll: die interne IT oder ein externer Partner? Eine eindeutige Antwort haben die befragten Unternehmen darauf noch nicht gefunden. Die Tendenz scheint jedoch dahin zu gehen, dass man nicht zu viel Kontrolle aus der Hand geben will. So sagen jeweils knapp über 20 Prozent, dass sie alles intern kontrollieren (Balken ganz links) oder zumindest die Kontrollaufgaben gleichmäßig verteilen wollen (dunkelgrüner Balken). Ganz auf externe Kräfte verlassen (hellgrüner Balken) wollen sich nur etwa 13 Prozent. Rund jedes sechste Unternehmen ist noch unentschieden (Balken ganz rechts). In Deutschland und den Niederlanden ist die Neigung, sich auf externe Kräfte zu verlassen, etwas ausgeprägter als im europäischen Durchschnitt (Grafik: CA).
Auch die Frage, ob Cloud Computing nur ein Strohfeuer ist (Balken ganz links) oder vielleicht doch die Art und Weise grundlegend ändert, wie künftig IT-Ressourcen bereitgestellt werden (Balken ganz links), haben die europäischen Firmen noch nicht abschließend für sich entscheiden. Die Gruppe derjenigen, die es eher als grundlegenden Wechsel sehen, ist jedoch ein kleines bisschen größer. Besonders skeptisch sind Firmen in Frankreich und Belgien, besonders aufgeschlossen in Portugal, Finnland und Schweden (Grafik: CA).

So sehen Europas Firmen Cloud Computing[4]

» zur Bildergalerie ...[4]
Ist es Unternehmen wirklich unmöglich, Cloud-Anbieter zu auditieren? "Es ist möglich", sagt Oliver Karow, Security Consultant bei Symantec[5]. "Es ist nur wesentlich komplizierter." Karow empfiehlt daher einen anderen Ansatz. Outsourcer und andere Dienstleister ließen sich bereits heute beispielsweise nach dem internationalen Standard SAS 70 (Typ 2) oder seinem deutschen Pendant PS 951 (Typ B) auditieren.

In Verbindung mit einem ausgereiften Kontrollsystem, wie es auf Basis von Standards wie COBIT oder ITIL V3 umgesetzt werden kann, ließe sich in der Regel bereits eine erhebliche Vereinfachung der Auditierung erreichen. Dennoch werde auch hier die Frage nicht vollständig geklärt, wo die Daten physisch tatsächlich liegen.

Udo Schneider, Solution Architect EMEA bei Trend Micro (Bild: Trend Micro).
Udo Schneider, Solution Architect EMEA bei Trend Micro (Bild: Trend Micro).

IBM sieht das Thema Auditieren ähnlich: "Es gibt durchaus Mechanismen, mit denen der Kunde seiner Auditierungspflicht nachkommen kann", sagt IT-Infrastruktur-Architekt Gerhard Widmeyer. Doch auch er schränkt ein: "Ein Restrisiko bleibt."

Also verschlüsseln. Das klingt einfach und scheint eine nahe liegende Lösung zu sein. "Verschlüsselung ist ein Mittel, aber bei weitem kein Allheilmittel", sagt Carsten Casper, Research Director Security und Privacy beim Analystenhaus Gartner[6]. Natürlich gebe es Schlüsselstandards, die relativ sicher seien. Dennoch gebe es immer den Einwand, der Standard sei nicht ausreichend oder er sei schon geknackt. Hinzu komme, dass Codierungen teuer sein können oder die Performance so stark einschränken, dass sie nicht praktikabel sind.

Udo Schneider, Solution Architect EMEA bei Trend Micro[7], sieht das ähnlich. "Verschlüsselung ist eine angemessene Lösung, wenn ein Unternehmen die Cloud als erweiterten Datenspeicher nutzt und Daten dort nicht bearbeitet." Das sei beim Backup eine gängige Praxis und nichts Neues. Schwierig werde es, wenn Daten in der Wolke verarbeitet werden, etwa bei einem CRM-System. Zum Bearbeiten müssen die Informationen nämlich wieder entschlüsselt werden. Und damit sind sie vor dem Zugriff Dritter ungeschützt. Wie dieses Problem zu lösen ist, weiß im Moment niemand. "Dafür gibt es derzeit keine Produkte auf dem Markt", so der Sicherheitsexperte.

Bildergalerie

Der Großteil (75 Prozent) der deutschen Unternehmen hat sich laut einer aktuellen IDC-Umfrage mit Cloud Computing überhaupt noch nicht beschäftigt. Von den restlichen 25 Prozent (auf die sich diese Grafik bezieht) wollen über die Hälfte Cloud Computing innerhalb der kommenden 24 Monate nutzen oder setzen es bereits heute ein. Ein Viertel ist sich noch unschlüssig. Jedes siebte Unternehmen hat die Angebote geprüft und sich (zumindest vorerst) ausdrücklich dagegen entschieden (Bild: IDC).
Bei den genutzten Cloud-Services liegen Geschäftsanwendungen (etwa CRM) und der Bezug von Rechnerkapazität ganz vorne. Ersteres nutzen laut IDC auffällig viele Firmen mit 500 bis 1000 Mitarbeitern. Rechenleistung mieten dagegen vor allem Firmen mit mehr als 1000 Beschäftigten (Bild: IDC).
Tendenziell sind große Unternehmen Cloud Computing gegenüber aufgeschlossener als der untere Mittelstand. Die Ausnahme bei Firmen mit 500 bis 1000 Mitarbeitern begründet IDC-Analyst Kraus damit, dass diese einerseits groß genug seien, um Experten zu beschäftigen, die sich mit dem Thema befassen, andererseits aber zu klein, um Skaleneffekte im eigenen Haus erreichen zu können. Außerdem nutze der öffentliche Bereich, der vielfach in dieser Größenordnung liege, die Angebote überdurchschnittlich stark (Bild: IDC).
Unternehmen, die sich schon mit Cloud Computing beschäftigt haben, wollen auch weiter in diesen Bereich investieren. Die geplanten Budgetsteigerungen fallen jedoch überwiegend moderat aus (Bild: IDC).

Cloud Computing in Deutschland[8]

» zur Bildergalerie ...[8]

Carsten Casper, Research Director Security und Privacy bei Gartner (Bild: Gartner).
Carsten Casper, Research Director Security und Privacy bei Gartner (Bild: Gartner).

Trend Micro arbeitet derzeit an einer Schlüsselverwaltung, die einer optimalen Lösung schon sehr nahe kommt. Für Gartner-Analyst Caspar ist dabei die entscheidende Frage, wer Zugriff auf die übermittelten Daten hat. "Das muss geklärt sein, ansonsten wird es haarig." In der Regel haben Administratoren privilegierte Rechte und können viel mitlesen. "Wenn das der Fall ist, kann man sich die Verschlüsselung sparen", so Caspar.

Es bleibt also dabei. Für die Sicherheit - gerade von personenbezogenen Daten, die in der Cloud verarbeitet werden - gibt es derzeit wohl keinen rechtssicheren Schutz. Und in Zukunft? Forscher wie der IBM-Kryptologe Craig Gentry sowie die Wissenschaftler Nigel Smart, Professor für Kryptologie an der Bristol University, und Frederik Vercauteren von der Katholieke Universiteit Leuven, haben einen Durchbruch geschafft. Ihnen gelang es, eine mathematische Operation zwischen zwei verschlüsselten Matrizen auszuführen, ohne sie vor entschlüsseln zu müssen. Bis zur Technologiereife wird es wohl noch einige Jahre dauern. Aber so lange wird kein Unternehmen warten wollen.

URLs in diesem Artikel:
[1] = http://www.zdnet.de/it_business_hintergrund_fakten_statt_maerchen_datenschutz_in_der_cloud_story-11000006-41530882-2.htm
[2] = http://www.osborneclarke.de/
[3] = http://www.zdnet.de/it_business_strategische_planung_was_sich_durch_das_neue_bundesdatenschutzgesetz_aendert_story-11000015-41502020-1.htm
[4] = http://www.zdnet.de/galerie/41530153/so-sehen-europas-firmen-cloud-computing.htm#sid=41535971
[5] = http://www.symantec.de
[6] = http://www.gartner.com
[7] = http://www.trendmicro.de
[8] = http://www.zdnet.de/galerie/41005206/cloud-computing-in-deutschland.htm#sid=41535971
Copyright (c) 2012 NetMediaInteractive GmbH. Alle Rechte vorbehalten.