Breakfast Session mit United Security Providers 21.03.2018, 14:42 Uhr

Sicheres Cloud-Computing: Das müssen Unternehmen beachten

Cloud-Computing ist gerade für KMU ein Wagnis. Doch es gibt Massnahmen, um die Gefahren einzudämmen. Welche dies sind verriet FHNW-Professor Hannes Lubich während der Computerworld-Breakfast-Session in Zürich.
«Mit den SLA und AGB wedeln nützt bei einem gröberen Cloud-Ausfall oder beim Bankrott des Cloud-Providers nichts», meint Hannes Lubich von der FHNW.
(Quelle: Luca Diggelmann / NMGZ)
Ist Cloud-Computing sicher? Hannes Lubich, Professor für Informatik an der Hochschule für Technik der Fachhochschule Nordwestschweiz (FHNW) und seit über 30 Jahren im IT-Security-Umfeld unterwegs, beantwortet die Frage klar mit nein, räumt aber im gleichen Atemzug ein, dass dies seine persönliche Meinung sei. «Die ist etwas gefärbt, da ich immer dann gerufen werde, wenn Firmen Probleme haben mit der Cloud».
Die Probleme beginnen laut Lubich, der im Rahmen der Computerworld-Breakfast-Session, die durch United Security Providers ermöglicht wurde, in Zürich sprach, bei der Definition der vom Cloud-Provider zu erbringenden Dienstleistungen. Diese sind meist in Service Level Agreements (SLA) und in den Allgemeinen Geschäftsbedingungen (AGB) definiert. «Haben Sie diese schon je mal ganz durchgelesen und wenn ja, den komplexen Inhalt auch verstanden?» lautet daher die rhetorische Frage des Professors, die er gleich für seine Person verneint. «Das sind typische Write-only-Dokumente, die geschrieben wurden, damit sie da sind und nicht, damit sie gelesen oder gar verstanden werden», meint Lubich und vergleicht SLAs und AGBs mit der Mao-Bibel. «Die wird auch nicht gelesen, sondern nur an Versammlungen geschwenkt.»
Ein Problem sei somit die unterschiedliche Erwartungshaltung zwischen Cloud-Anbieter und -Anwender. Der Provider versuche all zu oft die Einhaltung der SLA in Performance-Messungen zu dokumentieren, um schlussendlich dem Kunden, der wegen eines nicht funktionierenden Services reklamiert, weiss machen zu können, dass er sich im Rahmen der SLA bewege. «Das interessiert mich in diesem Moment als Kunde aber nicht», wirft Lubich ein. «Ich will dann nur, dass die Cloud funktioniert».
Aber auch die Benutzer von Cloud-Diensten begehen laut Lubich oft den Fehler, nach dem Motto «Aus den Augen aus dem Sinn» zu handeln und die Verantwortung über die IT an den Provider zu delegieren. Dies sei schlicht laut Schweizer Obligationenrecht nicht möglich, wendet er ein. Denn die Verantwortung über die Daten bleibe beim Urheber.

Ausgesetzte KMU

Besonders gefährdet in Sachen Cloud-Computing seien KMU, so Lubich. Denn diese verwendeten oft jene Dienste, welche für Privatanwender konzipiert worden seien. Dabei würden oft sehr sensitive Daten in die Cloud transferiert. «Letztens bin ich zu einer mittelgrossen Firma gerufen worden. Die wunderte sich, warum ihr Produkt plötzlich in China für die Hälfe angeboten werde. Kein Wunder, denn die Mitarbeiter hatten heikle Daten zwischen den Abteilungen via Dropbox geteilt», berichtet Lubich. Gerade bei Grossanbietern sieht Lubich daher besonderes Gefahrenpotenzial. Denn auch die Kriminellen wüssten die Skaleneffekte von Diensten wie Dropbox zu nutzen.
Für das KMU endet das Ganze dann meist sehr bitter, wenn nicht ruinös. «Ein KMU hat nur wenige Geschäftsgeheimnisse, aber die sind essentiell», weiss Lubich. Würden die gestohlen, könne nicht auf ein anderes Geschäftsfeld ausgewichen werden, mit fatalen Folgen für das Unternehmen.

Es gibt Vorsichts- und Gegenmassnahmen

Völlig hilflos sind die Cloud-Anwender nicht. Lubich empfiehlt eine Bewertungs-Checkliste anzulegen, auf der wichtige Fragen an den Provider zusammengetragen werden. Zu diesen gehören etwa die Frage nach einem dokumentierten Sicherheitskonzept des Anbieters. Abklären sollte man auch, wie die Kundenseparierung im Rechenzentrum genau erfolge. Gehört die Datenverschlüsselung zum Service, ist ein weiterer Punkt. Werden gelöschte Daten wirklich gelöscht, auch auf Back-ups, sollten Anwender laut Lubich ebenfalls abklären.
Gastgeber und CEO von United Security Providers Michael Liebi
Quelle: NMGZ
Auch bei der Verfügbarkeit müsse man den Anbieter genaustens prüfen. So besässen Cloud-Grössen wie Amazon ein «Vorkaufsrecht» auf die Rechen- und Speicherkapazität des Dienstes, berichtet Lubich. «Das heisst während eines Black Friday oder vor Weihnachten könnte es knapp werden für alle anderen Kunden».
Als Informationsquellen nennt er sodann einen Ratgeber der Cloud Security Alliance sowie den «Anforderungskatalog Cloud Computing C5», der vom deutschen Bundesamt für die Sicherheit in der Informationstechnik (BSI) herausgegeben wurde.
Schliesslich sieht Lubich in der Implementierung von Cloud Access Security Brokers (CASB) eine Möglichkeit, Cloud-Dienste abzusichern. Bei dieser Methode werden die Bedürfnisse und Anforderungen der User abgebildet und in konkrete Anweisungen an den Provider übersetzt. Die CASB nehmen somit eine Art Wächterfunktion ein, die es einer Firma ermöglicht, die Sicherheitsrichtlinien über die Grenzen ihrer eigenen Infrastruktur hinaus durchzusetzen.

Bildergalerie
Breakfast-Session: Sicheres Cloud-Computing




Das könnte Sie auch interessieren