Startseite > Software & Services > Sicherheitslösungen für Cloud-Computing erst am Anfang

Einsatz von Standards wichtig

Sicherheitslösungen für Cloud-Computing erst am Anfang

8. September 2009, 15:18 Uhr | Werner Veith

Martin Kuppinger ist Mitbegründer der Unternehmensberatung Kuppinger Cole.

Mit dem Cloud-Computing treten auch neue Herausforderungen bei der Sicherheit auf. Eine große Rolle spielt hier die Auswahl des Providers. Bei Identity- und Access-Management (IAM) und Cloud-Governance gibt es nur teilweise oder noch keine verwendbaren Standards.

Über Cloud-Computing lässt sich sehr einfach, weitere Rechenkapazität beschaffen. Zwar gibt es schön länger Konzepte wie Outsourcing, Software-as-a-Service oder Managed-Services. Für Martin Kuppinger bei Unternehmensberatung Kuppinger Cole müssen Cloud-Strategien aber mehr sein als taktische Überlegungen. Er fordert, dass sich IT-Services entsprechend den vorgegebenen Rahmenbedingungen wie Sicherheitsregeln flexibel von internen oder externen Providern ausführen lassen. Unter dem Thema »Cloud Computing Security« sieht er vor allem drei Problembereiche: Die Provider, Identity- und Access-Management (IAM) sowie Governance.

Sobald ein Unternehmen sensible Informationen auslagert, wie es bei Cloud-Computing passiert, muss der Provider für deren Schutz garantieren können. Noch schwieriger wird es bei personenbezogenen Daten. Hier müssen auch datenschutzrechtliche Bestimmungen eingehalten werden. Kuppinger bemängelt bei der Sicherheit beispielsweise, dass bei einer Untersuchung von Backup-Providern lediglich einer von vier eindeutig definierte SLAs angeboten habe.

Eine besondere Rolle spielt es, wo ein Provider die Daten zur Verarbeitung speichert. So weist Kuppinger etwa auf Unterschiede zwischen amerikanischen und europäischen Vorgaben beim Datenschutz hin. Aber auch wenn ein Unternehmen wisse, wo die Server ständen, reiche dies noch nicht. So könne es sein, dass der Provider Services wie für Backup von anderen für Spitzenzeiten zukaufe. Deren Rechenzentren könnten aber auch an ganz anderen Stellen stehen.

Wie für jede Applikation beziehungsweise Service muss ein Unternehmen kontrollieren beziehungsweise festlegen: Wer darf diese wie nutzen? Es geht um die Verwaltung der Benutzer und deren Zugriffsrechte. Bietet der Provider etwa nur ein proprietäres Web-Interface an, so müssen Anwender dort lokal verwaltet werden. Eine Synchronisation mit den internen Unternehmensdaten entfällt. So etwas führt bei einer großen Anzahl von Nutzern zu einem erheblichen Aufwand.