Der sichere Pfad in die Cloud Risiken der Auslagerung in die Public Cloud von vornherein minimieren

Autor / Redakteur: Dr. Thomas Störtkuhl, (ISC)²-zertifizierter CISSP / Stephan Augsten

Viele Unternehmen und Öffentliche Verwaltungen marschieren mit großen Schritten in Richtung Cloud Computing, da es Möglichkeiten bietet, kostengünstig und flexibel IT-Infrastrukturen und Anwendungen zu betreiben. Den Chancen stehen aber auch Risiken gegenüber. Dabei kommt es besonders darauf an, einen klar definierten Prozess zur Migration in die Cloud zu verfolgen.

Firma zum Thema

Die Migration in die Public Cloud ist ein kritischer Prozess, der genaustens geplant werden sollte.
Die Migration in die Public Cloud ist ein kritischer Prozess, der genaustens geplant werden sollte.
( Archiv: Vogel Business Media )

Dieser Artikel beschreibt einen Prozess zur sicheren Migration in eine Public Cloud. Das vorgestellte funktionsunabhängige Vorgehen soll eine Kontrolle der Risiken und Compliance-Anforderungen und damit ein angemessenes Sicherheitsniveau gewährleisten.

Ein weiteres Thema stellen die besonderen Risiken dar, die mit dem Outsourcing in eine Public Cloud verbunden sind. In diesem Zusammenhang wird Cloud Computing als ein Outsourcing-Vorhaben mit folgenden Besonderheiten betrachtet:

  • die Provider und die „Standorte“ der Cloud sind anonym weltweit verteilt
  • die Ressourcen können On-Demand sofort zur Verfügung gestellt werden

Chancen durch Cloud Computing

Cloud Computing steht für kostengünstige und flexible Services, die sofort verfügbar sind. Neue Geschäftsprozesse können so flexibel gestaltet und zügig eingeführt werden. Die Cloud stellt dafür zahlreiche Applikationen und Ressourcen zu Verfügung.

Dabei werden die Daten der Geschäftsprozesse weltweit erreichbar – und das auf denkbar einfache Weise: der Benutzer kann mit seinem „Mobile Device“ über die von der Cloud zur Verfügung gestellten Schnittstellen jeder Zeit problemlos auf die gewünschten Informationen und Applikationen zugreifen.

Gleichzeitig bieten unterschiedliche Abrechnungsmodelle große Einsparmöglichkeiten. Neben der Wartung von Hard- und Software, sowie dem IT Service Continuity Management, können mittlerweile auch erste Sicherheitsfunktionalitäten wie das Content Filtering als Cloud Services genutzt werden.

weiter mit: Risiken durch Cloud Computing

Risiken durch Cloud Computing

Die Betrachtung der Risiken beschränkt sich hier auf das Thema Public Cloud. Dieser Outsourcing-Fall schafft folgendes Risikoszenario:

Missbrauch der Cloud: Eine Public Cloud kann in vielfältiger Weise missbraucht werden: Server der Cloud ließen sich beispielsweise in ein Botnetz eingliedern, die Rechenleistung der Clouds erleichtert das Hacken von Passwörtern oder Denial-of-Service-Angriffe verwendet, Malware könnte in der Cloud gespeichert werden etc. All diese Risiken betreffen zunächst den Betreiber einer Public Cloud, aber indirekt natürlich auch seine Nutzer.

Unsichere Schnittstellen: Die Schnittstellen der Cloud müssen ausreichend abgesichert werden, um Risiken wie die unverschlüsselte Übertragung sensibler Daten und Credentials (Passwörter, kryptographische Schlüssel) oder unautorisierte Zugriffe auf Daten und Applikationen zu verhindern.

Interne Angriffe: Eine Lokalisierung der Daten ist auf einfache Weise insbesondere für den Dateneigentümer nicht mehr möglich. Die Gefahr liegt darin, dass aufgrund mangelnder Transparenz nicht klar ist, in welchen Ländern und Rechenzentren sowie auf welchen Servern und mit welcher Software Daten gespeichert und verarbeitet werden. Aufgrund des Distributed Computing kann eine angemessene Zugriffskontrolle auf Daten nur schwer realisiert werden. Generell ist es eine große Herausforderung, kulturübergreifend bei unterschiedlicher Rechtsprechung Zugriffskontrollen durchgängig durchzusetzen. All diese Umstände führen dazu, dass interne Angriffe stärker als Risiko berücksichtigt werden müssen.

Löschung von Daten nicht möglich: Grundsätzlich ist zu berücksichtigen, dass Applikationen zusammen mit ihren Daten beliebig zwischen Servern und Rechenzentren verschoben werden können. Damit ergibt sich das Problem, dass Daten, die auf verschiedenen Festplatten, in verteilten Archiven und Backups gespeichert sind, so gelöscht werden können, dass keine Möglichkeit mehr besteht sie wieder zu generieren. Zu beachten ist insbesondere, dass nach Beendigung des Vertragsverhältnisses die verarbeiteten Daten und alle Zwischenergebnisse in der Public Cloud gelöscht werden müssen oder auf sichere Weise auf andere Systeme übertragen werden.

Verletzung von Datenschutzgesetzen: Da nicht von vornherein klar ist, in welchen Ländern und Rechenzentren oder auf welchen Servern und mit welcher Software die Daten gespeichert und verarbeitet werden und auch die Datenflüsse prinzipiell unbekannt sind, besteht eine erhöhte Gefahr der Verletzung von Datenschutzvorschriften.

Intransparenz durch Subunternehmer: Ein weiteres Problem stellt die Auftragsweitergabe an Subunternehmer dar. Der Provider kann ja nach Belieben für gewisse Leistungen Subunternehmer verpflichten. In einer Public Cloud bleibt auch diese Komplexität dem Benutzer vollkommen verborgen, so dass nicht bekannt ist, auf welchen weltweit verteilten Ressourcen sich die Daten des Benutzers befinden.

Insolvenz des Providers: Die Insolvenz eines Providers bedeutet nicht, dass alle Rechenzentren, die der Provider für Cloud Computing verwendet hat, ebenfalls insolvent sind. Rechenzentren werden zudem bei Insolvenz mit großer Wahrscheinlichkeit an andere Provider verkauft. In all diesen Fällen ist nicht klar, wie die Daten vor unberechtigtem Zugriff geschützt werden.

Beschlagnahmung von Hardware: Eine Beschlagnahmung von Hardware kann in allen Ländern erfolgen, in denen der Provider Computing-Ressourcen betreibt. Diese kann aus vielen Gründen erfolgen, die nicht durch den Auftraggeber verantwortet oder beeinflusst werden können. Dabei können sich Daten des Auftraggebers auf den beschlagnahmten Servern befinden. Zudem können Logdaten auf Servern und Routern Schlussfolgerungen über Geschäftstätigkeiten ermöglichen auch wenn keine sonstigen Geschäftsdaten vorliegen.

Handel mit Ressourcen wird denkbar: Zurzeit ist noch nicht ersichtlich, inwieweit Provider von Cloud Computing einen Handel mit ihren Ressourcen untereinander aufbauen werden. Eine „Ressourcenbörse“ ist aber nicht völlig ausgeschlossen. Die Konsequenzen, die sich daraus für die Sicherheit ergeben, können im Moment noch nicht beurteilt werden.

Erpressungsgefahr: Die Gefahr von Erpressungsversuchen steigt, da der Personenkreis, der die Ressourcen der Cloud administriert, unüberschaubar groß ist. Zu beachten ist hier, dass das eingesetzte Personal im Allgemeinen über unterschiedliches Ausbildungsniveau und Sicherheitsbewusstsein verfügt. Auch sind die Motivationslagen der Mitarbeiter in vielen Ländern nicht kalkulierbar.

weiter mit: Sicherheit in der Cloud umsetzen

Sicherheit in der Cloud umsetzen

Im Folgenden konzentrieren wir uns nicht auf die gängigen Maßnahmen wie die Absicherung der Rechenzentren, Einsatz von Firewalls etc. Vielmehr sollen jene Maßnahmen aufgezeigt werden, mit denen sich die genannten Risiken reduzieren lassen. Diese Maßnahmen betreffen besonders die Bereiche:

  • Verschlüsselung und Integrität
  • Authentisierung
  • Identity Management
  • Vertragsgestaltung und Compliance (Datenschutz)
  • Organisation

Risiken bei der Migration in die Cloud lassen sich mithilfe einer Vielzahl von technischen und organisatorischen Maßnahmen reduzieren. Hierzu zählen vertragliche Regelungen, die Themen wie Notfälle, Datenschutz, Audit-Rechte und Vertragsende berücksichtigen. Ergänzend muss in SLAs (Service Level Agreements) festgeschrieben werden, mit welcher Güte (Überprüfbar mit messbaren Kennzahlen) die Cloud Services zu erbringen sind.

Bei den technischen Maßnahmen ist weiterhin die Verschlüsselung der Daten in Datenbanken und der Kommunikation zu berücksichtigen. Hierzu zählen unter anderem die Ver- und Entschlüsselung von vertraulichen Daten nur am Client, XML Encryption und die zertifikatsbasierte Endpunkt-zu-Endpunkt-Verschlüsselung. Hier ein paar Beispielmaßnahmen:

  • Einsatz digitaler Signaturen zum Schutz der Daten und Dokumente (XML Signature)
  • verbesserte Authentisierung mittels 2-Faktor-Authentifizierung, zum Beispiel mit dem Einsatz von Smartcard und digitalen Zertifikaten
  • ein ausgereiftes Identity Management, das es erlaubt elektronische Identitäten gesichert zu transportieren (Federation)
  • Schutz von Dokumenten über Rights Mangement Systeme
  • Entwicklung von Sicherheitskonzepten, die auch den Notfall und die Migration in die Cloud und aus der Cloud berücksichtigen

Um die notwendigen Maßnahmen zu erkennen, zu koordinieren und letztendlich umzusetzen, sollte bei der Migration in eine Public Cloud ein definiertes Verfahren durchlaufen und nicht verlassen werden. Dieser sogenannte „Sichere Pfad“ ist in Abbildung 1 der Bildergalerie dargestellt.

Dieses Vorgehen sollte mindestens folgende Aspekte beinhalten:

  • Das Management hat eine Strategie für Cloud Computing entwickelt, in der insbesondere definiert ist, welche Geschäftsbereiche oder -prozesse in eine Public Cloud ausgelagert werden dürfen und sollen und welche nicht. Zudem wird erläutert, welche allgemeinen Risiken abzusichern sind oder auf keinen Fall eingegangen werden dürfen.
  • Das Vorgehen definiert klar die Phasen Planung, Vertragsgestaltung, Migration und Betrieb sowie alle notwendigen Verantwortlichkeiten.
  • Alle Verantwortlichen wie Management, Rechtsabteilung, Betriebsrat, Datenschutzbeauftragter, Sicherheitsbeauftragter und Fachabteilungen werden von Anfang an einbezogen.
  • Für die Migration in die Public Cloud ist ein Sicherheitsbeauftragter benannt, der auch während des Betriebs der Cloud zuständig bleibt.

weiter mit: Von der Planungs- zur Vertragsphase

Planungsphase

Zunächst gilt es, für die Migration in die Public Cloud auf grober Ebene eine erste „Sicherheitsanalyse“ durchzuführen. Hierzu werden erste Varianten für die Migration in die Public Cloud entwickelt, die sich zum Beispiel bzgl. des Service Modells (SaaS, PaaS oder IaaS – also Software, Platform, Infrastructure as a Service) unterscheiden können.

Die in Frage kommenden Varianten werden einer Schutzbedarfs- und Risikoanalyse unterzogen. In diese Analyse fließen auch organisatorische und gesetzliche Anforderungen wie Datenschutzrichtlinien ein. Aus den gewonnenen Informationen werden Sicherheitsanforderungen abgeleitet, die zu erfüllen sind.

Aufgrund der analysierten Risiken und umzusetzenden Maßnahmen sowie den damit verbundenen Kosten wird eine Entscheidung getroffen. Die ausgewählte Variante wird im Arbeitsschritt „Auswahl des Dienstleisters“ ausgeschrieben. Letztlich sollte man den Dienstleiter auswählen, der die ermittelten Sicherheitsanforderungen möglichst umfassen und kostengünstig erfüllen kann.

Vertragsphase

Ziel des Arbeitsschrittes „Vertragsgestaltung“ ist es, in Verträgen und/oder Service Level Agreements (SLA) eine kontrollierbare Leistungsbeschreibung zu vereinbaren. Besondere Schwierigkeiten bei der Vertragsgestaltung bereiten u.a. folgende Punkte:

Einräumung von Auditrechten: Im Allgemeinen wird der Cloud-Anbieter seinen Kunden keine Auditrechte in seinen Rechenzentren einräumen. Dies wäre für den Cloud-Anbieter einerseits viel zu aufwändig, andererseits würde das Sicherheitsniveau sinken, wenn hunderte Fremd-Auditoren der Kunden die Rechenzentren prüfen. Deshalb ist es sinnvoll, sich Auditrechte auf Dokumente, Beschreibungen und Protokolle einräumen zu lassen, um z.B. den korrekten Ablauf von Prozessen nachvollziehen zu können. Zudem können Zertifizierungen gefordert werden, die einen Mindeststandard bzgl. Informationssicherheit gewährleisten (z.B. die Zertifizierung nach ISO 27001).

Kennzahlen: Gerade die Definition von messbaren Kennzahlen für Vertraulichkeit und Integrität ist keine einfache Aufgabe. In Bezug auf die Verfügbarkeit und Performance werden bereits sinnvolle Kennzahlen durch die Cloud-Anbieter angegeben.

Schnittstellendefinition: Besonders wichtig sind die Schnittstellen für den korrekten Betrieb der ausgelagerten Funktion, zum Beispiel bzgl. Security Monitoring, Notfallmanagement und Incident Handling. Hier müssen Prozesse mit klaren Verantwortlichkeiten, Eskalationsstufen und Kommunikationswegen zwischen dem Kunden und dem Cloud-Anbieter definiert werden.

Regelungen für die Beendigung der Auslagerung in die Cloud: Auch Vereinbarungen für die Beendigung der Auslagerung in die Public Cloud sind zu treffen. Insbesondere muss geregelt werden, wie Daten zu übergeben sind und welche Daten so gelöscht werden, dass sie nicht mehr wiederhergestellt werden können.

weiter mit: Von der Migrations- zur Betriebsphase

Migrationsphase

Nach Abschluss des Vertrages beginnt die eigentliche Migration, also die schrittweise und geplante Auslagerung der Funktion. Die Umsetzung der Auslagerung in die Public Cloud beginnt mit der Erstellung von Sicherheitskonzepten, die zusammen mit dem Dienstleister entwickelt werden. Diese stellen die Sicherheitsarchitektur dar, benennen Risiken und leiten daraus die umzusetzenden Maßnahmen ab.

Die Sicherheitskonzepte berücksichtigen dabei die Migrationsphase selbst, da auch während der Migration zu jeder Zeit ein ausreichendes Sicherheitsniveau erhalten bleiben muss. Die Migration erfolgt dann gemäß den Vorgaben der mit dem Dienstleister abgestimmten Sicherheitskonzepte, in denen insbesondere die Verantwortlichkeiten klar definiert werden müssen. Es ist darüber hinaus erforderlich die Sicherheitskonzepte gemäß der Projektentwicklung laufend anzupassen.

Betriebsphase

Im Arbeitsschritt „Aufrechterhaltung des sicheren Betriebs“ werden die ausgelagerten Funktionen gemäß Vertrag, Sicherheitskonzepten und Sicherheitsanforderungen des Kunden durch den Cloud-Anbieter betrieben. Wichtig sind jetzt funktionierende Prozesse und Schnittstellen. Insbesondere dient das Security Monitoring dazu, die Erfüllung der vertraglich vereinbarten Leistungen nachweisen, kontinuierlich verbessern und überprüfen zu können.

Mit dem Arbeitsschritt „Sichere Beendigung der Auslagerung“ wird eine geregelte Beendigung der Auslagerung durchgeführt. Auch die Beendigung der Auslagerung muss nach den vertraglich vereinbarten Regelungen erfolgen. Der Dienstleister muss nachweisbar Daten auf seinen Systemen so löschen, dass sie auch mit ausgefeilten Methoden und Technologien nicht wieder hergestellt werden können. Hierzu zählen nicht nur Daten des Geschäftsprozesses, sondern auch betriebliche Daten wie Protokolldaten von Systemen und Applikationen.

Fazit

Die Migration von Funktionen in eine Public Cloud ist wie ein Outsourcing-Vorhaben, beinhaltet jedoch einige Besonderheiten, die zusätzlich berücksichtigt werden müssen. Die Vorteile der Cloud sind u.a. Flexibilität, Skalierbarkeit, Service-basierte Abrechnungsmodelle etc. Diese tragen letztendlich dazu bei Kosten zu reduzieren und eine höhere Flexibilität zu erreichen.

Es darf nicht ausgeblendet werden, dass all dem Potenzial auch Risiken gegenüberstehen – vor allem nicht, weil diese mit Hilfe eines definierten sicheren Verfahrens für die Migration beherrschbar sind. Mit einem solchen Verfahren bleibt gewährleistet, dass Risiken rechtzeitig erkannt und kontrolliert werden können.

Dr. Thomas Störtkuhl

CISSP

Dr. Thomas Störtkuhl ist (ISC)²-zertifizierter CISSP und Mitglied der Geschäftsleitung der Secaron AG.

(ID:2052307)