Wer sich über die Sicherheits-Standards der Anbieter von Cloud Computing kundig machen will, auf den wartet eine Menge Arbeit. Diese Erfahrung haben Dr. Werner Streitberger und Angelika Ruppel vom Fraunhofer-Institut für Sichere Informationstechnologie (SIT) in Garching bei München gemacht. Was Firmen wie Amazon oder Google über die Sicherheit ihrer Cloud-Angebote von sich aus preisgeben, ist demnach oft dürftig.
Die Sicherheit der heute verfügbaren Cloud-Dienste umfassend zu bewerten, ist laut der jetzt vom SIT veröffentlichten Studie "Cloud Computing Sicherheit - Schutzziele. Taxonomie. Marktübersicht" deshalb schwierig. Die Fraunhofer-Wissenschaftler haben die Internetseiten der Anbieter durchforstet und deren Whitepaper ausgewertet. Im Visier standen Infrastruktur-Anbieter ebenso wie Anwendungsdienste im Stile von Google Apps.
Wenn es Informationen gibt, sind diese oft zu ungenau, resümiert die Studie. Angaben zu Service Level Agreements (SLA) und zum Schutz der Privatsphäre machen die Anbieter zwar meist. Allerdings sind gerade die SLAs zum Teil ungenau definiert.
Einige Sicherheits-Zertifikate sind schon weit verbreitet. Streitberger und Ruppel nennen den Statement on Auditing Standard 70 Type II Report. Manche Anbieter seien zusätzlich nach ISO/IEC 27001 zertifiziert, der internationalen Norm für Systeme zum Informationssicherheits-Management.
Tiefer zu bohren ist mit den frei verfügbaren Angaben aber offenbar kaum möglich. Die Sicherheitstechnologien in Infrastruktur, Architektur, Verwaltung und Compliance sind der Studie zufolge noch nicht genügend dokumentiert, um die Cloud-Anbieter möglichst genau auf ihre Sicherheitsmaßnahmen überprüfen zu können.
Meist nur standardisierte SLA
Ein direkter Vergleich mehrerer Anbieter erscheint schwierig, weil die Firmen ihre Cloud-Angebote mit ganz unterschiedlichen Sicherheitsmerkmalen ausgestattet haben. Standards sind hier Fehlanzeige. Undurchsichtig ist nach Ansicht der Autoren außerdem die Messung von zeit- und mengenbasierten Werten.
Bisher stellen die Anbieter meist nur standardisierte Service Level Agreements auf, die der Benutzer nicht frei verhandeln kann. Er kann dem ganzen Paket entweder zustimmen oder es ablehnen. Das ist den Wissenschaftlern des Fraunhofer-Instituts zu wenig.
Kleine Firmen können Sicherheit verbessern
Ihrer Ansicht nach bleibt Interessenten für Cloud-Angebote bisher nichts anderes übrig, als den gewählten Anbieter genau nach bestimmten Kriterien zu untersuchen. Gerade für große Firmen sei das unerlässlich. Denn für kleine und mittelgroße Firmen kann der Einsatz von Cloud Computing der Studie zufolge ein höheres Sicherheits-Niveau mit sich bringen. Die Studienautoren argumentieren, diese Firmen könnten selbst oft keine detaillierten Sicherheitsrichtlinien ausarbeiten und durchsetzen. Die Sicherheitsmaßnahmen von Cloud-Anbietern brächten ihnen deshalb Verbesserungen.
Bei den anspruchsvolleren Sicherheitsanforderungen großer Firmen sei das hingegen oft nicht der Fall. Die Studienautoren unterstellen, die Anbieter wollten ihre Dienste möglichst günstig zur Verfügung stellen und neigten daher eher dazu, einzelne Sicherheitsrichtlinien außen vor zu lassen.
Wer auf Cloud setzt, müsse sich im Klaren darüber sein, dass die Verantwortung über die Daten in der Regel bei ihm bleibe, mahnen Streitberger und Ruppel. Deshalb sollte es in Anwenderfirmen genaue Richtlinien geben, welche Daten in die Wolke übertragen werden dürfen und welche nicht.
Vertraulichkeit, Integrität und Verfügbarkeit beachten
Sie veranschaulichen das Grundproblem des Cloud Computing: Daten und Ressourcen können theoretisch auf dem ganzen Globus verteilt sein. Deutlich wird das beim Blick auf den Aspekt Vertraulichkeit: Sie ist dann gewährleistet, wenn nur der Zugriff auf Informationen erhält, der ihn auch haben soll. Bisher haben Unternehmen meist eine Firewall, die eine Sicherheitszone gegen Angriff schützt. In einer Cloud dagegen verteilen sich Daten auf mehrere Systeme an verschiedenen Standorten, die womöglich von verschiedenen Anbietern betrieben werden.
Vertraulichkeit ist eines von sechs sogenannten Schutzzielen in der IT-Sicherheit, die laut der Studie auch bei Cloud Computing betrachtet werden müssen. Als weitere Schutzziele nennt die Studie Integrität, Verfügbarkeit, Authentizität, Zurechenbarkeit und den Schutz der Privatsphäre.
Infrastruktur-Angebote am ehesten sicher
Integrität bedeutet, dass niemand unberechtigt und unbemerkt die zu schützenden Daten verändern kann. Verfügbarkeit bezeichnet die Wahrscheinlichkeit, dass das System funktioniert. Die Anforderung Authentizität muss sicherstellen, dass eine Information sicher einem Sender zugeordnet werden kann. Zurechenbarkeit bedeutet, dass eine Handlung eindeutig einem Akteur zugewiesen werden kann. Beim Schutz der Privatsphäre geht es unter anderem darum, dass ein System nur so viele Daten über seine Nutzer erhebt und speichert, wie unbedingt nötig.
Im Bereich Infastruktur würden diese Schutzziele bisher am ehesten erreicht, urteilen Streitberger und Ruppel. Bei Architektur, Verwaltung und Compliance müssten die Anbieter noch nacharbeiten.