Cloud Computing
Sicherheitsrisiko bleibt beim Anwender
Wer auf Cloud setzt, müsse sich im Klaren darüber sein, dass die Verantwortung über die Daten in der Regel bei ihm bleibe, mahnen Streitberger und Ruppel. Deshalb sollte es in Anwenderfirmen genaue Richtlinien geben, welche Daten in die Wolke übertragen werden dürfen und welche nicht.
Vertraulichkeit, Integrität und Verfügbarkeit beachten
Sie veranschaulichen das Grundproblem des Cloud Computing: Daten und Ressourcen können theoretisch auf dem ganzen Globus verteilt sein. Deutlich wird das beim Blick auf den Aspekt Vertraulichkeit: Sie ist dann gewährleistet, wenn nur der Zugriff auf Informationen erhält, der ihn auch haben soll. Bisher haben Unternehmen meist eine Firewall, die eine Sicherheitszone gegen Angriff schützt. In einer Cloud dagegen verteilen sich Daten auf mehrere Systeme an verschiedenen Standorten, die womöglich von verschiedenen Anbietern betrieben werden.
Vertraulichkeit ist eines von sechs sogenannten Schutzzielen in der IT-Sicherheit, die laut der Studie auch bei Cloud Computing betrachtet werden müssen. Als weitere Schutzziele nennt die Studie Integrität, Verfügbarkeit, Authentizität, Zurechenbarkeit und den Schutz der Privatsphäre.
Infrastruktur-Angebote am ehesten sicher
Integrität bedeutet, dass niemand unberechtigt und unbemerkt die zu schützenden Daten verändern kann. Verfügbarkeit bezeichnet die Wahrscheinlichkeit, dass das System funktioniert. Die Anforderung Authentizität muss sicherstellen, dass eine Information sicher einem Sender zugeordnet werden kann. Zurechenbarkeit bedeutet, dass eine Handlung eindeutig einem Akteur zugewiesen werden kann. Beim Schutz der Privatsphäre geht es unter anderem darum, dass ein System nur so viele Daten über seine Nutzer erhebt und speichert, wie unbedingt nötig.
Im Bereich Infastruktur würden diese Schutzziele bisher am ehesten erreicht, urteilen Streitberger und Ruppel. Bei Architektur, Verwaltung und Compliance müssten die Anbieter noch nacharbeiten.