Executives der Anwenderunternehmen stellen unverändert die Sicherheit von Cloud-Services in Frage, obwohl vermehrt massive Datensicherheits-Verletzungen in On-Premise Anwendersystemen auftreten, während – nach bestem Wissen – nicht ein SaaS-Anbieter bisher signifikante Datensicherheitsprobleme oder Datenverlust gemeldet hat oder melden musste.

Massive Datensicherheitsverletzungen in und unter Kontrolle der Unternehmen werden zu 60% von internen Mitarbeitern und zu 40% durch externe Angriffe (21% in 1997) verursacht.

Alle von Saugatuck in den letzten drei Jahren durchgeführten Umfragen zeigen, dass Security, später Data Security und Privacy (ab 2009) zu den am häufigsten genannten Bedenken (+50%) zählen. Die Umfragen zeigen zudem, dass diese Bedenken über die Zeitspanne konstant und mit unveränderter Bedeutung genannt werden.

These: Ist die Diskussion um Cloud-Security ein Paradoxum?
„Cloud Security is better than what you have today“ Scott Campbell, Gartner Inc.

Cloud Services sind sicherer als On-Premise Computing und die Annahme, Kontrolle über die eigene IT sei die Sicherheit schlechthin, ist mehr als anzuzweifeln.

70% der Unternehmen in Deutschland haben ihre Lohn-/Gehaltsabrechnung seit Jahrzehnten an einen Dienstleister ausgesourced. Das Gleiche trifft in ähnlicher Größenordnung auf Finanzbuchhaltungen zu. CRM als Cloud Service erreicht mittlerweile weltweit signifikante Anwenderzahlen. Es sind keine Bedenken hinsichtlich Sicherheit bekannt, obwohl es sich um elementar unternehmensinterne Informationen und Daten handelt. Social Computing (Facebook, etc.) bildet mittlerweile für hunderte von Millionen Nutzer eine Plattform, um persönliche Daten öffentlich zu machen.

Datenschutz und Sicherheit in der Cloud
IT Executives, die planen, Cloud Services einzusetzen, sollten die Anbieter pro-aktiv über Datensicherheit anfragen und dabei sowohl nach traditionellen wie nach Multi-Instance Aspekten fragen. Dies sind legitime Bedenken und Ansprüche der Anwender an den Anbieter und gleichzeitig auch Voraussetzungen für die Seriosität wie Wettbewerbsfähigkeit der Anbieter.

Cloud IT ist in vielen Fällen für Anwender Teil einer Lösung. Cloud IT wird häufig mit internen Systemen verbunden oder interagiert mit diesen. Es ist daher erforderlich, Cloud-Anbieter dahingehend zu befragen und Auskunft zu erhalten, in welcher Weise Security-Architekturen und -Praktiken Einfluss in der Verbindung zu On-Premise Systemen nehmen könnten. Anbieter müssen in Multi-Tenant und virtualisierter SaaS/Cloud-Plattform- Umgebungen eindeutige und unterstützende Darlegungen, bezogen auf Data-Partitioning Technologien und Praktiken, offenlegen (ISO 15408). Für Anbieter von Cloud Services wird Security ein Verkaufsargument, weniger eine Herausforderung.

Fachliche Anforderungen an Cloud-Geschäftslösungsanbieter
Haftungsfragen, vertragliche Abmachungen, Laufzeiten und Konditionen, der SLAs (Service Level Agreements), sind ohne Zweifel der umfangreichste wie schwierigste Teil der Cloud. In der Regel und im eigentlichen Sinn sind sie aber nicht sicherheitsrelevant.

Wenn Datensicherheitsaspekte betroffen sind, ergeben sich folgende Fragen:

• Wie sind Daten erreichbar, wiederherzustellen, wie findet Sicherung der Daten statt ? (Disaster Recovery eingeschlossen)
• Wie und unter welchen Umständen oder Bedingungen werden bei Vertragsende Daten an den Nutzer übergeben?

Physikalische Sicherheit des oder der Rechenzentren:

• Sind die Rechenzentren uneingeschränkt, 24h x 7 Tage – auch über Kameras – gesichert?
• Ist der Zugang über biometrische Zugangskontrolle und nach Mehr-Personen-Prinzip gesichert?

Benutzer-Identifikation und -Schutz:

• Existieren Richtlinien zu den folgenden Verfahren:
  Passwortrichtlinien,
  Zugriffs-beschränkungen,
  Anmeldeprotokollierung,
  Datenzugriffsmodell,
  Feldebenen-Zugriffskontrolle.

• Ist sichergestellt, dass der Provider, bzw. sein Personal keinen Zugang zu Benutzerpasswörter oder Berechtigungen des Anwenders hat, oder diese einsehen kann?

Applikations-Sicherheit:

• Ist gewährleistet, dass alle Passwörter verschlüsselt sind und sicheres Session Key Management und Multi-Tenant Datenzugriffskontrolle bestehen?
• Werden Sicherheitsverstöße überwacht?

Transaktion im Internet:

• Ist 128-bit SSL Verschlüsselung für jede Transaktion gewährleistet und liegen Verisign-Zertifikate vor?

Firewall:

• Sind ständig überwachte Perimeter Firewalls, Intrusion Detection- und proaktives Log-File-Monitoring gewährleistet?
• Werden die folgenden Verfahren angewandt?
  Intrusion Detection und Security Event Management,
  Monitoring (erfolgreiche/fehlgeschlagene Logins, SU-Änderungen, etc.),
  Ständiges Perimeter Monitoring,
  Third Party Monitoring von Domain-Namen und SSL-Zertifikaten.

• Ist bei Speicherung von personenbezogenen Daten außerhalb der Grenzen des Europäischen Wirtschaftsraumes ein angemessenes Schutzniveau gewährleistet?
• Ist es gewährleistet, dass die zur Nutzung einer Anwendung Berechtigten ausschließlich auf die ihrer Zugriffsberechtigung unterliegenden Daten zugreifen können und dass die personenbezogenen Daten bei der Verarbeitung, Nutzung und nach Speicherung nicht unbefugt gelesen, kopiert, verändert oder entfernt werden können?
• Ist es gewährleistet, dass nachträglich überprüft und festgestellt werden kann, ob und von wem personenbezogenen Daten in Anwendungs-Systeme eingegeben, verändert oder entfernt worden sind?
• Ist es gewährleistet, dass zu unterschiedlichen Zwecken erhobene personenbe-ogene Daten getrennt verarbeitet werden können?

Zusammenfassung
Zusammenfassend, Cloud IT ist unaufhaltsam und für Agilität und Wettbewerbsfähigkeit ohne Alternative. Kluge Unternehmen sehen das Management und den Umgang mit den Risiken der Cloud als Herausforderung an, nicht aber als Hemmnis, Cloud IT zum Nutzen des Unternehmens einzusetzen.