Bericht zur Sicherheit bei Cloud Computing von PCI DSS sorgt für Aufregung

Der Leitfaden des Payment Card Industry Security Standards Council zur Sicherheit beim Cloud-Computing löst gemischte Gefühle unter den Experten aus.

Ein aktueller Bericht über die Erfüllung von Vorgaben zur Sicherheit bei Cloud-Computing hilft in den Augen mancher Experten dabei, zu klären, wie Daten in der Cloud sicher untergebracht werden können. Andere jedoch fürchten, dass er eher verwirrende oder sogar abschreckende Wirkung haben wird.

Der umstrittene Bericht über Sicherheit bei Cloud-Computing stammt vom Security Standards Council der Payment Card Industry (PCI). Kritiker meinen: Er könnte Interessenten abschrecken, die hinsichtlich Compliance in der Cloud ohnehin bereits verwirrt sind. „Cloud-Computing ist eine Form des verteilten Computing, die noch standardisiert werden muss“, heißt es in dem Bericht.

Es gibt keinen Standard, und man bekommt im Prinzip den Eindruck vermittelt, dass die Cloud voller Gefahren steckt.

Chris Steffen, Principal Technical Architect, Kroll Factual Data

In den Augen von Chris Steffen, Principal Technical Architect bei Kroll Factual Data und Micosoft-MVP für Cloud und Rechenzentren-Management, ist der Ton des Berichts von Anfang an viel zu düster: „Es gibt noch keinen Standard, und man bekommt im Prinzip den Eindruck, dass die Cloud voller Gefahren steckt“.

Zudem lege der Bericht nahe, dass es am besten ist, Daten von Kreditkarten-Nutzern ganz von der Cloud fernzuhalten. Solche Aussagen könnten zu großen Ängsten bei unerfahrenen Cloud-Kunden und ihren Auditoren führen, sagt Steffen. Auditoren könnten dadurch versucht sein, übertrieben zu reagieren.

„Wenn Sie einen wirklich sicheren Computer wollen, müssen Sie ihn vom Netz nehmen, alles verschlüsseln, Authentifizierung mit vier Faktoren einrichten – und selbst dann ist er nur so sicher wie die Person, die ihn benutzt“, sagt Steffen. Bei Computer-Sicherheit gehe es stets darum, ein vernünftiges Gleichgewicht zwischen Sicherheit und Nutzbarkeit zu finden.

In dem Bericht sind Tabellen für die Verteilung von Verantwortlichkeiten zwischen Cloud-Kunden und ihren Service-Providern für verschiedene Elemente des PCI Data Security Standard (DSS) enthalten. Doch auch so bleiben Unklarheiten, die für Verwirrung sorgen werden, sagt Carl Brooks, Analyst bei 451 Research in Boston.

So sieht Requirement 9 von PCI DSS vor, dass der physische Zugang zu den Daten von Karten-Inhabern eingeschränkt wird – „das war bei PCI schon im Zeitalter der Dinosaurier so“, sagt Brooks. In dem Bericht heißt es dazu nur, dass der Cloud-Provider für die Erfüllung dieser Anforderung zuständig ist. Jedoch kommt es dafür auch auf den einzelnen Provider an und darauf, wie die Daten auf unterschiedliche Standorte verteilt sind.

„Was bedeutet das in praktischer Hinsicht konkret?“, fragt Brooks, „Wer wird verklagt oder geht ins Gefängnis, wenn Daten von Karten-Inhabern in falsche Hände geraten?“.

Pro+

Premium-Inhalte

Weitere Pro+ Premium-Inhalte und andere Mitglieder-Angebote, finden Sie hier.

Erfahren Sie mehr über Public-Cloud-Infrastruktur

0 Kommentare

Älteste Beiträge 

Passwort vergessen?

Kein Problem! Tragen Sie Ihre E-Mail-Adresse unten ein. Wir werden Ihnen eine E-Mail mit Ihrem Passwort schicken.

Ihr Passwort wurde an die folgende E-Mail-Adresse gesendet::

- GOOGLE-ANZEIGEN

SearchSecurity.de

SearchStorage.de

SearchNetworking.de

SearchEnterpriseSoftware.de

Close