Umfrage: Vertrauen ist bei Cloud-Diensten ein wichtiges Thema

Das wichtigste Kapitel der Cloud-Anbieter ist das Vertrauen, das Kunden in sie setzen. Die haben aber mehrheitlich Bedenken.

Vertrauen ist ein bedeutendes Problem für die immer noch junge Branche der Cloud-Dienstanbieter. Zwar sind die Vorteile des Outsourcing von teurem Daten-Storage an Anbieter von Managed Services inzwischen den meisten potenziellen Kunden bekannt. Doch nagende Sicherheitsbedenken führen dazu, dass viele den Schritt in die Cloud weiterhin nicht wagen.

So zeigt eine aktuelle Befragung von 387 Teilnehmern zweier Web-Seminare über Cloud-Sicherheit, durchgeführt vom Datenbank-Sicherheitsanbieter GreenSQL: 80 Prozent der Befragten fürchten bei einem Umzug in die Cloud immer noch, dass dort Sicherheit und regulatorische Compliance nicht ausreichend gewährleistet sind, und sie haben Bedenken, die Kontrolle über sensible Daten abzugeben.

Mangelndes Vertrauen in die Cloud

Die GreenSQL-Umfrage konzentrierte sich auf Leitthema: „Was ist Ihre größte Sorge in Bezug auf Sicherheit, wenn Sie Ihre Datenbank in die Cloud verlagern?“. 31 Prozent der Teilnehmer sagten dazu, dass sie schlicht nicht genügend Vertrauen in das aktuell von Cloud-Storagediensten gebotene Sicherheitsniveau haben. Das ist nachvollziehbar: Wer in die Cloud gehen will, muss darauf vertrauen, dass der Provider in seiner riesigen Netzwerk-Plattform, auf die mehrere Kunden gleichzeitig zugreifen, eine wirksame Trennung aufrechterhält.

„Wenn Ihre Unternehmenssysteme von einem anderen Unternehmen genutzt werden sollten, das Sie nicht einmal kennen und bei dem Sie nicht wissen, wofür es Ihre Hardware einsetzen will, würden Sie dann Sicherheit an zweite Stelle stellen?“, fragt rhetorisch David Maman, CTO von GreenSQL. „Die unschöne Wahrheit: Als Cloud-Kunde teilen Sie sich die meiste Zeit über Hardware und Netzwerke mit anderen, also muss Sicherheit ganz vorne stehen.“

Die Herausforderung für Anbieter von Cloud-Storage wird noch an anderer Stelle der Befragung deutlich: 22 Prozent der Teilnehmer zeigten anhaltende Sorgen über den wahrgenommenen Verlust an Kontrolle über sensible Daten, wenn sich ihre Datenbank in einer Cloud-Umgebung befindet.

Dazu Maman: „Die Informationen, die Sie speichern, sind das Herz Ihres Geschäfts – Ihre Kunden-Daten und Finanzinformationen über Ihr Unternehmen. Die meiste Zeit über befinden sich diese Informationen innerhalb einer Datenbank. Wenn Information in Ihrer Branche die eigentliche Währung ist, dann ist die Datenbank der Safe für diese Währung. Aus diesem Grund müssen Sie sicherstellen, dass die Cloud-Dienstanbieter alles für ihren Schutz tun, was möglich ist.“

Hinzu kommt, wie Maman erklärt: Der Cloud-Provider übernimmt zwar Verwaltung und Überwachung Ihrer Daten, doch die Sicherheit Ihrer Datenbank in der Cloud liegt nicht unbedingt in seiner alleinigen Verantwortung. Organisationen müssen selbst einen proaktiven Ansatz für den Schutz sensibler Daten entwickeln. Enthalten sollte er unter anderem Monitoring und effektive Richtlinien und Verfahren für die Zugangskontrolle.

„Wenn Sie Ihre eigene Datenbank-Anwendung in der Cloud installieren oder Database-as-a-Service wie bei Microsoft SQL Azure nutzen, müssen Sie trotzdem die Kontrolle über Ihre Informationen übernehmen. Sie müssen also eine Datenbank-Firewall einrichten“, so Maman weiter. Man müsse eine Trennung von Aufgaben erzwingen, ebenso eine Überwachung der Datenbank-Aktivitäten, und jegliche sensiblen Informationen verschleiern.

Ein weiteres schwieriges Thema für die Branche der Cloud-Dienstleister sind die Backup-Mechanismen und die Frage, wie genau in der Cloud gespeicherte Informationen vor Missbrauch oder Verlust geschützt sind. Kann ein Kunde wirklich sicher sein, dass Backups auf einem Band oder anderen Medium gespeichert werden, das ausschließlich für ihn selbst verwendet wird?

„Die Frage kann ich Ihnen leicht beantworten: Nein.“, sagt dazu Maman. „Ihre Backup-Informationen werden zusammen mit den Daten von Tausenden anderen Kunden gespeichert, auf einem beliebigen Medium, das billig genug und verfügbar ist. Natürlich können Sie auch nicht wissen, wer auf diese Informationen zugreifen kann und wann.“

Anbieter müssen für Vertrauen sorgen

Rafal Los, leitender Sicherheitsstratege bei HP Software und ein anerkannter Experte für Cloud-Sicherheit, sieht immerhin Möglichkeiten für Cloud-basierte Storage-Anbieter, das Vertrauen in ihre Dienste zu stärken. Hilfreich dafür seien ständige vertrauensbildende Maßnahmen wie aktives Sicherheits-Monitoring sowie regelmäßige Berichte über den aktuellen Status und die Einhaltung geltender Regulierungsvorgaben.

„Die Kunden wollen nicht nur alte Compliance-Berichte, Schaubilder über das Patch-Management oder Monate alte Ergebnisse von Penetrationstests. Sie wollen sehen, dass Ihre Umgebung genau in diesem Moment gesund und sicher ist“, sagt Los. System-Sicherheit sei so eng mit System-Gesundheit verbunden, dass beides integriert werden müsse. Möglich sei das etwa mit der HP-Plattform OpsAnalytics, die Echtzeit-Analysen der Performance und umfassende Log-Analysen vereint. Los: „Damit erhält man die Fähigkeit, reale Angriffe zu erkennen, ohne dass es bekannte Muster dafür gibt – also „das Unbekannte zu finden“, wie es manchmal formuliert wird“.

Für Los braucht es für Sicherheitsnachweise mehr als nur ein Compliance-Dashboard: Der gesamte System-Status müsse einsehbar gemacht werden. Um Vertrauen bei den Kunden aufzubauen, müssten Cloud-Anbieter deshalb nicht nur behaupten, dass sie sicher arbeiten. Sie sollten beweisen, dass sie Ihre dynamische Umgebung verstehen und dass sie auf Abweichungen vom Normalzustand schnell reagieren können, um die Daten ihrer Kunden und die Integrität des Dienstes zu schützen.

Kunden müssen Behauptungen überprüfen

Nach Los' Rat sollten Organisationen, die über den Schritt in die Cloud nachdenken, alle Fähigkeiten ihres ausgewählten Providers berücksichtigen. Auf dieser Grundlage sollten sie entscheiden, ob er ihnen in Echtzeit oder Fast-Echtzeit Sicherheitsnachweise und Compliance-Informationen zur Verfügung stellen kann.

Als einen der entscheidenden Faktoren für Kunden nennt Los hier, dass sie nicht nur ein Gefühl für das gebotene Sicherheitsniveau haben. Ebenso müssten sie wissen, dass auch getestete Sicherheitsmaßnahmen versagen können. Das sei sogar wahrscheinlich, denn für Sicherheit gebe es keine absolute Garantie.

Aus diesem Grund rät Los dazu, nicht nur nach Anbietern Ausschau zu halten, die „sichere“ Dienste anbieten. Stattdessen sollte der Fokus auf Anbietern liegen, die zeigen können, dass sie Probleme effektiv und zuverlässig erkennen, schnell darauf reagieren und Dienste wiederherstellen können, die für die Geschäftsfunktionen ihrer Kunden unverzichtbar sind.

„Ihr Cloud-Provider muss in der Lage sein, Anomalien durch Messungen der System-Performance aufzudecken. Zusätzlich braucht er umfassende Log-Analysen und fortschrittliche Komponenten für Sicherheit. Dann kann er schneller reagieren und Ihren Dienst wiederherstellen, wenn er ausfällt oder getestet wird. Suchen Sie als Kunde nicht nach Anbietern, die sich „sicher“ nennen. Fragen Sie, wer Probleme schnell erkennt und reagieren kann“, so Los.

Über den Autor: Anthony M. Freed ist Journalist und Redakteur für Informationssicherheit. Seine Twitter-Beiträge zu dem Thema finden Sie unter @anthonymfreed.

Erfahren Sie mehr über Cloud Computing und Virtualisierung

Diskussion starten

Schicken Sie mir eine Nachricht bei Kommentaren anderer Mitglieder.

Bitte erstellen Sie einen Usernamen, um einen Kommentar abzugeben.

- GOOGLE-ANZEIGEN

SearchSecurity.de

SearchStorage.de

SearchNetworking.de

SearchEnterpriseSoftware.de

Close