Cloud Computing: Sicherheit aus der Wolke

Kleine und mittelgroße Unternehmen können ihre IT-Sicherheit durch Cloud Computing erhöhen. Das ist das Ergebnis einer Studie des Fraunhofer-Institut für Sichere Informationstechnologie SIT.

Daten und Anwendungen “in die Wolke” auszulagern und über das Internet als Service von einem externen Dienstleister zu beziehen, ist verführerisch. Vorteile sind: niedrige Kosten, größere Flexibilität und die Performance einer professionell gemanagten IT-Infrastruktur. Unternehmen müssen Server und Softwarelösungen nicht selbst anschaffen, sondern mieten die benötigten Kapazitäten für Daten, Rechenleistung und Anwendungen bei professionellen Anbietern wie Amazon, Google, IBM und Microsoft.

Auf der einen Seite ermöglicht die Strategie des Auslagerns in die Wolke den Unternehmen, sich auf ihre Kernkompetenzen zu konzentrieren und neue Geschäftsmöglichkeiten zu erschließen. Auf der anderen Seite wächst jedoch die Abhängigkeit von externen IT-Systemen, deren Ausfall durch technische Störungen, Malware oder Hackerangriffe nicht nur die Kommunikation, sondern auch ganze Geschäfts- oder Produktionsprozesse lahm legen kann.

Die Projektgruppe ‘Sichere Services und Qualitätstests’ des Fraunhofer-Instituts für Sichere Informationstechnologie SIT beendet in diesen Tagen eine Studie über die Sicherheit von Cloud-Computing-Systemen. “Fast jeder große Anbieter von Cloud Services hatte in der Vergangenheit einen größeren Vorfall im Bereich Verfügbarkeit oder Sicherheit”, sagt Dr. Werner Streitberger, Projektleiter Cloud-Computing-Sicherheit vom SIT. Er hat die Studie geleitet.

Bei der Untersuchung des SIT zeigte sich, dass trotz solcher Risiken kleine und mittelgroße Unternehmen ihre Sicherheit durch den Einsatz von Cloud Services erhöhen können. “Sie können Sicherheitslösungen als Service von spezialisierten Anbietern beziehen und so von deren Erfahrung beim Implementieren und Betreiben von sicheren Services profitieren”, so Streitberger.

Große Unternehmen sollten die Sicherheitsfunktionen eines Cloud-Anbieters prüfen und im Einzelfall entscheiden, ob die angebotenen Sicherheitsmechanismen für den Bedarf ausreichend sind. Wegen der wenig standardisierten Vorgehensweise beim Einsatz von Sicherheitstechniken in Cloud-Computing-Systemen sei dies nicht garantiert. Maßstab seien auch hier die allgemeinen Schutzziele der IT-Sicherheit – also Vertraulichkeit, Integrität, Authentizität, Verbindlichkeit, Verfügbarkeit und Schutz der Privatsphäre.