IT Security

Cloud-Infrastruktur: Definition, Vorteile und Sicherheit – Was Unternehmen beachten müssen

Die Corona-Pandemie hat unser Alltag digitalisiert. Als Reaktion auf die Pandemie und für die Gestaltung ihrer digitalen Zukunft nutzen Unternehmen vermehrt die Vorteile von Cloud-Infrastrukturen wie Amazon Web Service, Microsoft Azure, Google Cloud, Alibaba, IBM oder Oracle. [1] Cloud Computing verfolgt den Ansatz IT-Infrastrukturen wie Speicherplatz, Rechenleistung oder Datenbanken, Plattformen und/oder Software über ein Rechnernetzt wie das Internet zur Verfügung zu stellen ohne die Notwendigkeit einer lokalen Installation oder lokalen Infrastruktur.[2],[3] Aber was macht eine „Cloud“ aus? Was für Vorteile hat sie für Unternehmen? Und was müssen Unternehmen in Bereich Sicherheit und Datenschutz beachten? Eine Analyse.

Der Begriff “Cloud Computing” kann je nach Betrachtungsweise unterschiedlich definiert werden

Aus Betreibersicht ist die Cloud “mehr als nur ein Computer einer anderen Person”

Je nach Betrachtungsweise – entweder aus Betreiber- oder aus Verbrauchersicht – kann der Begriff „Cloud Computing“ unterschiedlich definiert werden. Cloud-Betreiber verbinden Cloud-Infrastruktur eher mit den Hard- und Software-Komponenten, welche notwendig sind, um einen Cloud-Dienst aufzusetzen und zu betreiben. Zur Hardware gehören Server, Netzwerkkomponenten, Speichersysteme oder Rechenzentren. Diese Hardware wird dann via Internet auf einer Plattform den Nutzern zur Verfügung gestellt. Ausserdem benötigen die Anbieter geeignete Software um ihre Geräte effizient zu betreiben und zu skalieren sowie Software wie Abrechnungssysteme um den Cloud-Dienst zu betreiben. [4]

Abbildung 1: Cloud Infrastruktur.

Aus Nutzersicht ist eine Cloud-Infrastruktur mit einem Ressourcenpool vergleichbar, woraus der Nutzer verschiedene Service- und Liefermodelle abonnieren kann

Für einen Nutzer ist eine Cloud-Infrastruktur mit einem Ressourcenpool (Server, Datenspeicher, Software etc), aus dem man sich beliebig bedienen kann, zu vergleichen.[4] Die Ressourcen lassen sich flexibler und effizienter verwalten und nutzen als traditionelle, lokale IT-Infrastruktur.

In diesem Kontext lässt sich die Cloud-Infrastruktur über Service- und Liefermodelle charakterisieren. „Infrastructure as a Service“ (IaaS), „Plattform as a Service“ (PaaS) und „Software as a Service“ (SaaS) beschreiben. Mit IaaS gestalten sich die User ihre eigenen virtuellen Computer Cluster durch den Cloud-basierten Nutzungszugang auf virtuelle Hardware wie Rechner, Netze oder Speicher. Daher sind die User für die Auswahl, die Installation und den Betrieb verantwortlich. Mit PaaS nutzen User die Cloud-basierten Programmierungs- und Laufzeitumgebungen mit flexiblen dynamisch anpassbaren Rechen- und Datenkapazitäten. Solche Umgebungen sind vor allem für die Entwicklung eigener Software-Anwendungen interessant. SaaS oder auch “Software on Demand” bietet Software-Sammlungen und Anwendungen.

Das Liefermodell beschreibt wie die Nutzer auf die Cloud-Infrastrukturen zugreifen – also als exklusive Nutzer (Private Cloud) oder mit anderen (Public Cloud), im kleinen, definierten Nutzerkreis (Community Cloud) oder als Hybrid Cloud – einer Kombination aus Privater und Public Cloud.

Das NIST veröffentlichte eine Definition, welche unterschiedliche Definitionsansätze vereint

Da der Begriff “Cloud Computing’ je nach Betrachtungsweise unterschliedlich definiert werden kann, veröffentlichte das National Institute of Standards and Technology (NIST) im Jahr 2011 eine allgemein gültige Definition für Cloud Computing, die auf weitgehende Akzeptanz stiess und die unterschiedlichen Definitionsansätze vereint.[1] Das NIST listete folgende essenzielle Charakteristika für Cloud-Computing:

  1. Selbstzuweisung von Leistungen aus der Cloud durch den/die Nutzer, die bei Bedarf bereitstehen sollen
  2. Leistungen aus der Cloud sind über Standardmechanismen via Netzwerk erreichbar
  3. Rechenleistung, Netzwerk, Storage oder andere Ressources werden zwischen unterschiedlichen Parteien geteilt
  4. Virtuelle Ressourcen skalieren schnell und (aus Nutzersicht) unbegrenzt. Sie können auch automatisiert auf Lastenänderungen angepasst werden.
  5. Die Ressourcennutzung kann gemessen und somit überwacht werden, beispielsweise für Abrechnung oder auch automatische Skalierung.

Eine Cloud-Infrastruktur bietet für Unternehmen viele Vorteile im Vergleich zur klassischen, lokalen IT-Infrastruktur

Cloud Computing ermöglicht Unternehmen den Betrieb von Servern und IT-Umgebung auszulagern

Das Cloud Computing ermöglicht es Unternehmen Daten, Anwendungen oder IT-Infrastrukturen auszulagern und macht unter Umständen den Betrieb eigener Server und IT-Umgebungen überflüssig. [5] Dies verlagert die Investitionen für beispielsweise Software oder Serverinfrastrukturen auf den Cloud Dienstleister gegen eine leistungsbasierende Gebühr. Diese Cloud-basierten IT-Lösungen erlauben Unternehmen ihre Prozesse effizienter zu gestalten sowie Kosten einzusparen, da sie nur nach Dauer der Nutzung des Cloud Services zahlen. Klassische, lokale Ressourcen wie Software und Hardware lassen sich so einsparen. [6][7]

Cloud Services sind skalierbar, besser verfügbar, einfacher im Unterhalt und verbessern die Produktivität von Unternehmen

Für den Nutzer bietet Cloud Computing folgende Vorteile gegenüber einem rein lokalen IT-System: [8][9]

  • Skalierbarkeit: d.h. IT-Infrastruktur kann im Handumdrehen bei stark schwankender Nachfrage bereitgestellt und vergrössert/verkleinert werden, da beliebig viele Server von Dritten (dem Cloud Anbieter) angeboten werden. [11]
  • Knowhow-Verlagerung: Es sind weniger IT-Kenntnisse erforderlich, da die Cloud-Anbieter die Infrastruktur aufsetzen und unterhalten.
  • Globalen Zugriff: User haben Zugriff auf die Systeme mithilfe eines Webbrowsers unabhängig vom Standort oder den von ihnen verwendeten Geräten. (So ist beispielsweise Homeoffice möglich)
  • Wartbarkeit: Der Unterhalt von Cloud-Computing-Anwendung ist simpler, da sie nicht auf dem Computer jedes Nutzers installiert werden müssen.
  • Multitenancy: Die Ressourcen und Kosten können auf einen grossen Benutzerpool aufgeteilt werden . Dies ermöglicht die Zentralisierung der IT-Infrastruktur an Standorten mit geringen Kosten wie tiefe Immobilienpreise von Server-Zentren, Strom, etc.
  • Effizienzsteigerung: Die Auslastung und Effizienz von Systemen, welche häufig nur 10-20% ausgelastet sind, kann verbessert werden. [12],[13]
  • Produktivitätssteigerung: Die Produktivität kann gesteigert werden, wenn mehrere Benutzer gleichzeitig an denselben Daten arbeiten können, anstatt darauf zu warten, dass sie gespeichert und per E-Mail gesendet werden. Es kann Zeit gespart werden, da Informationen nicht erneut eingegeben werden müssen, wenn Felder übereinstimmen, und Benutzer keine Anwendungssoftware-Upgrades auf ihrem Computer installieren müssen. [14]
  • Verfügbarkeit: Die Verfügbarkeit wird durch die Verwendung mehrerer redundanter Standorte verbessert, wodurch gut konzipiertes Cloud-Computing für Business Continuity und Disaster Recovery geeignet ist. [15]

Viele Massnahmen wie Datenverschlüsselung oder Identitätsmanagement erhöhen die Sicherheit einer Cloud  [5]

Viele Unternehmen haben Bedenken gegenüber möglichen Cloud-Anbietern und vermeiden daher die Migration von geschäftskritischen Daten in die Cloud oder die Nutzung von Cloud-basierter Software, vor allem aus Angst vor Ausfallzeiten, Kontroll- und Datenverlust.[16] Auch das Thema Sicherheit (beispielsweise vor Hackerangriffen) und Datenschutz ist ein zentrales Anliegen vieler Nutzer. Wichtige Massnahmen müssen getroffen werden, um die Sicherheit einer Cloud zu gewährleisten:

  • Rechenzentrum physisch absichern (z.B. Zutriffskontrolle von befugtem Personal, etc. )
  • Server sichern
  • Netzwerkstrukturen und -zugänge sichern
  • Plattform und der Anwendungen sichern
  • Daten durch Verschlüsselung sichern
  • Identitätsmanagement sichern
  • Das sichere Management von Schlüsseln und Zugangskennungen
  • Das Schützen von Daten bei der Verarbeitung, welchen dann als Klartext vorliegen müssen

Datenschutz in einer Public oder Hybrid Cloud obliegt dem Anbieter

Speziell in einer Public Cloud oder in einer Hybrid Cloud, wo sich die Daten ausserhalb des Einflussbereichs des Dateneigentümers befinden, ist der Datenschutz ein wichtiges Thema. Oft besteht das Risiko, dass Daten unzureichend oder unvollständig gelöscht werden. Weil sich die Speicherorte für die User nicht lokalisieren lassen, kann ein Nutzer die Löschung nicht vollständig nachvollziehen. Auch nach einer Beendigung eines Clouds-Services muss ein Nutzer darauf vertrauen, dass der Anbieter Daten zuverlässig löscht.[5]

Die Nutzung der Cloud-Services durch verschiedene User birgt das Risiko, dass eine mangelnde Trennung der Kundendaten Unbefugten erlaubt, die Daten Dritter einzusehen oder sogar zu manipulieren, da die Daten nicht physisch, sondern virtuell getrennt sind. [5]

Viele Unternehmen wie Banken-, Gesundheits- und Versicherungen sind strengen gesetzlichen Regularien und Compliance-Vorgaben unterworfen. Cloud-Dienste sind teilweise sehr intransparent über den Ablageort und den Datenfluss. Deshalb ist das Risiko für Unternehmen wie Banken hoch, dass diese Vorgaben nicht eingehalten werden können. Beauftragt der Cloud-Dienstleister Subunternehmen für bestimmte Services wird die Situation noch intransparenter. Auch eine Insolvenz des Cloud-Dienstleister bringen unkalkulierbare Risiken für einen Nutzer. [5],[17]

Massnahmen für eine sichere Cloud

Cloud Sicherheit ist sehr vielschichtig und beinhaltet sowohl technische als auch prozessuale Massnahmen sowie vertragliche Regelungen. Technische Massnahmen beinhalten beispielsweise: [5],[18] [19]

  1. Die Verschlüsselung der Kommunikationsverbindungen  durch beispielsweise SSL/TLS Verschlüsselung
  2. Die geschützte und verschlüsselte Datenspeicherung, beispielsweise durch homomorphe Verschlüsselung [1] oder den Sealed Cloud-Ansatz [2].
  3. Sicherung der Cloud-Komponenten (Physische Zugriffskontrolle)
  4. User und Administratoren-Authentifizierung (beispielsweise durch Identity und Access Management und Multi-Faktor-Authentifizierung)
  5. Monitoring fürs frühzeitige Erkennen von sicherheitsrelevanten Zwischenfällen und Störungen durch Intrusion Detection Systeme
  6. Service Level Agreements (SLA) verpflichten den Cloud-Dienstleister datenschutzrechtliche Vorgaben und entsprechende Notfall- und Recovery-Prozesse einzuhalten in dem er im Fall von Störungen Reaktionszeiten, Wiederherstellungszeiten und Eskalationsstufen definiert.
  7. “Confidential Computing” in der „trusted execution environment“ – einer geschützten CPU-Enklave – ermöglicht den Schutz von Daten während der Verarbeitung, welche dann unverschlüsselt als Klartext vorliegen.

[1] Dabei wird in der Cloud nur auf verschlüsselten Daten gerechnet, die im privaten Bereich entschlüsselt werden können.

[2] Ein alternativer Ansatz ist das Konzept der Sealed Cloud. Dabei trennt die Schlüsselverwaltung die Verschlüsselung von der Entschlüsselung durch jeweils eigene Schlüssel. Es erfolgt eine geordnete Sicherung und anschließende Löschung unverschlüsselter Daten, bevor ein Administrator, beispielsweise zu Wartungszwecken, Zugriff zum Speicher erhält.

Fazit

Das Cloud Computing eröffnet Unternehmen neue Möglichkeiten zur Erschliessung neuer Geschäftsmodelle und effizienteren Gestaltung von Arbeitsprozessen und daraus folgenden Kosteneinsparungen. Wagt ein Unternehmen der Schritt zu Cloud-basierten Dienstleistungen müssen Risiken wie Ausfallzeiten, Kontroll- und Datenverlust sowie Sicherheit vor Hackerangriffen und Datenschutz analysiert werden. Es gibt viele prozessuale, vertragliche und technische Sicherheitsmassnahmen, welche getroffen werden können, um die genutzte Infrastruktur so sicher wie möglich zu machen.

Referenzen

[1] P. Mell; T. Grance (September 2011). The NIST Definition of Cloud Computing (Technical report). National Institute of Standards and Technology: U.S. Department of Commerce. doi:10.6028/NIST.SP.800-145. Special publication 800-145.

[2] N. F. Mendoza, “Top cloud trends for 2021: Forrester predicts spike in cloud-native tech, public cloud, and more.” 2020. https://www.techrepublic.com/article/top-cloud-trends-for-2021-forrester-predicts-spike-in-cloud-native-tech-public-cloud-and-more/, aufgerufen 22.02.2021

[3] M. Tremmel, “IT Sicherheit bleibt nach der Coronapandemie grossen Problem”, 2021. https://www.golem.de/news/amazon-technikchef-it-sicherheit-bleibt-nach-der-coronapandemie-grosses-problem-2102-154372.html, aufgerufen 22.02.2021

[4] D. Srocke, F. Karlstet, „Definition: IT-Infrastruktur für Cloud Computing – Was ist eine Cloud-Infrastruktur?”, 2018. https://www.cloudcomputing-insider.de/was-ist-eine-cloud-infrastruktur-a-732116/, aufgerufen 23.02.2021

[5] S. Luber, F. Karlstetter, „Definition: Cloud-Sicherheit – Was ist Cloud Security?”, 2017. https://www.cloudcomputing-insider.de/was-ist-cloud-security-a-637124/, aufgerufen am 23.02.2021.

[6] Computerwoche, 2020. https://www.computerwoche.de/a/wie-sie-eine-plattform-fuer-innovation-aufbauen,3549887, aufgerufen am 22.02.2021

[7] C. Arthur: Government to set up own cloud computing system. In: The Guardian. 27. Januar 2010. https://www.theguardian.com/technology/2010/jan/27/cloud-computing-government-uk, aufgerufen 23.02.2021

[8] F. Gens,” Defining “Cloud Services” and “Cloud Computing”, 2008. https://web.archive.org/web/20100722074526/http://blogs.idc.com/ie/?p=190, aufgerufen 23.02.2021

[9] E. Witmer-Gossner, „Wie Banken die Hürden nehmen und Chancen nutzen”, 2021. https://www.cloudcomputing-insider.de/wie-banken-die-huerden-nehmen-und-chancen-nutzen-a-1000230/, aufgerufen am 24.02.2021

[10] M. Hompel, M.-B. Meinhardt, T. Lippmann, „Cloud Computing für Logistik. Akzeptanz zur Nutzungsbereitschaft der Logistics Mall bei Anwendern und Anbietern“. Fraunhofer Verlag, Stuttgart 2011, ISBN 978-3-8396-0220-1, S. 125

[11] Bloomberg, “Jeff Bezos’ Risky Bet”, 2006. https://www.bloomberg.com/news/articles/2006-11-12/jeff-bezos-risky-bet, aufgerufen 23.02.2021.

[12] S. He,L. Guo, Y. Guo, M. Ghanem, 2012. „Improving Resource Utilisation in the Cloud Environment Using Multivariate Probabilistic Models.“ 2012 IEEE 5th International Conference on Cloud Computing (CLOUD). pp. 574–581. doi:10.1109/CLOUD.2012.66ISBN 978-1-4673-2892-0S2CID 15374752.

[13] H. Smith, 2013. „Xero For Dummies.“ John Wiley & Sons. pp. 37–. ISBN 978-1-118-57252-8.

[14] R. King, 2008. “Cloud Computing: Small Companies Take Flight”. Bloomberg BusinessWeek.

[15] E. Witmer-Goßner, 2020. „Drei Viertel deutscher Unternehmen sind in der Cloud.https://www.cloudcomputing-insider.de/drei-viertel-deutscher-unternehmen-sind-in-der-cloud-a-942169/, aufgerufen am 22.02.2021

[16] Stiftung Warentest, 2019, https://www.test.de/Cloud-Dienste-im-Test-5463650-0/, aufgerufen am 22.02.2021

[17] D. Smith, 2009. „Google plans to make PCs history.https://www.theguardian.com/technology/2009/jan/25/google-drive-gdrive-internet, aufgerufen am 23.02.2021

[18] E. Witmer-Gosser, „Confidential Computing – lieber auf Nummer sicher gehen”, 2021. https://www.cloudcomputing-insider.de/confidential-computing-lieber-auf-nummer-sicher-gehen-a-998725/, aufgerufen 24.02.2021

DER AUTOR
INSIGHTS
MIT ANDEREN TEILEN
Share on facebook
Share on twitter
Share on linkedin
Share on xing
Share on pinterest
Share on email
Share on print

IMMER UP TO DATE

AKANA NEWSLETTER