Sichere Cloud-Entscheidungen

Für viele Unternehmen stellt Cloud Computing eine wesentliche Option bei der zukünftigen Ausgestaltung der eigenen IT-Infrastruktur dar. Durch vernetzte Rechenpower undon-Demand Resource Provisioning sind viele Vorteile gegeben, die eine größere Flexibilität und Skalierbarkeit der IT-Infrastrukturen sowie Kostensenkungspotenziale bieten. Expertinnen und Experten erwarten, dass in den nächsten zwei Jahren bereits 20 Prozent der Unternehmen keine eigenen IT-Systeme mehr besitzen werden. Aber: Immer wieder wird auch von einem deutlichen Anstieg von Sicherheitsvorfällen und Datenschutzproblemen im Kontext mit Cloud Computing berichtet.

Informationen

Herausgeber / Verlag:
TÜV TRUST IT TÜV Austria GmbH
Ausgabedatum:
7. Oktober 2015

Weitere Verunsicherungen bei Anwenderinnen und Anwendern entstehen durch Probleme bei der Qualität der Serviceangebote. Hierzu zählen z.B. unzureichende Verfügbarkeit oder eine schlechte Erreichbarkeit des Service Desks bei Problemen, unabgestimmte Wartungsarbeiten und unklare Situationen in Bezug auf die Datenrückübergabe bei Beendigung des Vertragsverhältnisses. Um diese Herausforderungen zu lösen und von den neuen Möglichkeiten profitieren zu können, wird eines besonders benötigt: Vertrauen.

Dieser Leitfaden zielt darauf ab, praxisbezogene Hilfestellungen für eine sicherheitsbezogene Planung von Auslagerungen in die Cloud und Empfehlungen zur systematischen Vorgehensweise zu geben.

Typische Schwächen in Cloud-Vereinbarungen

Die Erfahrungen der TÜV TRUST IT anhand von Cloudability-Analysen zeigen, dass in den Planungen von Auslagerungsprojekten häufig eine große Palette relevanter sicherheitsorientierter und erfolgsbezogener Aspekte unberücksichtigt bleibt. Dies betrifft unter anderem die wirtschaftliche Seite. So ist beispielsweise zu beobachten, dass oftmals keine angemessenen Wirtschaftlichkeitsberechnungen mittels geeigneter Verfahren wie Kapitalwert-, Nutzwertanalysen, TCO-Berechnungen o.ä. durchgeführt werden. Ebenso wird darauf verzichtet, die Entwicklungs-, Betriebs- oder Migrationskosten ausreichend zu ermitteln.

Abseits der Schwächen in den wirtschaftlichen Bewertungen von Cloud-Projekten betreffen die häufig anzutreffenden Mängel fast alle wichtigen Entscheidungsbereiche. So erlauben etwa fast alle Cloud-Anbieter detaillierte Konfigurationen der Services über das Internet. Diese Management-Schnittstellen sind häufig nicht gut genug vor unbefugten Zugriffen geschützt, beispielsweise durch eine Zwei-Faktor-Authentisierung. Zudem fehlen vielfach auch personenbezogene Accounts mit klar definierten Rechten und Rollen für administrative Arbeiten in der Cloud.

Ebenso weisen Test-, Prüf- und Abnahmekriterien für die Services Schwächen auf, weil sie unklar bzw. nicht umfassend definiert oder diese Kriterien nicht ausreichend messbar sind. Auch die Frage der spezifischen Anforderungen an die Vertraulichkeit des Cloud-Service wird gar nicht oder nicht klar genug beantwortet. Unberücksichtigt bleibt zudem, welche spezifischen Anforderungen an getrennte, dezidierte Systeme für die Erbringung von Cloud-Services bestehen. Dafür muss zwingend geklärt werden, in welcher Form die Daten und Informationen des genutzten Cloud-Services von den Daten und Informationen anderer Servicenehmer in der Cloud über eine Separierung der Mandanten, virtuelle Hosts oder physisch getrennte Systeme abgegrenzt werden.

Interessant sind auch Performance-Betrachtungen der Dienste. Dies betrifft beispielsweise Anforderungen an die Anzahl von Transaktionen pro Zeiteinheit oder die Anzahl konkurrierender Nutzerinnen und Nutzer. Hinzu kommt, dass nicht berücksichtigt wird, ob speziell kritische Verfügbarkeitsfenster für den Cloud-Service bestehen. Gleiches gilt für den Service-Desk. Wann er zur Verfügung stehen soll, welche Kommunikationskanäle genutzt werden sollen und wer ihn nutzen darf, bleibt häufig ebenso unzureichend geklärt wie es an einer klar definierten Eskalations-Hierarchie fehlt.

Eine sichtbare Schwäche weist mitunter auch das Thema Reporting auf. So werden hierfür keine aussagekräftigen SLA-Messpunkte zum Cloud-Service identifiziert und festgelegt. Darüber hinaus wird darauf verzichtet, dass der Cloud-Provider einen Service-Übergabe-Punkt außerhalb seines Rechenzentrums spezifiziert. Dadurch ist es nicht möglich, sicher zu bewerten, ob besondere SLA-Anforderungen erfüllt werden. Nachteilig ist außerdem, wenn die Frequenz der Reports ungeklärt bleibt und kein anlassbezogenes Reporting möglich ist.

Ein ganz wesentlicher Faktor, der keine angemessene Beachtung findet, betrifft die Anforderungen an die Interoperabilität der Cloud-Services. Zu beachten ist vor allem, ob sie mit anderen Cloud-Diensten anderer Providern sowie mit eigenen Systemen in Verbindung stehen. Beispiele dafür sind Authentifizierungssysteme oder vorhandene User-Interfaces.

Doch auch damit endet die Liste der zu beobachtenden Schwächen in den Vereinbarungen der Unternehmen zum Bezug von Cloud-Services noch längst nicht. Ganz typisch ist auch, dass die Frage der spezifischen Anforderungen betreffend der Löschung von Daten nach Beendigung von Cloud-Services unzureichend beantwortet bleibt.

Notwendigkeit von Evaluierungen

Zu den größten Herausforderungen bei der Nutzung von Cloud-Diensten gehören Sicherheitsaspekte. Mit einer geeigneten Vorgehensweise und der Durchführung von Evaluierungen lassen sich eine substanzielle Risikominderung und messbare Qualitätsoptimierung bei der Auslagerung von IT-Services in die Cloud erreichen.

Dabei sollten zunächst die grundsätzliche Sinnhaftigkeit und Machbarkeit einer entsprechenden Auslagerung geklärt werden. Hierzu werden die relevanten nichtfunktionalen Rahmenbedingungen für das angestrebte Vorhaben identifiziert. Zu beachten sind beispielsweise die spezifischen Sicherheitsanforderungen der Cloud-Lösung, die Verfahren der Datenrückgabe und Interoperabilität sowie die Compliance-Bedingungen. Aber auch Fragen des Supports und der Skalierbarkeit sollten untersucht werden – ebenso wie die betrieblichen Anforderungen.

Als Ergebnis wird klar erkennbar, welche Anforderungen an den Cloud-Anbieter bestehen. Auf der Grundlage eines entsprechenden Lastenhefts mit den nichtfunktionalen Anforderungen können eine Evaluation im Markt, die Erstellung einer spezifischen Ausschreibung sowie eine Bewertung eingehender Angebote durchgeführt werden. In einem Folgeschritt richtet sich der Fokus auf die potenziell in Frage kommenden Cloud-Provider.

Für einen reibungslosen Ablauf müssen bei Auslagerung von IT-Services in die Cloud auch die Geschäfts- und IT-Betriebsprozesse des Cloud-Nehmers entsprechend angepasst werden.

15 beispielhafte Anforderungen an Cloud-Provider

Um eine sicherheitsbezogene Evaluierung von Cloud-Providern vornehmen zu können, sind klar definierte Bewertungskriterien erforderlich. Zu diesem Zweck hat die TÜV TRUST IT Anforderungen erarbeitet, die im Rahmen einer Überprüfung umgesetzt und eingehalten werden müssen. Nachfolgend finden Sie 15 Beispiele aus dem umfangreichen Bewertungskatalog der Provider-Analyse:

  1. Der Cloud-Provider muss ein IS-Risikomanagementsystem etabliert haben, das ausgehend von den Geschäftsprozessen die Schutzbedarfe berücksichtigt. Er muss die entsprechenden Maßnahmen ergriffen haben; ebenso ist eine kontinuierliche Bewertung der Risikosituation erforderlich.
  2. Eine Klassifizierung und Kennzeichnung der Informationen und Dokumente hinsichtlich ihres Schutzniveaus ist erforderlich. Basierend darauf müssen auch etablierte Verfahren zu deren Handhabung festgelegt werden.
  3. Es bedarf angemessener Geheimhaltungsvereinbarungen für Mitarbeiterinnen und Mitarbeiter sowie Dritte, die von diesen zu unterschreiben sind.
  4. Verträge müssen den Schutz aller Vermögenswerte der Organisation garantieren. Dies gilt insbesondere für den Datenaustausch und Sicherheitsmechanismen.
  5. Richtlinien und Verfahrensweisen für die Gerätewartung zur Sicherstellung der Kontinuität und Verfügbarkeit des Betriebs müssen erstellt und umgesetzt werden.
  6. Der Cloud-Provider muss über angemessene Prüfmechanismen zur Sicherung der Integrität verfügen.
  7. Für die Prozesse, IT-Systeme und Infrastruktur sind detaillierte Dokumentationen erforderlich; sie müssen geschützt und gemanagt werden.
  8. Für das Business-Continuity-Management müssen Pläne in einem hohen Detaillierungsgrad dokumentiert, verabschiedet sowie regelmäßig getestet und validiert werden.
  9. Ein Incident-Management-Prozess inkl. der Rollen und Verantwortlichkeiten sowie einschließlich der Schnittstellen zum Problem-Management muss etabliert sein. Dazu gehören auch Verfahren zur Beweissicherung.
  10. Für die Kommunikation zu den Kundinnen und Kunden, die alle Datenschutzbelange regelt, ist ein klar definierter Prozess erforderlich.
  11. Der Zugriff auf Source-Code muss reglementiert und dokumentiert sein. Bei Neu-Einführungen von Systemen muss eine Fall-Back-Strategie vorliegen und mögliche Schnittstellen müssen berücksichtigt worden sein.
  12. Es bedarf einer etablierten Backup-Strategie. Sie muss die Anforderungen an Backup- Frequenzen, die Auswahl der Backup-Medien sowie die Lokation der Backup-Systeme berücksichtigen. Außerdem muss gewährleistet sein, dass Rücksicherungen in regelmäßigen Abständen vorgenommen werden.
  13. Die Informationssysteme der Organisation müssen den internen, national und, falls anwendbar, international geltenden Standards und Gesetzen entsprechen. Die Anforderungen dieser Standards und deren Erfüllung muss der Provider nachvollziehbar dokumentieren.
  14. Für das Netzwerkmanagement müssen dokumentierte Konzepte, Richtlinien und Verfahrensanweisungen (Zugriffskontrolle, Zugänge, Segmentierung, Routing, Logging etc.) vorhanden sein.
  15. Zum Schutz von sensiblen Daten müssen Vorgaben für die Verschlüsselung existieren.

Der Leitfaden „Sichere Cloud-Entscheidungen“ kann kostenlos bestellt werden bei: info(at)it-tuv.com

Letzte Aktualisierung: 7. Oktober 2015

Für den Inhalt verantwortlich: A-SIT Zentrum für sichere Informationstechnologie – Austria