Springe zum Hauptinhalt Profilbild Hartmut Goebel

Hartmut Goebel

Diplom-Informatiker, CISSP, CSSLP, ISO 27001 Lead Implementer



Anfrage
Logo Goebel Consult

2010-04: Studie über Cloud ignoriert Security

Und noch ´ne neue Studie über Cloud Computing. Diesmal untersucht die Experton Group, welche Anbieter in Deutschland Cloud-Leistungen anbieten und wie gut sie das machen. Ganz ohne wenn und aber nimmt das Marktforschungsinstitut die Position ein, dass Cloud Computing den ultimativen Evolutionsschritt zur Industrialisierung der IIT darstellt – wie anno dunnemals die Dampfmaschine. Eine gewagte These.

Mutig sind die Marktforscher. Die Cloud als ultimative Lösung – für alles, was IT heißt:

  • wenn IT zu teuer ist,

  • wenn IT zu aufwändig und zu personalintensiv ist,

  • wenn IT skalieren muss.

Alles Argumente, die die man durchaus gelten lassen kann. Und die auch – mehr oder weniger – belegbar oder zumindest logisch scheinen, auch wenn man keine Kristallkugel besitzt.

Zwar sind auch diese Analysten so realistisch, Blockaden der Cloud zu erkennen: Die noch fehlenden Abrechnungsmodelle, das knappe Angebot, fehlende SLAs und eine noch schwierige rechtliche Situation, vor allem bei Anbietern aus USA.

Doch sie übersehen scheinbar völlig den Aspekt Sicherheit. Dabei ist doch die Cloud, der öffentliche Raum des Internet, in dem sich plötzlich alles abspielen soll, der Alptraum aller Sicherheitsspezialisten. Vielleicht haben wir als Security-Spezialisten aber auch nur einen zu engen Horizont. Ich wundere mich jedenfalls, wieso dieser Aspekt so wenig Gewicht hat.

Dabei lassen sich eine Latte von Risiken aufzählen, die mindestens so lang ist, wie alle genannten Vorteile. Hier ein paar Beispiele:

  • Sie wissen nie, mit wem sich Ihre virtuelle Maschine den Host teilt. Und ob dieser andere nicht aus seiner virtuellen Maschine auf den Host ausbricht und Ihre Maschine kompromittiert. In einer komplett öffentlichen Cloud wären Sie dann nur das Zufallsopfer – wie heute beim Phishing. Aber ich sehe schon die ersten Angreifer, die gezielt Kunden bei großen Anbietern werden, um in deren „privaten Cloud“ zu angeln.

  • Ein Sicherheitskonzept mit mehreren Klassen lässt sich in der Cloud nur schwer realisieren – und quasi gar nicht überprüfen. Vielleicht gelingt es Ihnen, per Cloud-Vertrag auszuschließen, dass virtuelle Maschinen unterschiedlicher Sicherheitsklassen auf dem gleichen Host laufen. Aber wie wollen Sie das jemals überprüfen? Die Revisionsabteilung wird sich freuen!

  • Dienste wie E-Mail in die Cloud zu verlagern ist auch keine gute Idee. Hier droht massiver Vertrauensschaden, wenn die Kunden das mitbekommen. Oder wollen Sie bei einem Konzern versichert sein, deren Mails bei Google-Mail liegen?

In einigen Bereichen hat die Cloud bestimmt ihre Berechtigung. Aber aus Security-Sicht wird sie nicht die Rolle der eierlegenden Wollmilchsau spielen – spielen können, die ihr die Analysten voraussagen. Es sei denn die Security-Industrie wartet ebenfalls mit einer „ultimativen Cloud-Security-Lösung“ auf, die alle Probleme verschwinden lässt.

Frühere Beiträge

…. hier aufführen

Rest wie gehabt:

Über Goebel Consult

[Logo, linksbündig]

IT-Security Management in komplexen Umgebungen

Seit zehn Jahren ist Hartmut Goebel für renommierte Kunden aus g