Wir haben im scip IT Security Forecast für das Jahr 2010 festgehalten, dass die kommenden Jahre

(…) voraussichtlich ganz im Zeichen von Cloud Computing (SaaS) stehen [werden].

Diese Voraussage ist ungebrochen eingetroffen und so haben wir zum Thema eine Reihe von Publikationen veröffentlicht und Vorträge gehalten.

Im Rahmen dieser Tätigkeiten, fortwährender Gespräche und jeweiligen Kundenprojekte tat sich immerwieder die Schwierigkeit auf, das Thema Cloud-Security als solches überhaupt greifbar zu machen:

• Was ist die Cloud?
• Welche externen Gefahren existieren für die Cloud?
• Welche intrinsischen Gefahren existieren in der Cloud?
• Was macht die Cloud sicher?

Cloud Computing als solches vereinheitlicht verschiedene – teilweise altbekannte – Mechanismen und Technologien. Eine besonders populäre Art des Vertriebsmodell im Cloud Computing ist die Datencloud (Cloud Storage). Bei diesem speziellen Software as a Service (SaaS) handelt es sich um einen Dienst, der die zentralisierte, automatisierte und transparente Bereitstellung und Aktualisierung von Daten erlaubt. Bekannte Dienste dieser Art sind beispielsweise:

• Dropbox – Speichern und Austauschen von Dateien
• Evernote – Erstellen und Verwalten von Notizen
• MobileMe – Zentralisiertes Bereitstellen von Daten
• SugarSync – Sichern, Speichern, Austauschen von Dateien

Ein wichtiger Aspekt solcher Storage-Dienste in der Cloud ist, dass sie von verschiedenen Plattformen nutzbar sind. So existieren in der Regel Zugriffsmöglichkeiten über einen Webbrowser sowie Clients für unterschiedliche Betriebssysteme und mobile Geräte (Mobiltelefone, Tablets).

Für den Datenaustausch kommen oftmals klassische Kanäle, wie zum Beispiel Web (HTTP/HTTPS) zum Tragen. Umso schwieriger wird es deshalb, die Nutzungsmöglichkeit solcher Dienste im geschäftlichen Umfeld auf technischer Ebene überwachen und einschränken zu können.

In so manchen Fällen macht der Einsatz solcher Dienste Sinn. Und umso schwieriger wird es oftmals ein gänzliches Unterbinden der Nutzung vor dem Management und den Arbeitnehmern zu rechtfertigen. Anstelle einer vollumfänglichen Einschränkung kann versucht werden klare Regeln für die sichere Nutzung zu definieren. Ein kleines Beispiel:

Ähnlich wie bei der Nutzung von Sozialen Netzwerken wird mit dem Auslassen eines absoluten Verbots verhindert, dass sich die Anwender um eine Überwindung dessen bemühen. Können sie dies nicht tun, stellt sich irgendwann Frustration und Neid gegenüber anderen, die diese neuen Dienste nutzen können, ein. Ein frustrierter Mitarbeiter ist langfristig auf allen Ebenen die grösste Gefahr für ein Unternehmen.

Mit dem Definieren klarer Richtlinien kann stattdessen der richtige und sichere Umgang mit den neuen Möglichkeiten beigebracht und durchgesetzt werden. Die Mündigkeit der Benutzer wird so gewahrt und ihnen damit einen grossen Teil der erforderlichen Wertschätzung zugetragen. Gleichzeitig kann man damit Missverständnissen und Leichtsinnigkeiten, die zu Sicherheitsproblemen führen können, vorbeugen.

About the Author

Marc Ruef has been working in information security since the late 1990s. He is well-known for his many publications and books. The last one called The Art of Penetration Testing is discussing security testing in detail. He is a lecturer at several faculties, like ETH, HWZ, HSLU and IKF. (ORCID 0000-0002-1328-6357)

Links

• http://blog.rootshell.be/2011/04/25/should-dropbox-co-be-killed/
• http://dereknewton.com/2011/04/dropbox-authentication-static-host-ids/
• http://en.wikipedia.org/wiki/List_of_cloud_computing_providers
• http://www.dropbox.com
• http://www.evernote.com
• http://www.me.com
• http://www.sugarsync.com