Betrachtung von Nutzen- und Sicherheitsaspekten des Cloud Computings

Inhalt

I. Abkürzungsverzeichnis

1. Einleitung

2. Definitionen von Cloud Computing

3. Cloud Computing: Motor für Ihr Kerngeschäft

4. Bemühungen zur Cloud-Standardisierung

5. Zehn Thesen zur Sicherheit in der Cloud

6. Cloud-Implementierungsmodelle

7. Cloud-Service-Modelle

8. Cloud Computing stärkt die Rolle der IT

9. Wolken mit Zukunft..

10. Cloud Computing - Trend oder nur ein Hype ?

11. Wichtigste Vorteile des Cloud Computings

12. Einfache Verwaltung in der Wolke

13. Wirtschaftlich in der Wolke

14. Cloud-Computing und die Schatten-IT

15. Eigenbetrieb versus Cloud Computing

16. Virtualisierung erfordert IT-Sicherheit

17. Himmlische IT-Cloud Computing für den Öffentlichen Sektor

18. Gemeinsam sicher in die digitale Welt von morgen

19. EU-Datenschutz für Cloud-Computing

20. Bundesamt erprobt Cloud

21. Virtualisierungsbeispiel bei Deutsche Post-DHL

22. Cloud Computing für Google Apps

23. Controlling war noch nie so einfach

24. Cloud Computing verändert die Welt der Rechenzentren

25. Cloud-Pläne deutscher Firmen

26. Cloud Computing in der Praxis

27. Sicher in die Cloud

28. Cloud Computing – made in Germany

29. Cloud-Computing - Schritt für Schritt

30. Gute Gründe für Cloud Computing

31. IT-Outsourcing durch Cloud Computing

32. Der virtuellen Datenverarbeitung gehört die Zukunft

33. Cloud-Anbieter auf dem Prüfstand

35. Virtualisierung im laufenden Betrieb

36. Überwachung der virtuellen Wolken

37. Zusammenfassung und Ausblick..

II. Quellen- und Literaturverzeichnis

I. Abkürzungsverzeichnis

Abbildung in dieser Leseprobe nicht enthalten

1. Einleitung

Seit dem Einzug des „WWW“ vollzieht sich ein enormer Wandel im IT-Sektor. Der Wettbewerbs- und Kostendruck in Unternehmen wird immer größer, da bereits viele Unternehmen durch das Internet große Geschäftserfolge verzeichnen können. Unternehmen konzentrieren sich stärker auf kostengünstigere Services, die auch virtuell bereitstehen. Bereits seit einigen Jahren gibt es virtuelle Services und diese wurden jetzt verstärkt für Unternehmen weiterentwickelt. Mit dieser Form der Weiterentwicklung begann ein Zeitalter, was heute u. a. auch mit „Cloud Computing“ bezeichnet wird.

Der Begriff Cloud Computing geht auf Prof. Ramnath K. Chellappa (Vgl. Chellappa (1997); Stand: 06.08.2010) zurück, der 1997 in Dallas auf einer Fachkonferenz das Cloud Computing als neues Paradigma der Datenverarbeitung einführte. Dabei werden Rechenleistungen aus dem Internet bezogen, das in Netzwerkplänen als Wolke (cloud) dargestellt wird.

Es gibt zur Zeit zu „Cloud Computing“ nur ungenügend Transparenz: Zu dem Begriff „Cloud Computing“ ergab eine Google-Abfrage am 03.06.2011 um 21:40 Uhr eine Trefferanzahl von ungefähr 72.500.000 Ergebnissen, eine weitere Abfrage nach „Cloud Computing Anbieter“ ungefähr 2.670.000 Ergebnisse und es wurden über 2.910.000 Ergebnisse zur Abfrage nach „Cloud Computing Sicherheit“ ausgegeben.

In dieser nachfolgenden Arbeit kann nur ein kleiner Überblick über den Kern-Nutzen von „Cloud Computing“ aufgezeigt sowie wesentliche Sicherheitsaspekte auf dem Weg in diese „virtuelle Welt“ erwähnt werden. Dazu wurden Veröffentlichungen vermehrt aus Internet-Recherchen verwendet, um wirklich über die neueste Entwicklung zu diesem aktuellen Thema zu informieren. Einige Internet-Adressen verweisen auf wichtige Dokumente und Produktentwicklungen zu Cloud Computing. Es gibt bereits diverse Studien zu „Cloud-Computing“, u. a. von Falkutäten, Wirtschaftsprüfungs-gesellschaften, IT-Unternehmen uvm. - um nur einige große marktführende Unter-nehmen* zu nennen: Atos Origin, BITKOM, Deloitte, Experton, Gartner, Fraunhofer, Haufe, Heise, HP, IDC, IBM, McKinsey , Microsoft, PwC, T-Systems. Einige Zitate dieser Studien wurden entnommen, um u. a. den heutigen Entwicklungsstand von Cloud Computing, die Wirtschaftlichkeit und auch die im Zusammenhang stehende Sicherheit bei IT-Outsourcing zu verdeutlichen.

*Anmerkung: Alle genannten Unternehmen in dieser Arbeit wurden nicht „als registriertes Unternehmen“ geprüft und somit nicht entsprechend mit „®“ gekennzeichnet.

2. Definitionen von Cloud Computing

Sinngemäß übersetzt beschreiben die englischen Begriffe „Cloud“ die Wolke und „Computing“ das Rechnen.

In Wikipedia (freie Enzyklopädie) findet man folgende Definition:

„Cloud Computing bzw. Rechnerwolke umschreibt den Ansatz, abstrahierte IT-Infrastrukturen (z. B. Rechenkapazität, Datenspeicher, Netzwerkkapazitäten oder auch fertige Software) dynamisch an den Bedarf angepasst über ein Netzwerk zur Verfügung zu stellen. Aus Nutzersicht scheint die zur Verfügung gestellte abstrahierte IT-Infrastruktur fern und undurchsichtig, wie in einer „Wolke“ verhüllt, zu geschehen.

Vereinfacht kann das Konzept wie folgt beschrieben werden: Ein Teil der IT-Landschaft (in diesem Zusammenhang etwa Hardware wie Rechenzentrum, Datenspeicher sowie Software) wird auf Nutzerseite nicht mehr selbst betrieben oder örtlich bereitgestellt, sondern bei einem oder mehreren Anbietern als Dienst gemietet, der meist geografisch fern angesiedelt ist. Die Anwendungen und Daten befinden sich dann nicht mehr auf dem lokalen Rechner oder im Firmenrechenzentrum, sondern in der (metaphorischen) Wolke (engl. „cloud“). Das Gestaltungselement eines abstrahierten Wolkenumrisses wird in Netzwerkdiagrammen häufig zur Darstellung eines nicht näher spezifizierten Teils des Internets verwendet.

Der Zugriff auf die entfernten Systeme erfolgt über ein Netzwerk, beispielsweise das des Internets. Es gibt aber im Kontext von Firmen auch sogenannte „Private Clouds“, bei denen die Bereitstellung über ein firmeninternes Intranet erfolgt. Die meisten Anbieter von Cloudlösungen nutzen die Poolingeffekte, die aus der gemeinsamen Nutzung von Ressourcen entstehen, für ihr Geschäftsmodell.“^[1]

„IT-Outsourcing in der Praxis“ entnimmt die Definition für Cloud Computing von Hewlett-Packard als „standardisierte und modularisierte IT-Dienstleistungen, die hoch skalierbar aus dem Internet bezogen werden und nach Verbrauch abgerechnet

werden“.^[2]

Das BSI (Bundesamt für Sicherheit in der Informationstechnik) bezeichnet Cloud Computing als ein Modell, das es erlaubt bei Bedarf, jederzeit und überall bequem über ein Netz auf einen geteilten Pool von konfigurierbaren Rechnerressourcen (z. B. Netze, Server, Speichersysteme, Anwendungen und Dienste) zuzugreifen, die schnell und mit minimalem Aufwand oder geringer Serviceprovider-Interaktion zur Verfügung gestellt werden können.^[3]

Der Behördenspiegel ist der Meinung, dass zur Zeit kein anderes The­ma häufiger, öfter und kontroverser diskutiert wird, und dass sich die Cloud in der letzten Zeit zu einem wahren Hype entwi­ckelt hat. Weiterhin zitiert er, dass man fast meinen könne, dass der Himmel voller Wolken hänge, auch bei strahlendem Sonnenschein. Cloud Computing sei aber nicht nur ein viel diskutiertes Thema, sondern auch ein viel definiertes. Lt. Meinung des Behördenspiegels sollen tatsäch­lich rund 70 verschiedene De­finitionen der Cloud existieren, aber davon soll keine bisher standardisiert sein.^[4]

3. Cloud Computing: Motor für Ihr Kerngeschäft

Siemens IT Solutions and Services berichtet im Newsletter vom 26.05.2011, dass es mehr als 67 Definitionen für Cloud Computing gibt, und dass über 120 Provider Cloud Services anbieten und auf dem Markt bereits unzählige Lösungen für E-Mail und Storage, für Applikationen und die Back-Office-Prozesse sind . Cloud Computing sei für sie mehr als eine Technologie. Trusted Cloud biete ihnen einzigartige Lösungswege und beruhe auf der unmittelbaren Kenntnis industrieller Prozesse (Einbindung unterschiedlichster Systeme und der globalen Reichweite). Cloud Computing helfe ihnen dabei, messbare Ergebnisse zu erzielen und schnell auf die Anforderungen des Marktes zu reagieren.^[5]

4. Bemühungen zur Cloud-Standardisierung

„IBM hat zusammen mit 45 Anbietern und Anwendern das „Cloud Standards Customer Council“ gegründet. Der „Cloud Standards Customer Council“ will Fragen der Interoperabilität, des Managements, der Referenzarchitekturen, der Hybrid-Cloud und Sicherheitsfragen regeln. Der Rat will herstellerunabhängige Standards aufstellen und ergänzen.

"Der Cloud Standards Customer Council ist offen für alle Endbenutzer-Organisationen", gab IBM weiter bekannt. Wie IBM am 7. April 2011 bekanntgab, gehören zu den weiteren Mitgliedern der Telekommunikationskonzern AT&T, die Softwarehersteller CA Technologies und Red Hat, der Finanzdienstleister Citigroup, der IT-Konzern Fujitsu, der US-Rüstungskonzern Lockheed Martin, die North Carolina State University und die Ohio State University und die Software AG in Deutschland.

Laut einer Deloitte-Studie im Auftrag des Bitkom von Januar 2011 sehen große Unternehmen in Deutschland zwar die Vorteile des Cloud Computing, fürchteten aber einen Kontrollverlust. Teilweise wurden von den Anwenderfirmen auch die avisierten Ziele nicht erreicht. Der Aufwand bei der Umsetzung habe sich oft als größer als erwartet erwiesen. Es bestünden maßgebliche Bedenken, Cloud Computing bei geschäftskritischen Anwendungen und Kernprozessen zu nutzen. So setzen knapp 60 Prozent der Befragten generell keine Cloud-Computing-Lösung ein und wollen es auch auf absehbare Zeit nicht tun.

Die „Gesellschaft für Informatik“ stellte im Dezember 2010 fest, dass Clouds ein Sicherheitsrisiko darstellen könnten: "Daher lassen bereits heute Unternehmen nur ausgewählte Daten in öffentlichen Clouds verarbeiten und verarbeiten wertvolle Daten ausschließlich in-house, in privaten Clouds."^[6]

5. Zehn Thesen zur Sicherheit in der Cloud

„Die Gesellschaft für Informatik (GI) ist eine gemeinnützige Fachgesellschaft zur Förderung der Informatik in all ihren Aspekten und Belangen. Gegründet im Jahr 1969 ist die GI mit ihren heute rund 24 000 Mitgliedern die größte Vertretung von Informatikerinnen und Informatikern im deutschsprachigen Raum.

Die Gesellschaft für Informatik (GI) hat nachstehende zehn Thesen zur Sicherheit und zum Datenschutz im Cloud Computing vorgestellt:

Öffentliche Clouds sind in Deutschland, im Ausland oder an nicht spezifizierten Orten und auch off-shore angesiedelt. Jedenfalls kann der Anwender nicht erkennen, an welchem Ort des weltweiten Internets seine Daten gespeichert oder verarbeitet werden. Die Cloud ist intransparent und damit unkontrollierbar.

Folgende Herausforderungen müssen nach Meinung der GI gelöst werden:

1. Clouds können ein Sicherheitsrisiko darstellen wegen der außerhalb des Unternehmens fehlenden Durchsetzungsmöglichkeit unternehmenseigener Sicherheitspolitiken, -strategien und -verfahren sowie Sicherheitsmaßnahmen und ihrer Kontrollierbarkeit.
2. Daher lassen bereits heute Unternehmen nur ausgewählte Daten in öffentlichen Clouds verarbeiten und verarbeiten wertvolle Daten ausschließlich in privaten Clouds (in-house).
3. Private Clouds unterscheiden sich unter Sicherheitsaspekten nicht von den herkömmlichen unternehmenseigenen IT-Systemen, weil sie der unternehmenseigenen Sicherheitspolitik unterliegen und vollständig kontrolliert werden können. Entsprechendes gilt für rechtliche Vorgaben für die innerbetriebliche Informationsverarbeitung.
4. Bei der Nutzung öffentlicher Clouds sind nationale Gesetze und branchenspezifische Selbstregulierungsmaßnahmen einzuhalten (Compliance); daraus folgt für einige Branchen, dass Clouds gar nicht genutzt werden dürfen. Risikomanagement und Sicherheitskonzepte sind bei der Nutzung von Clouds anzupassen.
5. Der Transport der zu verarbeitenden Daten zu öffentlichen Clouds erfolgt über das völlig unsichere Internet und kann nur äußerst aufwändig abgesichert werden.
6. Daten können zur Erhöhung der Vertraulichkeit in der Cloud verschlüsselt gespeichert werden; allerdings können Daten nicht verschlüsselt verarbeitet werden, dazu müssen sie in der Cloud erst wieder entschlüsselt werden und können dann in öffentlichen Clouds von Dritten ausgelesen werden. Kein Programm zum Transport zu Clouds und zur Verwaltung von Clouds samt den Verschlüsselungsprogrammen und Protokollen ist fehlerfrei; es kann kritische Sicherheitslücken enthalten, die Dritten ein Auslesen oder Abhören der Daten erlauben.
7. Sicherheitsrelevante Vorfälle müssen sorgfältig untersucht werden können. Dies wird allerdings durch die geografische Verteilung der sehr vielen genutzten IT-Systeme schwierig bis unmöglich.
8. Cloud-Betreiber können ihre Dienste einstellen - etwa bei wirtschaftlichen Schwierigkeiten. Auch in solchen Fällen muss nicht nur vertraglich sondern auch technisch die volle Kontrolle durch den Anwender erhalten bleiben.
9. Bei vertraglichen Vereinbarungen besteht häufig eine Diskrepanz zur technischen Durchsetzung (technische Unmöglichkeit der Datenlöschung bei Vertragsende oder besonderen Ereignissen wie Insolvenz).
10. Zur Beherrschung der Risiken durch gemeinsame Nutzung von Hard- und Software (Internet, Infrastruktur, Software und Verfahren) gleichzeitig mit unbekannten Dritten muss Cloud Computing dem Wert der verarbeiteten Daten entsprechend abgesichert werden.“^[7]

6. Cloud-Implementierungsmodelle

Enterprise Private Cloud: Die Cloud-Infrastruktur wird ausschließlich für eine Organisation betrieben. Sie kann im Hause oder auch extern implementiert sein und bietet den Vorteil der vollständigen Kontrolle. Andererseits erfordert eine Private Cloud aber umfangreiches Cloud-Know-how im Hause. Darüber hinaus ist dieser Ansatz aufgrund der benötigten Skaleneffekte nur bei entsprechender Größe (>500 Betriebssystem-Instanzen) der Umgebung finanziell sinnvoll.^[8]

Managed Private Cloud: Wie Enterprise Private Cloud jedoch von einem externen Dienstleister betrieben.

Virtual Private Cloud: Hier handelt es sich um eine dedizierte Cloud-Umgebung bei einem Cloud-Anbieter, der diese exklusiv für seinen Auftraggeber betreibt. Der Anbieter stellt standardisierte Dienste zur Verfügung, die er entsprechend kostengünstig unterhalten und anbieten kann. Der Dienstleister hat wenig Einfluss und Kontrolle über die Dienste.

Community Cloud: Eine Cloud-Umgebung, die von verschiedenen Organisationen gemeinsam genutzt wird. Sie dient einem gemeinsamen Zweck oder Ziel. Mehrere Unternehmen können gemeinsame Dienste oder Funktionen zusammenlegen, z. B. um sich auf das Kerngeschäft zu konzentrieren oder Kosteneinsparungen durch Skaleneffekte zu realisieren. Auch neue, innovative Dienste werden damit realisierbar (vgl. Kapitel 3).

[...]

^[1] http://de.wikipedia.org/wiki/Cloud_Computing (abgerufen 07.06.2011 16:49)

^[2] Vgl. Torsten Gründer, IT-Outsourcing in der Praxis, 2. Auflage, Erich Schmidt Verlag, ISBN 978 3 503 09015 0, eBook: 978 3 503 12 949 2

^[3] Vgl.https://www.bsi.bund.de/SharedDocs/Downloads/DE/BSI/Mindestanforderungen/Eckpunktepapier-Sicherheitsempfehlungen-CloudComputing-Anbieter.pdf?__blob=publicationFile (abgerufen 03.06.2011 13:42)

^[4] Vgl. CeBIT-Sonderausgabe des Behörden Spiegel. Nr. 477 Berlin und Bonn. 01. März 2011.ISSN1867-1993. http://www.krz.de/media/custom/661_1268_1.PDF?1299005596 Seite 5 (abgerufen 28.05.2011 07:17)

^[5] http://www.it-solutions.siemens.com/country/cee/de/oesterreich/newsletter/ausgabe2/Seiten/CloudComputing.aspx (abgerufen 05.06.2011 08:26)

^[6] http://www.golem.de/1104/82640.html (abgerufen 05.06.2011 09:48)

^[7] http://www.automotiveit.eu/wp-content/plugins/extended-pdf-creator/pdf.php?id=20130 (abgerufen 07.06.2011 20:45)

^[8] Torsten Gründer, IT-Outsourcing in der Praxis, Erich Schmidt Verlag, 2. Auflage,