News

Rufe nach Transparenz bei der Cloud Security werden lauter

Michael S. Mimoso, Chefredakteur

Transparenz bei Cloud Security beschränkt sich heute meist auf ein Gespräch, in dem Unternehmenskunde und sein Service-Provider Vertraulichkeit in Bezug auf die Schutz-Maßnahmen des Providers vereinbaren. Dies mag den Kunden zufrieden stellen und dem Provider den gewünschten Auftrag einbringen, doch effizient ist dieses Vorgehen für keine der beiden Seiten.

Viele CIOs sind ängstlich, weil sie glauben, dass sie noch nicht genug über die Cloud wissen
Chris Richter, Vice President für Managed Security Services bei Savvis.

Trotz mehrerer Bemühungen um eine Standardisierung in diesem Bereich haben Provider noch keine wiederholbaren Prozesse für derartige Interaktionen entwickelt. Kunden fällt es deshalb oft schwer, hier zu tragfähigen Vergleichen zu kommen.

Je stärker sich jedoch IT in Richtung von Plattformen für Cloud-Computing entwickelt, die durch Effizienz und Flexibilität locken, desto lauter werden auch die Rufe nach Transparenz für die Cloud. Unternehmen, die Anwendungen und Daten dorthin verlagern oder die Dienste eines Anbieters nutzen, müssen auch die Sicherheitsmaßnahmen beim Cloud-Provider kennen. Die jedoch sind zurückhaltend damit, proprietäre Informationen herauszugeben und sich möglicherweise anfällig für Angriffe zu machen.

„Kunden versuchen derzeit herauszufinden, welche Fragen sie Cloud-Providern stellen und wie sie die Risiken eines Dienstes und die Frage, ob er ihre Compliance-Anforderungen erfüllt, evaluieren können“, sagt Tim Rains, Produktmanagement-Direktor in der Trustworthy Computing Group von Microsoft. „Die Kunden wollen bei Dienst-Angeboten Äpfeln mit Äpfeln vergleichen. Sie brauchen eine Sammlung von Standard-Fragen, die sie stellen können und auf die sie konsistente Antworten erwarten. Das jedenfalls hören wir von ihnen.“

Noch am nächsten kommt einem Standard-basierten Ansatz hier die Ende vergangenen Jahres gestartete Security and Assurance Registry der Cloud Security Alliance (CSA), kurz STAR: Sie soll zu einem öffentlichen Aufbewahrungsort für die Sicherheitsmaßnahmen der Cloud-Provider werden. Mitglieder von STAR können entweder den Fragebogen der Consensus Assessments Initiative der CSA ausfüllen oder den Rahmen-Fragebogen Cloud Controls Matrix, die jeweils auf ISO 27001 basieren; dabei müssen sie zustimmen, dass die Angaben online öffentlich zugänglich gemacht werden.

„Die Provider wollen keine neuen Sicherheitsprobleme schaffen und deshalb nichts veröffentlichen, was sich ausnutzen ließe“, sagt Jim Reavis, Geschäftsführer der Cloud Security Alliance. „Aber wenn wir mit den Fragebögen erst einmal durch sind, verstehen die Provider, dass sie dort nicht etwa die Ergebnisse eines Scans mit HP WebInspect einstellen sollen. Es geht darum, ob sie überhaupt eine Web-Überprüfung vornehmen und wie sie die Ergebnisse dem Kunden zur Verfügung stellen. Wenn die Provider das verstanden haben, sind sie schon fast überzeugt und halten das Vorhaben für sinnvoll. Der Rest sind dann fast nur noch rechtliche Fragen.“

Laut Reavis haben inzwischen die meisten großen Provider Fragebögen ausgefüllt und sich im Prinzip zu den STAR-Bemühungen bekannt; derzeit seien die Rechtsteams dabei, die Antworten zu überprüfen und zu entscheiden, wie detaillierte Informationen sie öffentlich machen wollen. Bislang haben nur Microsoft, Mimecast und Solutionary ihre Maßnahmen zur Veröffentlichung freigegeben.

„Aus unserer Sicht ist STAR ausgesprochen sinnvoll“, sagt der Microsoft-Manager Rains, „Industrie und Provider haben sich zusammengesetzt, um auf der Grundlage von Standards eine Reihe von Fragen auszuarbeiten. Die Fragen sind ebenso standardisiert wie die Antworten, so dass Nutzer Äpfel mit Äpfeln vergleichen können und alles auch international gesehen einheitlich ist.“

Auch die Beachtung des ISO-Standards 27001 hält Provider davon ab, zu viele Informationen bereitzustellen, sagt Rains. Als Beispiel dafür nennt er den Umgang mit Nachweisen der Nutzer-Identität im Abschnitt über Architektur des Microsoft-Fragebogens zu Office 365: ISO 27001 verlangt, dass Passwörter alle 90 Tage neu vergeben werden und mindestens sieben Zeichen umfassen; Microsoft gibt hier nur an, dass es für Passwörter eine maximale Gültigkeitsdauer und eine Mindestlänge gibt.

„Wir verraten niemanden, ob es zum Beispiel 90 Tage sind, wir sagen nur, dass wir den ISO-Standard einhalten und dass unabhängige Auditoren dafür sorgen, dass wir tun, was wir tun sollen“, erklärt Rains. Für Kunden sei dies eine Grund-Versicherung, dass an Sicherheit entsprechend einem internationalen Standard gedacht wird – wer mehr wissen will, kann dafür mit einer Vertraulichkeitsvereinbarung sorgen.

„Uns werden derartige Fragen und solche mit Bezug auf die entsprechenden Compliance-Regeln ständig gestellt“, sagt Ken Owens, technischer Vice President für Sicherheit und Virtualisierung beim Service-Provider Savvis. „Der Fragebogen liefert hier Basis-Antworten, und wir können damit eine gute Geschichte darüber erzählen, wie ernst wir Sicherheit nehmen. Für uns ist er ein nützliches Werkzeug für erste Gespräche mit Kunden, Details werden dann vertraulich gehandhabt.“

Die Provider hoffen dabei darauf, dass Sicherheit irgendwann zum Differenzierungsmerkmal für ihre Angebote wird. In einer Umfrage von Savvis im März 2011 unter gut 400 IT- und Sicherheitsmanagern wurde Sicherheit mit weitem Abstand als größte Hürde für den Einsatz von Cloud-Computing in Unternehmen genannt. Laut Owens werden die Kunden immer interessierter an Cloud- und Sicherheitsfragen und üben Druck auf die Provider aus, transparenter zu werden: Sie wollen nicht nur wissen, ob sich ihre Anwendungen für die Cloud eignen, sondern auch, ob es dort spezielle Risiken gibt, wie sich diese einschätzen lassen und wie die Einhaltung von Sicherheitsrichtlinien überwacht werden kann, wo ihre Daten liegen und ob sie informiert werden, wenn der Provider sie verlagert.

„Wir beobachten eine gewisse Zurückhaltung bei der Verlagerung von Unternehmensanwendungen in die Cloud, ausgelöst durch Sicherheitsbedenken“, sagt Chris Richter, Vice President für Managed Security Services bei Savvis. Viele CIOs seien ängstlich, weil sie glauben, dass sie noch nicht genug über die Cloud wissen.

Initiativen wie STAR von der CSA können deshalb viel dazu beitragen, dass die Kunden besser informiert sind, sagt Reavis. „Wir erledigen einen Teil der Arbeit für sie. Die Werkzeuge dafür sind da, und vielleicht können wir damit etwas Zeit für die Due Diligence sparen helfen. Warum sollte jeder eigene Werkzeuge zur Beurteilung entwickeln? Nehmen wir lieber ein gemeinsames. Manche Kunden haben das verstanden, und ich hoffe hier im Stillen auf so etwas wie eine virale Occupy-Bewegung der Cloud-Provider. Wenn Kunden nicht danach fragen und die Provider keine Notwendigkeit sehen, so etwas anzubieten, wird es zu hässlichen Zwischenfällen kommen, und die Leute werden viel Zeit verschwenden“.


Ihre Meinung zum Artikel Kommentar

Teilen
Kommentare

    Ergebnisse

    Tragen Sie zu dem Gespräch bei

    Alle Felder sind erforderlich. Kommentare werden unterhalb des Artikels erscheinen.