Springe zum Hauptinhalt

2010-04: Studie über Cloud ignoriert Security

Mu­tig sind die Markt­for­scher. Die Cloud als ul­ti­ma­ti­ve Lö­sung – für al­les, was IT heißt:

  • wenn IT zu teu­er ist,

  • wenn IT zu auf­­wän­­dig und zu per­­so­na­l­in­ten­­siv ist,

  • wenn IT ska­­lie­ren muss.

Al­les Ar­gu­men­te, die die man durch­aus gel­ten las­sen kann. Und die auch – mehr oder we­ni­ger – be­leg­bar oder zu­min­dest lo­gisch schei­nen, auch wenn man kei­ne Kris­tall­ku­gel be­sitz­t.

Zwar sind auch die­se Ana­lys­ten so re­a­lis­tisch, Blo­cka­den der Cloud zu er­ken­nen: Die noch feh­len­den Ab­rech­nungs­mo­del­le, das knap­pe An­ge­bot, feh­len­de SLAs und ei­ne noch schwie­ri­ge recht­li­che Si­tua­ti­o­n, vor al­lem bei An­bie­tern aus USA.

Doch sie über­se­hen schein­bar völ­lig den Aspekt Si­cher­heit. Da­bei ist doch die Clou­d, der öf­fent­li­che Raum des In­ter­net, in dem sich plötz­lich al­les ab­spie­len soll, der Alp­traum al­ler Si­cher­heits­s­pe­zi­a­lis­ten. Viel­leicht ha­ben wir als Se­cu­ri­ty­-­S­pe­zi­a­lis­ten aber auch nur einen zu en­gen Ho­ri­zont. Ich wun­de­re mich je­den­falls, wie­so die­ser Aspekt so we­nig Ge­wicht hat.

Da­bei las­sen sich ei­ne Lat­te von Ri­si­ken auf­zäh­len, die min­des­tens so lang ist, wie al­le ge­nann­ten Vor­tei­le. Hier ein paar Bei­spie­le:

  • Sie wis­­sen nie, mit wem sich Ih­­re vir­tu­el­le Ma­­schi­­ne den Host teil­t. Und ob die­­ser an­­de­­re nicht aus sei­­ner vir­tu­el­len Ma­­schi­­ne auf den Host aus­­­bricht und Ih­­re Ma­­schi­­ne kom­pro­­mit­tier­t. In ei­­ner kom­plett öf­­fent­­li­chen Cloud wä­ren Sie dann nur das Zu­fall­s­op­­fer – wie heu­te beim Phi­s­hing. Aber ich se­he schon die er­s­ten An­­grei­­fer, die ge­­zielt Kun­­den bei gro­­ßen An­­bie­tern wer­­den, um in de­ren „pri­va­ten Clou­d“ zu an­­geln.

  • Ein Si­cher­heits­­­kon­­zept mit meh­re­ren Klas­­sen lässt sich in der Cloud nur schwer re­a­­li­­sie­ren – und qua­­si gar nicht über­­prü­­fen. Viel­leicht ge­­lingt es Ih­­nen, per Clou­d­­-­­­Ver­­­trag aus­­­zu­sch­lie­­ßen, dass vir­tu­el­le Ma­­schi­­nen un­­ter­­schie­d­­li­cher Si­cher­heits­­­klas­­sen auf dem glei­chen Host lau­­fen. Aber wie wol­len Sie das je­­mals über­­prü­­fen? Die Re­vi­­si­­ons­ab­tei­­lung wird sich freu­en!

  • Diens­te wie E-­­­Mail in die Cloud zu ver­­la­­gern ist auch kei­­ne gu­te Ide­e. Hier droht mas­­si­­ver Ver­­trau­ens­scha­­den, wenn die Kun­­den das mit­­­be­­kom­­men. Oder wol­len Sie bei ei­­nem Kon­­zern ver­­­si­chert sein, de­ren Mails bei Goo­gle­­-­­­Mail lie­­gen?

In ei­ni­gen Be­rei­chen hat die Cloud be­stimmt ih­re Be­rech­ti­gung. Aber aus Se­cu­ri­ty­-­Sicht wird sie nicht die Rol­le der ei­er­le­gen­den Woll­milch­sau spie­len – spie­len kön­nen, die ihr die Ana­lys­ten vor­aus­sa­gen. Es sei denn die Se­cu­ri­ty­-­In­dus­trie war­tet eben­falls mit ei­ner „ul­ti­ma­ti­ven Clou­d­-­Se­cu­ri­ty­-­Lö­sung“ auf, die al­le Pro­ble­me ver­schwin­den läss­t.

Frühere Beiträge

…. hier auf­füh­ren

Rest wie gehabt:

Über Goebel Consult

[Lo­go, links­bün­dig]

IT­-­Se­cu­ri­ty Ma­nage­ment in kom­ple­xen Um­ge­bun­gen

Seit zehn Jah­ren ist Hart­mut Go­ebel für re­nom­mier­te Kun­den aus g

Portrait von Hartmut Goebel

Hartmut Goebel

Diplom-Informatiker, CISSP, CSSLP, ISO 27001 Lead Implementer

Haben Sie noch Fragen?
Anruf oder Mail genügt:
  +49 871 6606-318
  +49 175 29 78 072
  h.goebel@goebel-consult.de