Über unsMediaKontaktImpressum
Dr. Sebastian Broecker 12. Januar 2016

Über die Risiken des Cloud-Computings – Abschied von Wolke Sieben

Laut dem Statistikportal Statista [1] wird im Jahr 2016 der Umsatz an Cloud-Computing in Deutschland 20 Milliarden Euro betragen. Dies ist etwa doppelt so viel wie zwei Jahre davor. Cloud-Computing ist also stark im Wachstum begriffen. Dies ist auch durchaus zu erwarten, da Cloud-Anbieter oft günstiger und verlässlicher ihre Dienste anbieten können, als die hauseigene Technikabteilung vieler Firmen. Doch gerade die finanziellen Vorteile des Cloud-Computings lassen viele Manager die zahlreichen Risiken dieser Technologie vergessen. Denn diese Risiken sind nicht nur technischer Natur, sondern betreffen oft auch Compliance, die Vertragsgestaltung und organisatorische Dinge. Im Folgenden sollen daher diese Risiken betrachtet und in einer Checkliste für Cloud-Wannabes zusammengefasst  werden.

Cloudcomputing als Heilsbringer?

Definition der Cloud

Betrachtet man Cloud-Computing, so scheint es ein modernes Hype-Wort zu sein, dass vor allem in den letzten Jahren stark an Bedeutung gewann. Laut Wikipedia [2] war 1999 Salesforce.com die erste kommerzielle Cloud-Anwendung. Doch eigentlich ist die Idee des Cloud-Computings noch älter, nehmen wir frühe Webmailer und Chatdienste wie Yahoo oder AOL.

Doch was ist Cloud-Computing eigentlich? Hier unterscheiden sich die Definitionen vom BSI, dem amerikansichen NIST und Wikipedia stark. Doch auch wenn man sich auf nur eine Instanz einlässt, gibt es nochmals viele granulare Unterscheidungen, z. B. IaaS, PaaS, SaaS, hybride Cloud usw.

Dies ist aber eher verwirrend. Daher wird für den Zweck dieses Artikels eine Definition des Autors verwendet, die stark vereinfacht Cloud-Computing wie folgt definiert: "Cloud-Computing ist die dynamische Nutzung von Diensten Dritter über ein Datennetz (Internet). Dabei können die näheren Umstände der Diensterbringung unklar sein (z. B. wo die Cloud-Server stehen). In der Regel ist die Nutzung der Cloud-Dienste von überall her möglich (sofern z. B. die Zugriffsauthorisierung stimmt)."

Warum ist die Cloud so vielversprechend?

Die Nutzung von Cloud-Diensten bietet viele Vorteile. Allem voran der finanzielle Aspekt und die Verlässlichkeit. Für nur wenige Euro pro User und Monat lässt sich ein 24/7 Business-E-Mail-Dienst mieten, der zudem eine Verfügbarkeit von 99 Prozent oder höher hat. Dies sind durchaus valide Argumente für einen Entscheider. Hinzu kommt, dass das Know-how (z. B. Outlook-Administration) nicht im Unternehmen bereitgestellt werden muss und die Nutzerzahlen meist frei skalierbar sind. Wird also z. B. eine neue Niederlassung einer Firma eröffnet, so können problemlos Hunderte oder gar Tausende neuer User meist sogar im Self-Service hinzugefügt werden. Diese User können auch problemlos an einen anderen Standort umziehen und von dort aus mit ihren User-Credentials weiter arbeiten. Warum sollte man daher skeptisch sein? Die "Cloud" scheint doch nur Vorteile zu haben? Im Folgenden wird jedoch an einigen interessanten Beispielen gezeigt, dass die Realität manchmal anders als das Werbeversprechen aussehen kann.

Risiko 1: Verfügbarkeit

In der Regel garantieren Cloud-Anbieter eine Verfügbarkeit von 99.9 Prozent oder höher. Meist sind die garantierten maximalen Downtimezeiten kleiner als 4 Stunden pro Jahr. Dies klingt akzeptabel. Doch die Realität ist manchmal weit von Werbeversprechen und SLAs entfernt. Im August 2011 kam es in der Amazon-Cloud durch Blitzschlag zu einem größeren Ausfall. Laut Computerweekly [3] konnten in 60 Prozent der Fälle die betroffenen Instanzen innerhalb von 12 Stunden (!) wiederhergestellt werden. Ein Jahr später fielen bei RIM die Blackberrydienste sogar für bis vier Tage aus. Aber das ist noch nicht alles. Bei dem oben genannten Ausfall der Amazon-Cloud gingen in einzelnen Fällen die Daten komplett verloren [4]. Dies kann die Existenz einer Firma, die auf die Cloud-Daten angewiesen ist, durchaus gefährden. Oder in Einzelfällen sogar Menschenleben. So wandte sich im April 2011 eine Firma, die medizinische Daten von Herzpatienten erfasst, verzweifelt auf dem Webformular von Amazon an diesen Cloud-Anbieter, da durch einen Cloud-Ausfall die Patienten nicht mehr überwacht werden konnten [5]. Dies ist eine gute Überleitung zum Thema "Kompensationszahlungen" der Cloud-Anbieter.

Risiko 2: Ungenügende Verträge

Im vorherigen Kapitel wurde dargestellt, wie schwerwiegend die Auswirkungen eines Cloud-Ausfalles sein können. Wenn Sie einen Standardvertrag mit dem Cloud-Anbieter haben (was in der Regel der Fall ist) werden Sie über die Höhe der Schadensersatzleistungen staunen, wenn Sie sich nicht eindringlich vorher damit beschäftigt haben. Folgende Beispiele sollen hier zum Nachdenken anregen:

Weihnachten 2014 fiel das Playstation-Netzwerk aus, so dass viele gekaufte Spiele nicht genutzt werden konnten. Als Entschädigung bot Sony hier 5 Tage freies Netzwerknutzen im Premiumdienst an, sowie 10 Prozent Nachlass beim Kauf eines weiteren Konsolenspieles [6]. Im Falle von kommerziellen Business-Lösungen ist es jedoch nicht immer anders. Der schwere Ausfall der Amazon-Cloud, teilweise mit Datenverlust, führte zu einer Entschädigungsleistung von Amazon in Höhe von 10 Tagen freier Cloud-Nutzung [7]. Ob dies einen Stillstand der Firma oder gar deren Existenzgefährdung kompensieren kann, sollten Sie entscheiden!

Risiko 3: Datenschutz

Gerade bei personenbezogenen Daten gibt es sehr strenge Richtlinien, wo die Daten gespeichert werden dürfen. Mit dem aktuellen Urteil zum Safe Harbour [8] wird es für Cloud-Dienste-Nutzer (im Sinne von Vertragsabschliessenden) deutlich schwieriger, personengebunde Daten in den USA zu lagern. Doch auch viele andere außereuropäische Länder sind datenschutzrechtlich problematisch. Doch bedenken Sie stets, dass personenbezogene Daten nur einen Teil von vertraulichen Daten ausmachen. Vertrauliche Daten zu Prototypen, Patenten oder medizinischen Wirksamkeitsstudien können für Dritte sehr interessant sein. Und freie Cloud-Kapazitäten werden oft von einem Anbieter zum nächsten weiter verkauft. So wurde inzwischen bekannt, dass Apple Cloud-Speicher bei Microsoft und Amazon einkauft [9]. Haben Sie dies gewusst?

Risiko 4: Prozessfehler

Angenommen Ihre Firma nutzt Cloud-Dienste von Dritten. Zum Ende eines Quartals benötigt Ihre Firma besondere Rechenkapazitäten, z. B. für bestimmte Abrechnungen. Für die Beantragung größerer Speichermengen verlangt der Cloud-Anbieter zwei Wochen Vorlauf, Aufkündigungen der Kapazitäten können jedoch innerhalb einer Woche geschehen. Was ist nun, wenn ein Hacker oder ehemaliger Mitarbeiter (dessen Rechte zum Zugriff auf die Cloud nicht aufgehoben wurden) nun eine Woche vor Quartalsende per Mail die benötigten Kapazitäten aufkündigt? Dies könnte zu schwerwiegenden Problemen zum Quartalsende führen! Dies ist aber nur ein Beispiel für Prozessfehler, die sich beim Thema Cloud einschleichen können.

Ein anderer Fehler wäre, für den Cloud-Prozess zu wenige oder die falschen Keyplayer einzubinden. Denn die Cloud-Nutzung ist komplex, wie Sie an den o. g. Beispielen sehen konnten. Vertragsrecht, Datenschutz, Bewertung der Kritikalitäten und Security sind nur Beispiele der Bereiche, die in einen Cloud-Nutzungsprozess eingebunden werden müssen.

Was kann man tun?

Bevor Sie in die Cloud abheben, sollten Sie folgende Punkte überlegen:

Phase 1: Frühe Projektplanung

  • Was wollen Sie genau in die Cloud stellen? Und warum?
  • Wollen Sie nur Teilaspekte eines Projekts auslagern, oder das ganze Projekt?
  • Welche Dienste wollen Sie nutzen (SaaS, Iaas, etc.)?
  • Was sind die Vorteile (Business Case), die Sie sich versprechen?
  • Haben Sie bedacht, dass manche Dinge in der internen Leistungsabrechnung teurer werden können, als bisher, weil Teildienste ausgelagert werden?
  • Welche Grundleistungen erwarten Sie (z. B. Support von 9-17 Uhr) und was sind Sie bereit, für Leistungen außerhalb dieser Supportverträge zu zahlen (z. B. wenn der Vorstand um 20 Uhr ein Problem mit dem Cloud-Zugriff auf einen wichtigen Vortrag gefixt haben will)?

Phase 2: Detaillierte Projektplanung

  • Wie sind die Sicherheitsziele des Cloud-Projekts zu bewerten? Vertraulichkeit (BDSG nicht vergessen!), Datenintegrität, Systemverfügbarkeit. Wie lange können Sie einen Ausfall verkraften (z. B. eine Stunde oder eine Woche)? Was passiert, wenn die Daten verändert werden (z. B. durch einen Hacker)? Was passiert – z. B. als Rufschädigung – wenn die Vertraulichkeit der Daten gebrochen wird (z. B. wenn der Hacker Daten veröffentlicht)
  • Bedenken Sie, dass die Verfügbarkeit von zwei Dingen abhängt: Von der Dienstleistung des Cloud-Providers und der Erreichbarkeit übers Netz. Was passiert, wenn der Dienstleister durch einen DDoS-Angriff über Tage hinweg nicht verfügbar ist (es aber nicht in seiner Schuld liegt). Hat der Cloud-Provider Konzepte gegen DDoS-Attacken?
  • Welche Keyplayer in Ihrem Unternehmen sollten einbezogen werden? Datenschutz? Rechtsabteilung? Vertragswesen? IT Security? Architekturboard (wegen der strategischen Ausrichtung)? Betriebsrat? Einkauf? Kommunikationsabteilung?

Phase 3: Strategische Planung

  • Wollen Sie wirklich das Firmenwissen zu dem Projekt aufgeben (Beispiel Outlook Administration)?
  • Das Projekt kann Schnittstellen zu anderen Abteilungen haben. Sind Sie sicher, dass wichtige Informationen nicht verloren gehen, wenn Sie die Projekt-Kernkompetenzen nicht mehr in der Firma haben?
  • Wie sieht die geplante Userzahlen-Entwicklung aus? Könnten schnell aus 100 Testusern 10.000 werden, weil das Projekt erfolgreich ist?
  • Wie sieht die strategische Planung des Unternehmens – konkret des Architekturboards – aus? Vielleicht soll das Betriebssystem Linux ausgebaut werden, die Cloud-Lösung basiert aber vielleicht auf Windows?
  • Wer kann die Gesamtrisiken tragen? Diese haben viele Aspekte, von Wissensverlust, über Complianceanforderungen (z. B. BDSG), über Securityfragen, Vertragsgestaltung (incl. Schadensersatz bei Nichterfüllung der Cloud-Dienste). Versteht der Einkäufer die Anforderungen, z. B. personenbezogene Daten nicht in China.

Phase 4: Vertragsgestaltung

  • Bewerten Sie die Kompensationszahlungen für einen Ausfall des Cloud-Dienstes richtig. So kann ein mehrtägiger Ausfall Ihrer Kerndienste, z. B. der Webseiten zum Verkauf von Gütern, zu einem Kundenverlust führen. Oder zu schweren Reputationsschäden. Oft ist ein normaler Projektleiter mit solchen Fragen überfordert, hier sollte daher ausreichendes Expertenwissen in die Planung mit einbezogen werden.
  • Wann ist ein Ausfall ein Ausfall? Was ist, wenn das Cloud-Angebot zwar angeboten wird, aber durch Internetstörungen keine Nutzung erfolgen kann? Oft definieren Cloud-Anbieter einen Ausfall auch nur dann als Ausfall, wenn bestimmte Bedingungen zutreffen, der Ausfall z. B. auf mehreren Kontinenten gleichzeitig auftritt.
  • Denken Sie nicht nur an den Datenschutz nach BDSG (personenbezogene Daten), sondern auch an die allgemeine Vertraulichkeit bestimmter Daten (z. B. Patente). Welche Schutzmaßnahmen gegen Einsichtnahme dieser Daten bietet der Cloud-Anbieter? Ist er hier extern auditiert? Lässt er Audits durch Ihre Organisation zu?
  • Welche besonderen Schutzmaßnahmen trifft der Anbieter gegen Hacking, DDoS Angriffe, etc.?
  • Was passiert am Ende der Vertragslaufzeit? Hilft Ihnen der Anbieter die Daten zu einem neuen Anbieter zu migrieren?
  • Welche Dienste bzw. welchen Supportlevel benötigen Sie? Ein "Standardtarif" kann preiswert sein, solange keine Sonderwünsche auftreten (Betreuen des Vorstands nach 17 Uhr!). Welche Reaktionszeiten bietet der Anbieter bei Problemen? Ist es denkbar, dass für Ihr Unternehmen ein Vertrag abgeschlossen wird, der über normale Standardverträge hinausgeht?
  • Wer darf im Unternehmen die Kapazitäten und Vertragsmodalitäten ändern? Wie wird gewährleistet, dass hier kein Missbrauch (z. B. kurzfristiges Abkündigen von Serverkapazitäten) stattfindet? Läuft die E-Mail-Kommunikation mit dem Anbieter verschlüsselt und signiert ab (sofern Ihr Unternehmen dies nutzen kann)?
  • Kann die Einkaufsabteilung Ihrer Firma wirklich alle Aspekte, von IT-Security bis Datenschutzgesetz verstehen? Hier ist es sicherlich sinnvoll, wenn alle Keyplayer bei der Vertragsprüfung dabei sind.

Fazit

Wie Sie nun anhand dieser Beispiele gesehen haben, ist eine Nutzung der Cloud zwar aus vielen Gründen reizvoll, doch verbergen sich auch ausreichend Fallstricke dabei. Nutzen Sie daher sowohl diese Checkliste, als auch Quellen wie die Veröffentlichungen des BSIs [10] oder des NIST [11], wenn Sie sich auf das Thema Cloud einlassen wollen. Cloud-Computing ist ein Werkzeug, wie jedes andere digitale auch. Es ist nicht gut oder schlecht, es ist nur komplex und bedarf vieler Vorüberlegungen. Mit ein wenig Planung sind Sie dann auch bereit, in die Wolke abzuheben.

Autor

Dr. Sebastian Broecker

Dr. Sebastian Broecker, (ISC)²-zertifizierter CISSP, ist seit sieben Jahren CISO (Chief Information Security Officer) bei der Deutschen Flugsicherung.
>> Weiterlesen
botMessage_toctoc_comments_9210