Der Scheitelpunkt der Hype-Kurve ist für die Cloud schon lange überwunden. Immer mehr Unternehmen lagern Anwendungen dorthin aus oder nutzen die standarisierten Angebote. Die Cloud hat sich also etabliert. Man sollte sich aber trotzdem immer wieder die Frage stellen, ob die Sicherheit, die man zweifelsohne immer benötigt, auch gewährleistet ist.
Ich habe mich in meinem letzten Projekt ausgiebig mit der Azure Cloud und Office 365 beschäftigt. Die Sicherheitsvorgaben meines Kunden aus der Finanzbranche waren sehr hoch, sodass ich tief in die Materie eintauchen musste.
Standarisierung
Die Angebote von Microsoft und Co. sind hoch standarisiert. Das trifft auch für alle Prozesse zu. Bei einem globalen Angebot mit dieser Komplexität bleibt den Unternehmen auch nichts anderes übrig. Mittels dieser Prozesse wird für eine sichere Mandantentrennung gesorgt und der Zugriff auf Daten soweit möglich reduziert.
So nutzt Microsoft beispielsweise das Lock-Box-Verfahren für Zugriffe durch Administratoren. Administratoren beantragen im erforderlichen Fall den Zugriff und bekommen diesen für 15 Minuten gewährt. Allerdings werden Sie vom Manger, der diesen Zugriff gewährt hat, bei der Ausübung Ihrer Tätigkeit beobachtet. Nach 15 Minuten ist dann erst mal Schluss. Genügen diese 15 Minuten nicht, muss der Zugriff bei einem anderen Manager beantragt werden und das Spiel geht von vorne los. Ich denke eine saubere Lösung. Viele dieser Prozess sind auch automatisiert. Ein Zugriff durch einen Administrator ist so gar nicht nötig.
Verteilte Administration
In der Azure Cloud gibt es eine Vielzahl von Administratorrollen. Man benötigt also nur ganz wenige globale Administrator und kann die Berechtigung für die anderen ganz auf Ihre Rolle zuschneiden.
Zertifizierung
Microsoft hat die Azure Angebote sehr umfangreiche zertifizieren lassen. Neben ISO/IEC 27018 und CSA ist alles vorhanden, was man sich in dieser Beziehung wünscht. Ich habe mir die Zertifikate genauer angeschaut.
Ein wichtiges Kriterium dabei war der Scope. Man kann sich natürlich auch nur den Hintereingang des Rechenzentrums zertifizieren lassen, wenn man das etwas überspitzt ausdrücken möchte. Zumindest bei Microsoft deckt der Scope der Zertifizierungen alles ab, was relevant ist.
Hier eine Übersicht der Zertifikate:
https://products.office.com/de-at/business/office-365-trust-center-compliance-certifications
Vertrauensvolle Aussagen?
Nun ist Papier geduldig, wenn man noch mal auf die altmodische Metapher zurückgreifen möchte. Es stellt sich also die Frage, wie vertrauenswürdig all diese Aussagen und Zertifikate sind. Ich denke, dass es sich Microsoft gar nicht erlauben kann hier zu schummeln. Das Geschäft würde zumindest massive Einbrüche erfahren, wenn das bekannt würde.
Weiterhin besteht ja die Möglichkeit eines Audits. Man kann also Microsoft besuchen und die Aussagen live überprüfen. Für Finanzinstitute in Deutschland gibt es hier sogar erweiterte Rechte zur Auditierung, die im Vertrag M399 geregelt sind.
Verschlüsselung
Per Default nutzt Microsoft eigene Schlüssel für Transport und Speicherung der Daten. Das passiert allerdings auf unterschiedliche Art und Weise. So wird beispielsweise für eine Skype Session ein Schlüssel per Zufallsgenerator erzeugt. Dieser wird nach der Session wieder gelöscht.
Für meinen Kunden war es, aufgrund der Sicherheitsvorgaben, nicht zulässig die Schlüssel des Cloud-Anbieters zu verwenden. Wir haben deshalb im Konzept vorgesehen mit Bring Your Own Key zu (BYOK) zu arbeiten, eine Möglichkeit, die für die Azure Cloud gegeben ist.
Man geht natürlich ein Risiko ein, wenn man die Schlüssel selbst verwalten möchte. Verlust, Diebstahl oder Ablauf eines Schlüssels kann zu problematischen Folgen führen.
Ich würde so ein sensitives Thema nicht einfach so starten. Generell muss festgelegt werden wie man mit Verschlüsselung umgehen möchte, man benötigt also ein Kryptokonzept. Darauf aufbauend sollte dann ein Key-Management eingeführt werden, wenn man die Schlüssel für die Cloud selbst verwalten möchte oder muss.
US Cloud Act
Was die Sicherheitsbetrachtungen für Cloudangebote von Anbietern aus der USA leider etwas trübt ist der US Cloud Act. Hierin verlangt amerikanisches Recht, dass Cloud-Anbieter aus der USA Daten amerikanischer Bürger oder Unternehmen herausgeben muss, auch wenn das Rechenzentrum nicht in der USA ist. Und das obwohl das lokalen rechtlichen Bestimmungen wiedersprechen kann.
In Europa ist das aufgrund der DSGVO nicht zulässig. Ich erwarte, dass die EU hier tätig wird, aber das kann natürlich dauern. Bis dahin ist BYOK sicherlich eine gute Lösung, da man mit den Daten nichts anfangen kann, wenn man den Schlüssel dazu nicht hat. Auch die USA nicht. Das Thema muss man auf jeden Fall weiter beobachten.
Zum Thema habe ich den folgenden interessanten Artikel gefunden.
https://m.heise.de/ix/heft/Wolkenbruch-4089925.html
Im Artikel habe ich auch gelernt, dass der Name „US Cloud ACT“ sich nicht direkt auf die Cloud bezieht.
„CLOUD steht in diesem Fall für „Clarifying Lawful Overseas Use of Data Act“, auf Deutsch etwa „Gesetz zur Klarstellung des rechtmäßigen Umgangs mit Daten im Ausland.“ (Zitat aus dem Artikel)
Sind eigene Rechenzentren besser?
Es gibt wohl kaum Unternehmen, die wirklich noch ein eigenes Rechenzentrum betreiben. In der Regel nutzt man einen externen Dienstleister dazu. Sicherlich sind auch dort die Sicherheitsstandards hoch, was aber auch je Anbieter recht unterschiedlich sein kann. Auf jeden Fall sollte bei der Betrachtung einen Vergleich der verschiedenen Lösungen einfließen, wenn man sich eventuell gegen die Cloud entscheiden möchte. Natürlich sollte man auch ein Rechenzentrum sorgfältig prüfen. Ein Rechenzentrum muss nicht zwangsläufig besser sein.
Treuhänder Cloud
Die Telekom bietet ja die Azure Cloud mit einem Treuhändermodell an. Das ist natürlich auch eine Lösung, welche aber ein paar Nachteile hat. So sind etliche Funktionen nicht verfügbar und die Nutzung mit externen Usern ist grundsätzlich eher eingeschränkt. Außerdem muss ein Aufschlag von rund 25% gezahlt werden. Ich würde also eher die Azure Cloud von Microsoft nutzen, was wohl auch die meisten Unternehmen tun.
Fazit
Meiner Meinung nach ist die Cloud eine gute Möglichkeit, die man nutzen kann. Wie bei allen IT-Projekten würde ich der Sicherheit heutzutage eine hohe Priorität geben, also mir die in Frage kommenden Angebot gut anschauen. Dazu gehören nicht nur die Cloud-Angebote, sondern auch On-Premise Installationen. Ein gutes Key-Management ist auf jeden Fall erforderlich, wenn man die Schlüssel selber verwalten möchte. Kein Angebot sollte in Betrieb gehen ohne die Sicherheit betrachtet zu haben. Alle Risiken müssen dabei auf den Tisch.