Security-Analyse von Cloud-Computing Mathias Ardelt
Security-Analyse von Cloud-Computing Mathias Ardelt
Security-Analyse von Cloud-Computing Mathias Ardelt
Erfolgreiche ePaper selbst erstellen
Machen Sie aus Ihren PDF Publikationen ein blätterbares Flipbook mit unserer einzigartigen Google optimierten e-Paper Software.
32 Kapitel 3: <strong>Security</strong>-<strong>Analyse</strong> <strong>von</strong> <strong>Cloud</strong>-<strong>Computing</strong><br />
Zugriff auf die virtuelle Maschine hat, so hat er trotzdem Zugriff auf den Hypervisor,<br />
was auch immer einen Zugriff auf laufende virtuelle Maschinen des Hostsystems<br />
bedeutet. Dieser Zugang kann unter Umständen missbraucht werden. Insbesondere<br />
wird diese Gefahr aufgrund der Tatsache verstärkt, dass ein Administrator<br />
aufgrund der Größe der <strong>Cloud</strong> Zugang zu einer Vielzahl <strong>von</strong> Daten hat. Es muss<br />
eine klare Transparenz für den <strong>Cloud</strong>-Kunden erreicht werden indem klargestellt<br />
wird, welche Einstellungsanforderungen <strong>Cloud</strong>-Provider an ihre Administratoren<br />
stellen. Ebenfalls muss klargestellt werden, welche Zugriffe erlaubt, protokolliert<br />
36 37<br />
und kontrolliert werden.<br />
Eine weitere Gefahr für das Gesamtsystem ist die Kompetenz der Administratoren<br />
des <strong>Cloud</strong>-Providers. Aufgrund der Größe der <strong>Cloud</strong> und der Vielzahl <strong>von</strong><br />
<strong>Cloud</strong>-Kunden kann hier ein einfacher Fehler eines Administrators sehr schwerwiegende<br />
Folgen haben. Im Rahmen der Studie „IT <strong>Security</strong> in Deutschland<br />
2011“ hat das Marktforschungsunternehmen IDC (International Data Corporation)<br />
im Juni 2011 ermittelt, dass Mitarbeiter das größte Sicherheitsrisiko in der IT-<br />
<strong>Security</strong>-Kette darstellen. 38 Die besten Sicherheitsmechanismen sind immer <strong>von</strong><br />
der korrekten Konfiguration und <strong>von</strong> der fehlerfreien Arbeit der Administratoren<br />
abhängig. Es gibt viele Bereiche wo das fehlerfreie Arbeiten eine absolute Notwendigkeit<br />
ist, wie zum Beispiel bei der Reparatur <strong>von</strong> Flugzeugen bei Fluggesellschaften.<br />
Um dies zu bewerkstelligen werden Techniken eingesetzt wie z.B.<br />
das 4-Augen-Prinzip, bei welchem jeweils zwei Mitarbeiter zusammen Arbeiten<br />
durchführen müssen, anstatt diese alleine durchzuführen. Es kann nicht verhindert<br />
werden, dass neue und noch unerfahrene Mitarbeiter in einem Betrieb arbeiten.<br />
Ein <strong>Cloud</strong>-Provider kann jedoch sicherstellen, dass die Arbeit eines solchen Mitarbeiters<br />
<strong>von</strong> einem erfahrenen Kollegen überprüft werden muss.<br />
Ein Beispiel für die Auswirkung eines Fehlers im Bereich des <strong>Cloud</strong>-<br />
<strong>Computing</strong>, ist der Vorfall vom 21. April 2011 bei dem <strong>Cloud</strong>-Provider Amazon<br />
39 : Um die Kapazitäten der <strong>Cloud</strong> zu erhöhen, wurden routinemäßige Änderungen<br />
an dem Netzwerk durchgeführt. Ziel war es die Kapazität des primären<br />
36 Vgl. ENISA – Catteddu, Daniele: <strong>Security</strong> & Resilience in Governmental <strong>Cloud</strong>s, S. 18<br />
37 Vgl. Network World – Brodkin, Jon: Gartner: Seven cloud-computing security risks, S. 1<br />
38 Vgl. Elektroniknet.de – Kuppinger, Stefan: Mitarbeiter sind die gefährlichsten Trojaner<br />
39 Vgl. Amazon Web Services: Summary of the Amazon EC2 and Amazon RDS Service Disruption<br />
in the US East Region