Security-Analyse von Cloud-Computing Mathias Ardelt

wolke.hs.furtwangen.de

Security-Analyse von Cloud-Computing Mathias Ardelt

Kapitel 3: Security-Analyse von Cloud-Computing 43

G11 Unbekannte Sicherheitsmechanismen

Bei dem Einsatz von Cloud-Computing sind die eingesetzten Sicherheitsmaßnahmen

unbekannt. Cloud-Provider legen absichtlich nicht ihre Sicherheitsmaßnahmen

offen, um sich und ihre Kunden vor gezielten Angriffen zu schützen. Ein

Cloud-Provider muss die aktuellen Sicherheitsstandards einsetzen, um seine Kunden

zu schützen. Die Cloud-Kunden hingegen haben keine Möglichkeit zu überprüfen

ob dies durchgeführt wird und müssen sich somit auf den Cloud-Provider

verlassen. Bis zum heutigen Tage sind keine Standardkriterien für die Sicherheit

einer Cloud Umgebung definiert worden. In dem von dem BSI veröffentlichten

Eckpunktepapier mit Sicherheitsempfehlungen für Cloud-Computing-Anbieter

werden sehr detaillierte Sicherheitsmaßnahmen aufgeführt. Diese sollten zwar

befolgt werden, jedoch handelt es sich hierbei lediglich um Sicherheitsempfehlungen

und nicht um Sicherheitsvorschriften. 55

Betroffene Schutzziele: Datenschutz, Integrität, Verfügbarkeit

G12 Fehlende Interoperabilität & Portabilität und fehlende Transparenz

über Datenverbleib bei Providerkündigung / -wechsel

Durch den Einsatz von Cloud-Computing ist ein Cloud-Kunde automatisch an

die providerspezifischen Monitoring-Schnittstellen gebunden. Dadurch dass

Cloud-Provider unterschiedliche Schnittstellen für den Einsatz von Cloud-

Computing verwenden, sind bei einem Wechsel diese Schnittstellen inkompatibel

zueinander. Eine Migration einer Cloud Instanz von einem Anbieter zu einem

anderen ist somit nicht möglich. Dies erhöht das Risiko der Anbieterabhängigkeit.

Auch muss sichergestellt werden, was mit den Daten der Kunden passiert wenn

diese die Mitgliedschaft in der Cloud kündigen. Es muss sichergestellt werden,

dass ein Cloud-Provider die effektive Vernichtung von Daten und Datenträgern

durchführt. Falls bei einem Cloud-Provider eine unerwartete Insolvenz eintritt,

muss sichergestellt werden, dass die Kundendaten wiederbeschafft werden können

und in welchem Format sich diese befinden werden. 56

55 Vgl. ENISA – Catteddu, Daniele: Security & Resilience in Governmental Clouds, S. 18-19

56 Vgl. Network World – Brodkin, Jon: Gartner: Seven cloud-computing security risks, S. 2

Weitere Magazine dieses Users
Ähnliche Magazine