Als PDF downloaden - Haufe.de
Als PDF downloaden - Haufe.de
Als PDF downloaden - Haufe.de
Sie wollen auch ein ePaper? Erhöhen Sie die Reichweite Ihrer Titel.
YUMPU macht aus Druck-PDFs automatisch weboptimierte ePaper, die Google liebt.
IT & Investition – Cloud Computing<br />
verschlüsselung und auf Data Loss Prevention<br />
(DLP): Möchte ein Mitarbeiter<br />
als vertraulich klassifi zierte Informationen<br />
an einen Server schicken, erkennt<br />
<strong>de</strong>r Data Loss Prevention-Mechanismus<br />
dies automatisch und veranlasst eine<br />
Blocka<strong>de</strong> <strong>de</strong>s Versands o<strong>de</strong>r eine Verschlüsselung<br />
<strong>de</strong>r Daten, noch bevor sie<br />
in <strong>de</strong>r Cloud abgelegt wer<strong>de</strong>n.<br />
Mit <strong>de</strong>r Integration von Sicherheitsmechanismen<br />
berücksichtigt Symantec die<br />
häufi g geäußerten Sorgen <strong>de</strong>r IT-Manager<br />
bezüglich <strong>de</strong>r Sicherheit <strong>de</strong>r Cloud-<br />
Anwendungen. <strong>Als</strong> größtes potenzielles<br />
Risiko nannten <strong>de</strong>utsche Unternehmen<br />
im Rahmen einer von Symantec durchgeführten<br />
Umfrage das Einschleusen<br />
von Schadco<strong>de</strong>s, gefolgt von Datendiebstahl<br />
durch Hacker. Mehr als die Hälfte<br />
<strong>de</strong>r befragten IT-Mitarbeiter führten<br />
diese bei<strong>de</strong>n Aspekte an.<br />
„Um die Compliance-Anfor<strong>de</strong>rungen zu<br />
erfüllen, müssen die Verantwortlichen<br />
in <strong>de</strong>n Firmen nachweisen können, ob<br />
es bestimmte Sicherheitsvorfälle gegeben<br />
hat und welcher Art diese waren“,<br />
erläutert Hemker. Deshalb erfasst eine<br />
dritte Schicht von O3, <strong>de</strong>r sogenannte<br />
Visibility-Layer, sämtliche Sicherheitsereignisse,<br />
die für die Daten in und die<br />
Anwendungen aus <strong>de</strong>r Cloud relevant<br />
sind. Sie liefert damit die Grundlage für<br />
eine umfassen<strong>de</strong> Cloud-Audit-Lösung.<br />
Damit selbst kleine Unternehmen ohne<br />
das entsprechend geschulte Personal<br />
eine Rund-um-die-Uhr-Überwachung<br />
gewährleisten können, stellt Symantec<br />
das Reporting auch als Managed-Security-Lösung<br />
bereit. „Was passiert in<br />
einem kleinen Unternehmen, wenn ein<br />
Hacker am Wochenen<strong>de</strong> angreift? Bekommt<br />
man das überhaupt mit?“, gibt<br />
Hemker zu be<strong>de</strong>nken. „Wir bieten <strong>de</strong>shalb<br />
an, die Sicherheitsanalyse losgelöst<br />
von <strong>de</strong>n an<strong>de</strong>ren Dienstleistungen als<br />
Managed-Service an uns auszulagern.“<br />
Doch sogar wenn die Unternehmen alle<br />
internen Sicherheitsmaßnahmen ergrif-<br />
Studienergebnisse zum Cloud Computing<br />
> 42 Prozent <strong>de</strong>r befragten Unternehmen<br />
mit mehr als 100 Mitarbeitern halten<br />
Cloud Security für eine <strong>de</strong>r Top-Herausfor<strong>de</strong>rungen<br />
in diesem Jahr (IDC, IT-<br />
Security in Deutschland 2011).<br />
> 80 Prozent <strong>de</strong>r <strong>de</strong>utschen Studienteilnehmer<br />
bezeichneten IT-Sicherheit als größte<br />
Herausfor<strong>de</strong>rung beim Cloud Computing<br />
(Symantec, Cloud Survey 2011).<br />
> Nur etwa 18 Prozent <strong>de</strong>r weltweit Befragten<br />
bewerteten ihre IT-Mitarbeiter<br />
als sehr gut vorbereitet für die Migration<br />
in die Cloud. Fast die Hälfte aller<br />
Studienteilnehmer gab an, ihr IT-Personal<br />
sei zu diesem Zeitpunkt noch unzureichend<br />
gerüstet (Symantec, Cloud<br />
Survey 2011).<br />
> Deutsche Firmen mussten nach einer<br />
Datenpanne durchschnittlich 3,4 Millionen<br />
Euro aufbringen, um <strong>de</strong>n Vorfall<br />
aufzuklären und die entstan<strong>de</strong>nen<br />
„Eine große Herausfor<strong>de</strong>rung ist die Sicherung <strong>de</strong>r<br />
Daten, die nur <strong>de</strong>m Kun<strong>de</strong>n zugänglich sein sollten.“<br />
PROF. DR. JÖRG SCHWENK, LEHRSTUHL FÜR NETZ- UND DATENSICHERHEIT, UNI BOCHUM<br />
Schä<strong>de</strong>n einzudämmen. Ein Jahr zuvor<br />
lag <strong>de</strong>r Wert noch bei 2,6 Millionen<br />
Euro (Ponemon Institute, 2010 Annual<br />
Study: Cost of a Data Breach).<br />
> 6,9 Prozent <strong>de</strong>r Befragten wissen<br />
nicht, ob es in <strong>de</strong>n zurückliegen<strong>de</strong>n<br />
zwölf Monaten erfolgreiche Angriffe<br />
auf ihr IT-System gab, 21,3 Prozent<br />
bestätigten erfolgreiche Angriffe (IDC,<br />
IT-Security in Deutschland 2011).<br />
> 46 Prozent <strong>de</strong>r Unternehmen, die<br />
Cloud-Services einsetzen, sehen ihre<br />
Erwartungen ganz, 47 Prozent teilweise<br />
erfüllt. Unzufrie<strong>de</strong>n sind nur<br />
sieben Prozent (PwC, Cloud Computing<br />
im Mittelstand).<br />
> 34 Prozent <strong>de</strong>r Unternehmen, die<br />
Cloud-Services einsetzen, nennen<br />
fehlen<strong>de</strong> Datensicherheit als Nachteil<br />
(PwC, Cloud Computing im Mittelstand).<br />
fen haben, sind sie immer noch auf die<br />
Zuverlässigkeit ihres Dienstleisters angewiesen.<br />
„Eine große Herausfor<strong>de</strong>rung<br />
für die Cloud-Anbieter ist die Sicherung<br />
<strong>de</strong>r ihnen anvertrauten Daten, die nur<br />
<strong>de</strong>m Kun<strong>de</strong>n selbst zugänglich sein<br />
sollten“, sagt Prof. Dr. Jörg Schwenk<br />
vom Lehrstuhl für Netz- und Datensicherheit<br />
an <strong>de</strong>r Ruhr-Universität in Bochum.<br />
Sichere Dienste<br />
Dass das keine einfache Sache ist,<br />
zeigten <strong>de</strong>r Wissenschaftler und sein<br />
Forschungsteam im Herbst <strong>de</strong>s vergangenen<br />
Jahres, als sie im Cloud-Angebot<br />
von Amazon Web Services gravieren<strong>de</strong><br />
Sicherheitslücken auf<strong>de</strong>ckten.<br />
Den Bochumern gelang es, Zugang zu<br />
allen Daten <strong>de</strong>r Kun<strong>de</strong>n zu erhalten –<br />
inklusive <strong>de</strong>r Authentifi zierungsdaten<br />
und Passwörter. Das ist ein Horrorszenario<br />
für je<strong>de</strong>s Unternehmen, das darüber<br />
nach<strong>de</strong>nkt, seine Daten in einer<br />
Cloud-Umgebung zu speichern.<br />
Die Ansicht, private Cloud-Angebote<br />
seien sicherer, weil die Anwendungen<br />
und Daten von unternehmenseigenen<br />
Servern bezogen wer<strong>de</strong>n, wi<strong>de</strong>rlegten<br />
die Forscher ebenfalls: In <strong>de</strong>r Software<br />
Eucalyptus, die von vielen Firmen zum<br />
Aufbau interner Cloud-Angebote genutzt<br />
wird, fan<strong>de</strong>n sie ähnlich schwerwiegen<strong>de</strong><br />
Schwachstellen. Die betroffenen<br />
Anbieter scheinen sich <strong>de</strong>r<br />
Brisanz <strong>de</strong>r aufge<strong>de</strong>ckten Sicherheitslücken<br />
bewusst zu sein; sowohl Amazon<br />
als auch Eucalyptus reagierten schnell<br />
und schlossen die offenen Einfallstore<br />
umgehend.<br />
Wachsamkeit und Engagement wie das<br />
<strong>de</strong>r Wissenschaftler <strong>de</strong>r Ruhr-Universität<br />
Bochum sind aber weiter unerlässlich:<br />
Das Information Security Forum<br />
sagt voraus, dass Service-Provi<strong>de</strong>r künftig<br />
verstärkt im Fokus von Hackerangriffen<br />
sein wer<strong>de</strong>n.<br />
66 ProFirma 05 2012