Sie sind hier: Startseite » Literatur » Studien

Studie zur Sicherheit von Cloud-Computing


"Cloud Computing Sicherheit - Marktübersicht, Einsatzszenarien, Sicherheitsrisiken und Handlungsempfehlungen"
Aus Sicht der Compliance können Cloud-Services zwar eingesetzt werden - Jedoch bleibt die Verantwortung der Daten meist beim Cloud-Benutzer


Sicherheit durch Einsatz von Cloud-Services erhöhe
Sicherheit durch Einsatz von Cloud-Services erhöhe Überblick über Preise und Funktionen der wichtigsten Cloud-Anbieter als auch detaillierte Risiko-Einschätzungen, Bild: Fraunhofer-Institut SIT

(19.10.09) - Mit Cloud-Computing lässt sich nicht nur Geld sparen, sondern auch die IT-Sicherheit erhöhen: Gerade kleine und mittlere Unternehmen etwa können von speziellen Cloud-Sicherheitslösungen und dem Wissensvorsprung erfahrener Anbieter profitieren. Große Unternehmen hingegen sollten gut prüfen, ob die Vertragsbedingungen ausreichende Sicherheitsgarantien für den jeweiligen Anwendungsfall bieten, denn Ausfälle und andere Störungen sind im Cloud-Computing keine Seltenheit.

Dies ergab die Studie "Cloud Computing Sicherheit" des Fraunhofer-Instituts für Sichere Informationstechnologie (SIT), die Sicherheitsrisiken beim Cloud-Computing untersucht hat. Die Studie liefert sowohl einen Überblick über Preise und Funktionen der wichtigsten Cloud-Anbieter als auch detaillierte Risiko-Einschätzungen für unterschiedliche Einsatz-Szenarien. Die Studie lässt sich im Internet auf der Website von Fraunhofer-Institut SIT bestellen.

Immer mehr Unternehmen nutzen Cloud-Computing und verlagern ihre Daten, Anwendungen und Netze auf Server-Farmen von Anbietern wie Amazon, Google, IBM oder Microsoft. Vorteil: Die Firmen müssen Server und Softwarelösungen nicht selbst anschaffen, sondern mieten die nötigen Kapazitäten für Daten, Rechenleistung und Anwendungen bei professionellen Anbietern. Das spart Geld und Aufwand und sorgt außerdem für hohe Flexibilität. Denn die Leistung des gemieteten Dienstes lässt sich je nach Bedarf variieren.

Aber was passiert, wenn das Angebot ausfällt? Wer garantiert, dass die Firmengeheimnisse auf den externen Servern auch sicher sind? Welche Sicherheitsrisiken entstehen, wenn ein Subunternehmer des Cloud-Service Zugriff auf diese Rechner hat und werden die Daten auf Kommando auch wirklich gelöscht? Solche und ähnliche Fragestellungen sollten Unternehmen klären, bevor sie sich für ein Cloud-Angebot entscheiden. Auf der einen Seite ermöglicht die Strategie des Auslagerns in die Wolke den Unternehmen, sich auf ihre Kernkompetenzen zu konzentrieren und neue Geschäftsmöglichkeiten zu erschließen. Auf der anderen Seite wächst jedoch die Abhängigkeit von externen IT-Systemen, deren Ausfall durch technische Störungen, Malware oder Hacker-Angriffe nicht nur die Kommunikation, sondern auch ganze Geschäfts- oder Produktionsprozesse lahm legen kann.

"Fast jeder große Anbieter von Cloud-Services hatte in der Vergangenheit einen größeren Vorfall im Bereich Verfügbarkeit oder Sicherheit", berichtet Dr. Werner Streitberger, einer der Autoren der Studie. "Die aktuellen Cloud-Serviceangebote zeigen, dass vor allem im Bereich der Infrastruktur eine Reihe von Sicherheitstechnologien bereits zum Einsatz kommen. In den Bereichen Architektur, Verwaltung und Compliance ist die Unterstützung von Sicherheitstechnologien seitens der Cloud-Anbieter jedoch noch nicht so weit fortgeschritten."

Bei der Untersuchung des SIT zeigte sich, dass trotz Risiken kleine und mittlere Unternehmen ihre Sicherheit durch den Einsatz von Cloud-Services erhöhen würden. "Sie können Sicherheitslösungen als Service von spezialisierten Anbietern beziehen und so von deren Erfahrung beim Implementieren und Betreiben von sicheren Services profitieren", erläutert Streitberger.

Große Unternehmen dagegen sollten die Sicherheitsfunktionen eines Cloud-Anbieters individuell prüfen und im Einzelfall entscheiden, ob die angebotenen Sicherheitsmechanismen für den konkreten Bedarf des Unternehmens ausreichend sind. "Die aktuellen Cloud-Serviceangebote zeigen, dass bei Infrastrukturservices eine Reihe von Sicherheitstechnologien zwar bereits zum Einsatz kommen, in den Bereichen Anwendung und Plattform, Management und Compliance erreichen die Cloud-Anbieter die geforderten Schutzziele jedoch teilweise noch nicht", kritisiert Streitberger. Aus Sicht der Compliance können Cloud-Services zwar eingesetzt werden. Jedoch bleibt die Verantwortung der Daten meist beim Cloud-Benutzer, so dass dieser genaue Richtlinien definieren sollte, welche Daten wie in einem Cloud-Service abgespeichert und verarbeitet werden dürfen und welche Sicherheitsfunktionen vorhanden sein müssen.

Eine weitere Schwachstelle sind die Service-Level-Agreements (SLAs), also die Vereinbarungen über die Rechte und Pflichten zwischen den Cloud-Benutzern und Cloud-Anbietern: Die bisher üblichen Vereinbarungen geben nur minimale Garantien der Dienstgüte des Cloud Service. Vor allem Sicherheitsgarantien sind nur rudimentär vorhanden und die dafür nötigen Funktionen durch den Cloud-Anbieter nur unzureichend dokumentiert. "Häufig nimmt die Sicherheit im Angebot nur eine untergeordnete Rolle ein, so dass wir empfehlen, für einen Cloud-Service detaillierte Informationen vom Anbieter anzufordern. Eventuell sollte auch ein Proof-of-Concept, eine Machbarkeitsstudie, vor dem eigentlichen Einsatz realisiert werden", sagt Streitberger. (Fraunhofer-Institut SIT: ra)

Fraunhofer SIT: Kontakt und Steckbrief

Der Informationsanbieter hat seinen Kontakt leider noch nicht freigeschaltet.


Kostenloser PMK-Verlags-Newsletter
Ihr PMK-Verlags-Newsletter hier >>>>>>


Meldungen: Studien

  • SaaS-Kostenvorteile bei ERP-Lösungen

    Plex Systems bietet auf ihrer Homepage ab sofort eine neue Studie zur Total Cost of Ownership (TCO) von ERP-Lösungen zum kostenlosen Download an. Die Branchenanalysten von IDC Manufacturing Insight vergleichen die Gesamtkosten eines SaaS-ERP mit einem herkömmlichen On-Premise-System. Die Studie schlüsselt neben den Anschaffungskosten detailliert den Aufwand für Implementierung, Wartung, Support, Backup, Sicherheitssysteme, Customizing, Konfiguration, Datenintegration, Schulung und ähnliche Faktoren auf.

  • Vision des "Internet der Dienste" ist Realität

    Internet-basierte Technologien aus dem Bereich der Service-Oriented Architectures (SOA) und dem "Semantic Web" ermöglichen innovative Geschäftsmodelle wie Software-as-a-Service (SaaS). Das Ziel ist dabei, Dienstleistungen genauso einfach über das Internet bereitzustellen und zu nutzen wie es heute bei Produkten der Fall ist. Doch auf dem Weg zur "Dienstleistung per Mausklick", müssen Unternehmen noch viele Fragen beantworten: Welchen Mehrwert bieten wir unseren Kunden? Welche Teile unseres Geschäftsmodells tragen zur Wertschöpfung und dem Kundennutzen bei?

  • Studie zur Sicherheit von Cloud-Computing

    Mit Cloud-Computing lässt sich nicht nur Geld sparen, sondern auch die IT-Sicherheit erhöhen: Gerade kleine und mittlere Unternehmen etwa können von speziellen Cloud-Sicherheitslösungen und dem Wissensvorsprung erfahrener Anbieter profitieren. Große Unternehmen hingegen sollten gut prüfen, ob die Vertragsbedingungen ausreichende Sicherheitsgarantien für den jeweiligen Anwendungsfall bieten, denn Ausfälle und andere Störungen sind im Cloud-Computing keine Seltenheit. Dies ergab die Studie "Cloud Computing Sicherheit" des Fraunhofer-Instituts für Sichere Informationstechnologie (SIT), die Sicherheitsrisiken beim Cloud-Computing untersucht hat.

  • Service-Innovation in Deutschland

    Drei Viertel der IT-Dienstleister in Deutschland haben nach eigenen Angaben eine explizite Strategie für den Umgang mit Innovationen. Allerdings klaffen der eigene Anspruch und die externe Wahrnehmung als innovativer Service-Anbieter oft auseinander. So lautet ein Fazit der neuen Studie "Markterfolg durch Innovationen: IT-Dienstleister in Deutschland".

  • SaaS und Supplier Relationship Management

    SRM (Supplier Relationship Management)-Portallösungen, die in der Regel von den Anbietern gehostet und den Anwendern auf Mietbasis zur Verfügung gestellt werden, liegen im Trend. Während die Zahl der Anbieter sowie jene der abgedeckten Prozesse rasant steigen, fehlte bisher ein einheitlicher Standard zur Bewertung von SRM-Portallösungen.

  • Archivierung durch die Steckdose

    E-Mails archiviert man bislang traditionell per Software oder neuerdings auch mittels spezialisierter Appliances. Inzwischen steigt jedoch auch das Dienstleistungsangebot für die E-Mail-Archivierung. Unter den Begriffen ASP (Application Service Providing) und SaaS (Software as a Service) offerieren immer mehr Serviceunternehmen die "Archivierung durch die Steckdose".

Wir verwenden Cookies um unsere Website zu optimieren und Ihnen das bestmögliche Online-Erlebnis zu bieten. Mit dem Klick auf "Alle akzeptieren" erklären Sie sich damit einverstanden. Erweiterte Einstellungen