Outsourcing in die sichere Cloud. Optimierung der IT-Sicherheit oder Risiko?

Inhaltsverzeichnis

Abkürzungsverzeichnis

Abbildungsverzeichnis

Tabellenverzeichnis

1 EINLEITUNG
1.1 Vorwort
1.2 Zielstellung

2 GRUNDLAGEN
2.1 Cloud Computing
2.2 Datenschutz
2.3 Informationssicherheit
2.4 Sicherheitstopologie

3 CLOUD SECURITY AM BEISPIEL VON MICROSOFT AZURE
3.1 Unterscheidungs- und Alleinungsmerkmale
3.2 Zertifizierungen
3.3 Rechenzentrumsbetrieb
3.4 Datenredundanz
3.5 Sicherheitsbetrieb

4 CHANCEN UND RISIKEN FÜR DEN MITTELSTAND
4.1 Vorurteile
4.2 Kostenreduktion
4.3 Optimierung der Sicherheitstopologie
4.4 Verfügbarkeit
4.5 Lock-In-Faktoren

5 ABSCHLUSS

5.1 Probleme

5.2 Ausblick

Literaturverzeichnis

Abkürzungsverzeichnis

Abbildung in dieser Leseprobe nicht enthalten

Abbildungsverzeichnis

Abbildung 1: Investitionen und Ausgaben in Mio. EURO in die Cloud

Abbildung 2: Referenzarchitektur für eine Cloud Plattform

Abbildung 3: Die drei Sicherheitspfeiler der Informationssicherheit

Abbildung 4: Sicherheitstopologie eines Cloud Service Providers

Abbildung 5: Gartner – Magic Quadrant for Cloud Infrastructure as a Service

Abbildung 6: Darstellung der ISO 27018 Zertifizierung

Abbildung 7: Errechnung PUE

Abbildung 8: Rechenzentrumsgenerationen im PUE Vergleich

Abbildung 9: Serverarchitektur im Microsoft Rechenzentrum

Abbildung 10: Microsoft GSOC Lokationen

Abbildung 11: Wichtigste Outsourcing Treiber

Abbildung 12: Umfrage IT-Security Priorität

Abbildung 13: Kostenverhältnis Traditional im Vergleich zur Cloud

Abbildung 14: Sicherheitsmaßnahmen und deren Umsetzung im Mittelstand

Abbildung 15: Angriffsszenario mit 300 Gbit/s als neue Angriffsdimension

Abbildung 16: Verfügbarkeit eines SaaS (Office365) versus On-Premise Äquivalent (Exchange)

Tabellenverzeichnis

Tabelle 1: Verfügbarkeit als Messgröße von IT-Systemen

Tabelle 2: Auflistung der Microsoft Zertifikate mit Markt- und Region

Tabelle 3: Auflistung der behördlichen Anfragen nach Land und Veröffentlichungsgrad

Tabelle 4: Lock-In-Faktoren mit Lösungsansätzen

1 EINLEITUNG

„Cloud computing is rapidly moving into the mainstream. The benefits are undeniable, but look at whether the security needs are met.“ ¹

1.1 Vorwort

Das Thema Cloud Computing ist seit Jahren ein Trend, der sowohl die IT-Strategien verschiedenster Unternehmen dominiert, als auch neue strategische Vorteile im Wettbewerb der Unternehmen untereinander bietet.² Der Markt der Cloud Service Provider (kurz: CSP) wächst stetig, sodass auch große Unternehmen, die in dem Markt erst seit wenigen Jahren agieren, ihre strategischen Ziele auf diesen Markt ausrichten. Darunter der Hersteller Microsoft, der mit den Cloud Themen Microsoft Azure und Microsoft Office365 den Markt adressiert.³

Viele Unternehmen stehen vor der Auswahl zwischen dem IT-Eigenbetrieb und dem Einkauf der IT Leistung aus der Cloud. Verschiedenste Aspekte sind bei dieser Entscheidung wichtig. Neben den Fragen der Kostenreduktion und Kostentransparenz müssen auch Aspekte der Sicherheit, der Marktwahrnehmung und der Lock-In Faktoren betrachtet werden, um den Weg in die Cloud realistisch zu bewerten.⁴ Im Rahmen dieser multidimensionalen Betrachtung, ob und wie weit die Cloud die eigene IT voran bringt, müssen die eigenen Fähigkeiten realistisch betrachtet und bewertet werden. Die Frage steht im Raum, ob ein Unternehmen gleiche IT-Sicherheitsarchitekturen und IT-Sicherheitsbetriebe so zur Verfügung stellen kann wie die CSPs.⁵

Darüber hinaus sind Fragen zu klären welche Sicherheitsanforderungen erfüllt werden können und welche Risiken durch Gesetzgebungen des deutschen, aber auch des europäischen Raums nicht auf den CSP übertragbar sind. Die vorhandenen Sicherheitsbedenken bremsen die Cloud-Euphorie stark aus. Sie sind laut einer Studie des britischen IT-Marktforschungsunternehmens Quocirca für mehr als ein Drittel der Befragten noch immer ein wichtiger Grund Cloud Computing kategorisch abzulehnen.⁶

1.2 Zielstellung

Im Rahmen dieser Hausarbeit werden die Vorbehalte gegenüber dem Cloud Computing betrachtet und mit dem Lösungsportfolio des CSPs Microsoft verglichen. Abschließend wird die Eingangsfrage, ob die eigene IT-Sicherheit durch Cloud Computing erhöht wird, diskutiert.

2 GRUNDLAGEN

2.1 Cloud Computing

Unter Cloud Computing versteht man das Speichern und Verarbeiten von Daten in einem entfernten Rechenzentrum. Das entfernte Rechenzentrum ist als Wolke (englisch Cloud) definiert und wird durch Dienstleister, die sogenannten CSPs, betrieben.⁷ Technisch beschrieben sind Cloud Services abstrahierte IT-Infrastrukturen (z. B. Rechenkapazität, Datenspeicher, Netzwerkkapazitäten aber auch fertige Software), die dynamisch an den Bedarf des Kunden angepasst, über ein Netzwerk, zur Verfügung gestellt werden.⁸

Das Angebot und die Nutzung des Cloud Computings erfolgt dabei über definierte technische Schnittstellen und Protokolle, sowie über lokale Browser (Beispiele: Internet Explorer, Google Chrome, Mozilla Firefox, etc.). Die Spannweite, der im Rahmen des Cloud Computings angebotenen Dienstleistungen, umfasst das gesamte Spektrum der Informationstechnik und beinhaltet Infrastructure as a Service (kurz: IaaS), Plattform as a Service (kurz: PaaS) und Software as a Service (kurz: SaaS).⁹

Die Investitionen in Cloud Computing steigen stetig und zeigen einen eindeutigen Trend, wie in Abbildung 1 der Crisp Research AG zu sehen ist.

Abbildung in dieser Leseprobe nicht enthalten

Entnommen aus: (Crisp Research AG, 2015)

Abbildung 1: Investitionen und Ausgaben in Mio. EURO in die Cloud

2.2 Datenschutz

Datenschutz dient zum Schutz vor missbräuchlicher Datenverarbeitung, Schutz des Rechts auf informationelle Selbstbestimmung, Schutz des Persönlichkeitsrechts bei der Datenverarbeitung und Schutz der Privatsphäre.¹⁰ Datenschutz steht für die Idee, dass jeder Mensch grundsätzlich selbst entscheiden kann, wem wann welche seiner persönlichen Daten zugänglich sein sollen. Der Datenschutz soll der, in der zunehmend computerisierten und vernetzten Informationsgesellschaft bestehenden, Tendenz zum so genannten gläsernen Menschen und dem Ausufern staatlicher Überwachungsmaßnahmen und nichtstaatlicher Datenmonopole entgegenwirken.¹¹

Der Datenschutz ist im Cloud Computing eine elementare Aufgabe des CSPs, wie in Abbildung 2 zu sehen ist. Der CSP muss entsprechende Maßnahmen ergreifen, um einen umfassenden Datenschutz zu implementieren und den Kunden diesen entsprechend zu garantieren.

Abbildung in dieser Leseprobe nicht enthalten

Entnommen aus: (Bundesamt für Sicherheit in der Informationstechnik, 2015)

Abbildung 2: Referenzarchitektur für eine Cloud Plattform

2.3 Informationssicherheit

Als Informationssicherheit bezeichnet man Eigenschaften von informationsverarbeitenden und -lagernden (technischen oder nicht-technischen) Systemen, die die Schutzziele Vertraulichkeit, Verfügbarkeit und Integrität sicherstellen. Informationssicherheit dient dem Schutz vor Gefahren bzw. Bedrohungen, der Vermeidung von wirtschaftlichen Schäden und der Minimierung von Risiken. Zur Verdeutlichung der Anforderungen an die IT-Sicherheit gibt es in der Fachliteratur die sogenannten drei Sicherheitssäulen, die Beachtung innerhalb einer IT-Infrastruktur finden müssen:¹²

Vertraulichkeit: Daten dürfen lediglich von autorisierten Benutzern gelesen bzw. modifiziert werden, dies gilt sowohl beim Zugriff auf gespeicherte Daten wie auch während der Datenübertragung.

Integrität: Daten dürfen nicht unbemerkt verändert werden, respektive müssen alle Änderungen nachvollziehbar sein.

Authentizität: Echtheit und Glaubwürdigkeit einer Person oder eines Dienstes müssen überprüfbar sein.

Abbildung in dieser Leseprobe nicht enthalten Entnommen aus: (TÜV SÜD AG, 2015)

Abbildung 3: Die drei Sicherheitspfeiler der Informationssicherheit

Darüber hinaus kommt die Verfügbarkeit der IT-Systeme zum Tragen, sodass das Fundament des Schaubilds die Verfügbarkeit darstellt.¹³

Verfügbarkeit: Verhinderung von Systemausfällen; der Zugriff auf Daten muss innerhalb eines vereinbarten Zeitrahmens gewährleistet werden.

Die Verfügbarkeit wird zumeist mittels Prozentzahlen angegeben, die meist vielversprechend interpretiert werden. Dennoch sind 99,4%, als Beispiel aus der Tabelle 1, kein Garant für einen ununterbrochenen Betrieb. Auch bei 99,4 % kommt es zu zulässigen 52,56 Stunden Ausfallzeit.

Abbildung in dieser Leseprobe nicht enthalten

Tabelle 1: Verfügbarkeit als Messgröße von IT-Systemen

In der Praxis orientiert sich die Informationssicherheit im Rahmen des IT-Sicherheitsmanagements unter anderem an der internationalen ISO/IEC 27000-Reihe.¹⁴ Im deutschsprachigen Raum ist ein Vorgehen nach IT-Grundschutz verbreitet. Im Bereich der Evaluierung und Zertifizierung von IT-Produkten und -systemen findet die Norm ISO/IEC 15408 (Common Criteria) häufig Anwendung.¹⁵

2.4 Sicherheitstopologie

Der sichere Betrieb einer IT-Infrastruktur muss ganzheitlich betrachtet werden. Neben dem hochverfügbaren Betrieb der IT-Systeme müssen weitere Themen im Rahmen der Sicherheit analysiert werden. Eine entsprechende Sicherheitstopologie, die aus zwölf Themen besteht, zeigt alle relevanten Themen für einen sicheren Betrieb einer Cloud Infrastruktur auf.¹⁶

Abbildung in dieser Leseprobe nicht enthalten

Entnommen aus: (Deutsche Telekom AG, 2015)

Abbildung 4: Sicherheitstopologie eines Cloud Service Providers

Die Betrachtung der Sicherheitstopologie dient dazu ganzheitlich zu verstehen, welche Themen durch Cloud Computing optimiert, aber auch verschlechtert werden.¹⁷ Alle Punkte können durch entsprechende Analysen im Detail betrachtet und verglichen werden. Zumeist sind bestimmte Prozesse oder Maßnahmen bei Unternehmen noch nicht vollständig geregelt und können dementsprechend nicht qualitativ mit den Lösungen des CSPs verglichen werden.¹⁸

Die zwölf Themen umfassen alle relevanten Aspekte des Betriebs der IT-Infrastruktur:

- Verwaltung von Identitäten mit Rollen und Rechten, Endpunktsicherheit und Zugriffskontrolle
- Anwenderinfrastruktur und sichere Kommunikation in die Wolke
- IT-Systeme im Rechenzentrum
- Sichere Kommunikation innerhalb der Wolke und Service-Orchestrierung
- Schutz der IT-Systeme aufseiten des Service Providers
- Sicherheit des Rechenzentrums
- Sicherheitsorganisation und sichere Administration
- Servicemanagement und Verfügbarkeit
- Vertragsgestaltung, Prozessintegration und Migration
- Sicherheits- und Schwachstellenmanagement
- Nachweisführung und Vorfallmanagement
- Anforderungsmanagement und Compliance

Die sich daraus ergebene Betriebssicherheit kann entsprechend qualifiziert werden.¹⁹ Alle Themen sind sowohl wichtig für den eigenen Betrieb von IT, als auch für die Qualifizierung eines möglichen CSPs.

Ein potentieller Kunde ist dementsprechend in der Lage, anhand des Themenkatalogs, den möglichen CSPs zu analysieren und mit anderen CSPs eindeutig zu vergleichen. Viele Beratungsunternehmen bieten Dienstleistungen an, die ein sogenanntes „Cloud Assessment“ für die genannte Qualifizierung des CSPs, hinsichtlich der einzelnen Reifegrade durchführt.²⁰

3 CLOUD SECURITY AM BEISPIEL VON MICROSOFT AZURE

3.1 Unterscheidungs- und Alleinungsmerkmale

Laut der Gartner Studie „Magic Quadrant for Cloud Infrastructure as a Service, Worldwide“ sind die Firmen Amazon und Microsoft in dem Magic Quadrant „for Cloud Infrastructure as a Service“ im Leaders Segment (siehe Abbildung 5). Die beiden Firmen hatten in der Historie verschiedene strategische Schwerpunkte.²¹ Amazon ist aus dem Onlineverkauf von Büchern und Microsoft ist primär durch Softwareherstellung bekannt. Nichtsdestotrotz ist die Ausrichtung der Strategie mittlerweile stark durch das Cloud Computing dominiert, sodass beide Unternehmen in vielen Bereichen bereits fest etabliert sind.²²

Abbildung in dieser Leseprobe nicht enthalten

Entnommen aus: (Gartner (1), 2015)

Abbildung 5: Gartner – Magic Quadrant for Cloud Infrastructure as a Service

Microsoft ist im Vergleich zu Amazon neuer am Markt und versucht durch das Herausarbeiten von Alleinstellungsmerkmalen Marktanteile zu gewinnen.²³ Ein Alleinstellungsmerkmal ist die ausgeprägte Transparenz im Sicherheitsbereich. Microsoft versucht den Sicherheitsbetrieb und die Datenschutzstandards herauszuarbeiten, um die Konkurrenz auszustechen.²⁴

3.2 Zertifizierungen

Microsoft versucht durch eine hohe Anzahl von Zertifikaten Kunden von den eigenen Leistungen gerade im Sicherheitsumfeld zu überzeugen:

„ Mehrinstanzenfähige öffentliche Clouddienste, wie Microsoft Azure, werfen komplexe Fragen zum Datenschutz auf, bei denen Vertrauen ganz oben auf der Liste steht. Kunden nutzen nur Dienste, denen sie vertrauen. Wenn Sie in einen Clouddienst investieren, müssen Sie darauf vertrauen können, dass Ihre Daten geschützt und nur in einer Weise verwendet werden, die Ihren Erwartungen entspricht. “²⁵

Microsoft wirbt zudem damit, dass die Historie der eigenen Onlinelösungen bereits 20 Jahre zurückreicht und mittlerweile 240 Millionen Benutzerkonten existieren und die Onlinelösungen in 127 Ländern genutzt werden.²⁶

Der Microsoft Zertifizierungsstatus adressiert sowohl globale, als auch regionale Themen in verschiedenen Märkten, wie in Tabelle 2 zu sehen ist.

Abbildung in dieser Leseprobe nicht enthalten

Entnommen aus: (Microsoft (1), 2015)

Tabelle 2: Auflistung der Microsoft Zertifikate mit Markt- und Region

Besonders hervorzuheben ist die Zertifizierung ISO27018, die als erste das Cloud Computing entsprechend regelt.²⁷ Insbesondere kommt das Zertifikat auch den Forderungen der deutschen Aufsichtsbehörden in der, im September 2011 veröffentlichten, "Orientierungshilfe zum Cloud Computing" nach.²⁸ Zudem stellt sie auch im Hinblick auf die erwartete europäische Datenschutzgrundverordnung (kurz: DS-GVO) eine sinnvolle Zertifizierung dar. Der 27018-Standard verlangt umfangreiche Benachrichtigungs-, Informations-, Transparenz- und Nachweispflichten von den CSPs.²⁹ Diese Pflichten sind auch Gegenstand des Entwurfs zur europäischen Datenschutzgrundverordnung und können damit künftig europaweit vorausgesetzt werden.³⁰

„ Ein Beispiel für diese Transparenz sind die Microsoft Online Services-Datenschutzbestimmungen, welche die spezifischen Datenschutzrichtlinien und -verfahren beschreiben, die für die Daten unserer Kunden in Azure gelten. Eine weitere Maßnahme im Rahmen von Microsofts Verpflichtung zum Schutz Ihrer Daten ist unsere Einführung des ersten internationalen Standards zum Datenschutz in der Cloud, ISO/IEC 27018 - als erster größerer Cloudanbieter.“³¹

Abbildung in dieser Leseprobe nicht enthalten

Entnommen aus: (Microsoft, 2015)

Abbildung 6: Darstellung der ISO 27018 Zertifizierung

Die Offenlegung von Daten kann gerichtlich erwirkt werden. Alle CSPs sind verpflichtet nach Regierungsanfragen oder richterlichen Beschlüssen gewisse Daten den anfragenden Organen zur Verfügung zu stellen.³² Die Firma Microsoft steht unter stetigem Verdacht Daten an amerikanische Sicherheitsbehörden, wie die Central Intelligence Agency (kurz: CIA), abzugeben.³³ Um diesem Vorwurf entgegenzutreten, betreibt Microsoft das Trust Center Azure, das Behörden, wenn eine rechtmäßige Anfrage nach Azure-Kundendaten besteht, die entsprechenden Daten nur eingeschränkt frei gibt. Der Anfragende und die Art der freigegeben Daten werden aus Transparenzgründen propagiert.

Abbildung in dieser Leseprobe nicht enthalten

Entnommen aus: (Microsoft (1), 2015)

Tabelle 3: Auflistung der behördlichen Anfragen nach Land und Veröffentlichungsgrad

Generell gilt, dass Microsoft:

- keiner Regierung direkten oder uneingeschränkten Zugriff auf Kundendaten erteilt. Microsoft gibt nur bestimmte Daten frei, die durch entsprechende rechtliche Ansprüche angeordnet werden³⁴
- wenn sie zur Offenlegung von Kundendaten verpflichtet wird, werden die Kunden sofort darüber informieren und den Kunden wird eine Kopie der Anforderung zugestellt, wenn Microsoft dies nicht aufgrund von gesetzlichen Bestimmungen untersagt ist³⁵

3.3 Rechenzentrumsbetrieb

Neben den technischen Sicherheitsaspekten sind auch wirtschaftliche Aspekte im Rahmen der Sicherheit und genauer Investitionssicherheit zu betrachten. Microsoft hat seine Rechenzentren so optimiert, dass in der Generation 5 ein Power usage effectiveness (kurz: PUE) Wert von 1.07 – 1.19 erreicht wird. Dieser PUE Wert wird mittels des Gesamtenergieverbrauchs und dem eigentlichen Verbrauch der IT Systeme ermittelt.³⁶

Abbildung in dieser Leseprobe nicht enthalten

Abbildung 7: Errechnung PUE

Die ersten Generationen von 1989 bis 2007 liefen noch bei einem PU Wert von 1.8 bis 1.6. Erst nach dem Eintreten der ersten großen Cloud Engagements des Unternehmens wurde weiter an der Effektivität der Rechenzentrumsleistung gearbeitet.³⁷

Abbildung in dieser Leseprobe nicht enthalten Entnommen aus: (Microsoft, 2015)

Abbildung 8: Rechenzentrumsgenerationen im PUE Vergleich

Die PUE Werte werden für das gesamte Rechenzentrum ermittelt und geben so Auskunft über die Energieeffizient der gesamten Infrastruktur. Diese Werte geben den Cloud Kunden, gerade in Deutschland, einen klaren Einblick über die Nachhaltigkeit der Investition und damit auch in die Preisstabilität und daraus die abgeleitete Sicherheit.³⁸

[...]

---

¹ (PricewaterhouseCoopers, 2015)

² Vgl. (IDC, 2015)

³ Vgl. (Microsoft, 2015)

⁴ Vgl. (Schiefer, 2015), S. 4

⁵ Vgl. (Cloud Security Alliance, 2015)

⁶ Vgl. (Quocirca, 2015)

⁷ Vgl. (Wu & Buyya , 2015), S. 97

⁸ Vgl. (Ko & Choo, 2015), S. 10

⁹ Vgl. (Hackmann, 2015)

¹⁰ Vgl. (lT-Systems-International, 2015)

¹¹ Vgl. (Bundesamt für Sicherheit in der Informationstechnik, 2015)

¹² Vgl. (Pohlmann, 2009), S.87

¹³ Vgl. (Kersten, 1995), S. 75

¹⁴ Vgl. (TÜV SÜD AG, 2015)

¹⁵ Vgl. (ISO.org, 2015)

¹⁶ Vgl. (Cloud Standards Customer Council, 2015)

¹⁷ Vgl. (Deutsche Telekom AG, 2015)

¹⁸ Vgl. (Wlodarz, 2013)

¹⁹ Vgl. (Deutsche Telekom AG, 2015)

²⁰ Vgl. (Capgemini, 2015)

²¹ Vgl. (PricewaterhouseCoopers (1), 2015)

²² Vgl. (Gartner (1), 2015)

²³ Vgl. (Leong, Toombs, & Gill, 2015)

²⁴ Vgl. (Microsoft (1), 2015)

²⁵ (Microsoft (1), 2015)

²⁶ Vgl. (Cloud Standards Customer Council, 2015)

²⁷ Vgl. (Bundesamt für Sicherheit in der Informationstechnik, 2015)

²⁸ Vgl. (Landesbeauftrage für den Datenschutz und die Informationsfreiheit, 2015)

²⁹ Vgl. (ISO.org (1), 2015)

³⁰ Vgl. (Cloud Standards Customer Council, 2015)

³¹ (Microsoft (1), 2015)

³² Vgl. (Yeluri & Castro-Leon, 2014), S. 72

³³ Vgl. (inside-it.ch, 2015)

³⁴ Vgl. (Washington Post, 2015)

³⁵ Vgl. (PRW Rechtsanwälte, 2015)

³⁶ Vgl. (itwissen.info, 2015)

³⁷ Vgl. (Microsoft, 2015)

³⁸ Vgl. (Rhoton, De Clercq, & Graves, 2013), S. 61