Cloud Sourcing. Welche Gefahren bestehen für den Nutzer?

Inhaltsverzeichnis

1. Einleitung

2. Konzeptionelle Grundlagen
2.1 Sicherheit
2.1.1 Definition IT-Sicherheit
2.1.2 Ziele der IT- Sicherheit
2.1.2.1 Vertraulichkeit:
2.1.2.2 Integrität
2.1.2.3 Authentizität
2.2 Cloud Sourcing
2.2.1 Definition Cloud Sourcing (Cloud Computing)
2.2.2 Liefermodelle des Cloud Sourcing
2.2.2.1 Private Clouds
2.2.2.2 Community Clouds
2.2.2.3 Public Clouds
2.2.2.4 Hybrid Clouds
2.2.3 Dienstleistungssmodelle des Cloud Sourcing
2.2.3.1 Infrastructure-as-a-Service (laas)
2.2.3.2 Platform-as-a-Service (Paas)
2.2.3.3 Software-as-a-Service (Saas)

3. Die Absicherung des Zugriffs bei Cloud Sourcing für den Nutzer
3.1 Ausgewählte technisch-interne Gefahren und deren Maßnahmen
3.1.1 Zugriff der Mitarbeiter des Anbieters
3.1.2 Verschlüsslungen der Daten im Intranet
3.2 Ausgewählte externe Gefahren und deren Maßnahmen
3.2.1 Angriffe durch Hacker
3.2.2 Spionage

4. Fazit

Abkürzungsverzeichnis

Literaturverzeichnis

1. Einleitung

Bislang war es gängig Daten und Informationen auf einer Festplatte, einem USB- Stick, CD’s oder DVD’s zu speichern. Mit dem Cloud Sourcing hat sich der Trend entwickelt Daten und Informationen in einem virtuellen Netz bzw. dem Internet zu speichern, diese dort zu nutzen und zu bearbeiten.¹ Das „Rechnen in der Wolke", wie das Cloud Sourcing auch genannt wird, bietet nun Unternehmen die Möglichkeit erforderliche Fähigkeiten wie das Speichern von Daten, die Nutzung von Programmen bzw. Anwendungen und den Bedarf von Rechenleistung bei professionellen Anbietern zu „mieten". Allerdings besteht bei dieser Form von Dienstleistung ein gewisses Risiko, was die Informations-, Datensicherheit und dem Datenschutz angeht.²

Im folgenden Abschnitt werden unter dem Punkt der konzeptionellen Grundlagen zunächst die grundlegenden Begrifflichkeiten und deren Definitionen für diese Hausarbeit geklärt. Als nächster Schritt erfolgt auf der einen Seite eine Darstellung der Ziele der informationstechnischen Sicherheit und auf der anderen Seite eine Aufführung der Leistungen des Cloud Sourcings. Im dritten Abschnitt der Hausarbeit werden ausgewählte interne und externe Gefahren und deren Maßnahmen für die Absicherung eines Cloud Sourcing Systems dargestellt. Hierbei wird im Genaueren auf drei Forschungsfragen eingegangen:

1) Welche Gefahren bestehen bei Cloud Sourcing?
2) Welche Maßnahmen werden ergriffen, um diese Gefahren zu vermeiden?
3) Ist die Sicherheit bei Cloud Sourcing für den Nutzer ausreichend gewährleistet?

Abgerundet wird diese Hausarbeit zu guter Letzt mit einem Fazit, wo die erarbeiteten Erkenntnisse noch einmal in einem Überblick zusammengeführt werden.

2. Konzeptionelle Grundlagen

2.1 Sicherheit

Unter dem Begriff Sicherheit ist im Grunde genommen ein Zustand zu verstehen, der keinerlei Gefahren oder Risiken ausgesetzt ist. Allerdings gibt es keinen Zustand, der uneingeschränkt risiko- oder gefahrenlos ist. Demnach gibt es auch keine absolute, hundertprozentige Sicherheit. Infolgedessen ist die Sicherheit immer relativ zu betrachten, die auf gewisse Situationen, einen gewissen Zeitraum und einer gewissen Rahmenbedingung zurückzuführen ist.³

2.1.1 Definition IT-Sicherheit

Die Sicherheit in der Informationstechnik (IT) wird daher so definiert, Informationen und Daten zu schützen bzw. zu sichern, bestimmte Gefahren oder Risiken schon vorher einzugrenzen bzw. frühzeitig zu erkennen und diese dann zu vermeiden oder zu eliminieren. Damit kann die IT-Sicherheit auch als technische Sicherstellung der Informations- bzw. Datensicherheit und des Datenschutzes betrachtet werden.⁴ Unter der Informationssicherheit (engl. security) wird die Eigenschaft verstanden, bei der ein funktionssicheres System lediglich derartige Systemzustände annimmt, die in keinster Weise zu einer unbefugten Informationsveränderung oder - gewinnung führen können. Unter der Datensicherheit (engl. protection) wird die Eigenschaft verstanden, bei der ein funktionssicheres System lediglich derartige Systemzustände annimmt, die keinen unbefugten Zugriff auf Daten zulässt. Weiterhin enthält die Datensicherheit auch Maßnahmen zur Datensicherung (engl. back up), was bedeutet, dass sie mittels Anfertigungen von Sicherungskopien einen bestimmten Schutz vor Datenverlust bietet. Der Datenschutz (engl. privacy) bestimmt die Fähigkeit der Kontrolle einer natürlichen Person über bestimmte Informationen und Daten. Hierbei sollte natürlich die Weitergabe oder Änderung der Informationen und Daten vermieden werden. In den meisten Fällen wird die IT-Sicherheit nur durch den Datenschutz definiert, was aber alleine nicht ausreicht. Aus diesem Grunde wurden die Begriffe Informations- und Datensicherheit hinzugefügt. Alle drei Eigenschaften sind nämlich einer fortwährenden Kontrolle und Prüfung unterlegt, damit die IT- Sicherheit im Ganzen gewährleistet werden kann. Demnach steht die IT-Sicherheit einem dauerhaften Prozess nach.⁵

2.1.2 Ziele der IT- Sicherheit

Die Ziele, die sich die IT - Sicherheit vornimmt zu gewährleisten, sind im allgemeinen die Informationen und Daten eines funktionssicheren Systems zu schützen und zu sichern.⁶ Weiterhin sollte man nicht vergessen, dass die IT-Sicherheit eine „passgenaue Sicherheit" ist.^{7 8} Das bedeutet im engeren Sinne, dass „überall dort, wo man Sicherheit benötigt, der entsprechende Schutz gegeben ist und dort, wo er nicht benötigt wird, kein Aufwand für einen Schutz betrieben wird“.8 Dabei wird verstärkt das Augenmerk darauf gelegt, dass der Zugriff auf Informationen und Daten eingeschränkt und kontrolliert wird. Ebenso ist es wichtig den Zugriff für unautorisierte Personen zu vermeiden. Bei Personen, die einen befugten Zugriff auf Informationen und Daten haben, muss die Identität eindeutig gekennzeichnet und nachgewiesen sein. Diese Schutzziele werden auch als Informationsvertrauchlichkeit, Datenintegrität und Authentizität verstanden. Desweiteren gibt es noch Ziele wie die Verfügbarkeit, Nachvollziehbarkeit, Konformität und Verbindlichkeit. Allerdings werden im Folgenden nur die ersten drei Ziele präzise erläutert, da sie die drei grundlegenden und für die Hausarbeit auch wichtigsten Ziele der IT Sicherheit sind.⁹

2.1.2.1 Vertraulichkeit:

Die Vertraulichkeit (engl. confidentiality) ist eine wichtige Eigenschaft für die Sicherheit von Informationen und Daten in einem Unternehmen. Diese sollten daher nur für gewisse Personen erreichbar sein und als vertraulich eingeordnet werden. Es kann für das Unternehmen nämlich ein relativ großer Schaden entstehen, falls diese

Informationen und Daten in den Besitz unbefugter Personen gelangt.¹⁰ Die Vertraulichkeit ist demnach dann gesichert, wenn es keine unautorisierte Änderung der Informationen oder Daten geben kann.¹¹ Außerdem wird die Vertraulichkeit noch in sogenannte Vertraulichkeitsstufen eingeteilt. Zeitgemäß werden Einteilungen wie „gering - mittel - hoch - sehr hoch" oder „öffentlich - intern - vertraulich - streng vertraulich" gemacht.¹²

2.1.2.2 Integrität

Die Integrität eines Systems (engl. integrity) umfasst die Sicherstellung von Informationen und Daten, bei der es nicht möglich ist, diese unbefugt und unbemerkt zu manipulieren. Das schließt auch das Ändern, das Einfügen, das Löschen und die Wiedergabe der Informationen und Daten ein.¹³ Es sollten neben dem auch Zugriffsrechte bestimmt und an ausgewählte Personen verteilt werden. Wenn eine Person diese Rechte besitzt, ist sie dadurch auch befugt auf die Informationen und Daten zuzugreifen bzw. sie auch zu ändern. Durch bestimmte Techniken, auf die im späteren Verlauf der Hausarbeit noch eingegangen wird, ist es dann möglich Maßnahmen zu entwickeln, um unerwartete Manipulationen erkennbar und vermeidbar zu machen.^{14 15}

2.1.2.3 Authentizität

Die Authentizität (engl. authenticity) beschreibt die Echtheit und Glaubhaftigkeit von Informationen oder Daten, welche durch eine festgelegte Identität und anhand von handfesten Eigenschaften abgefragt werden kann.15 Hierbei geht es auch um eine bestimmte Art von Manipulation. Bei dem Beispiel von einer E-Mail Nachricht wäre die Authentizität sozusagen nicht gewährleistet, wenn der Absender vorgetäuscht wäre. Dies lässt sich aber technisch anhand von einer „digitalen Signatur" überprüfen und kontrollieren. Aus den Informationen und den Daten werden gewisse Bruchstücke herausgenommen und durch geheime Schlüssel des „asymmetrischen

Verschlüsselungsverfahren“ ersetzt. Dadurch wird versichert, dass diese bestimmte Information ausschließlich von dem Hersteller der Information stammen kann. Sie ist mit dem geheimem Schlüssel „signiert“ worden.¹⁶

2.2 Cloud Sourcing

Cloud Sourcing, auch unter dem Begriff “Cloud Computing” (deutsch etwa “Technik aus der Wolke”, “Ressourcen aus der Wolke” oder „Rechenleistung aus der Wolke”) bekannt, ist ein relativ neues Angebot des virtuellen Speicherns und Arbeitens über ein online zur Verfügung gestelltes Netzwerk. Allerdings gibt es momentan noch keine allgemeingültige Definition, da sich dieses Angebot konstant entfaltet und weiter entwickelt. Cloud Sourcing ist lediglich ein neuer und weiterer Begriff für das Cloud Computing. Weitgehend wird immer von der selben Technologie und den selben Merkmalen gesprochen. Daher wird auch in dieser Hausarbeit der Begriff des Cloud Sourcings dem des Cloud Computings gleichgesetzt.¹⁷

2.2.1 Definition Cloud Sourcing (Cloud Computing)

In der IT-Branche hat sich die Definition der National Institute of Standarts and Technology (NIST) weitgehend durchgesetzt, da sie universell ist und ständig aktualisiert wird:¹⁸

“Cloud computing is a model for enabling ubiquitous, convenient, on-demand network access to a shared pool of configurable computing resources (e.g., networks, servers, storage, applications, and services) that can be rapidly provisioned and released with minimal management effort or service provider interaction. This cloud model is composed of five essential characteristics, three service models, and four deployment models.”¹⁹

Die 15. Version der NIST aus dem Jahre 2009 beninhaltet die vier Liefermodelle (Private Clouds, Community Clouds Public Clouds, und Hybrid Clouds) und die drei verschiedenen Servicemodelle (laaS, PaaS und SaaS), auf die im weiteren Verlauf dieser Hausarbeit näher eingegangen wird.²⁰

2.2.2 Liefermodelle des Cloud Sourcing

Das Angebot des Cloud Sourcing ist relativ neu und entwickelt sich ständig weiter. Zur Zeit werden daher weitläufig vier unterschiedliche Arten von „Clouds" angeboten. Diese werden generell auch als die vier Liefermodelle des Cloud Sourcing bezeichnet. Man unterscheidet zwischen der Privat Cloud, der Community Cloud, der Public Cloud und der Hybrid Cloud. Im Folgenden werden diese näher erläutert.²¹

2.2.2.1 Private Clouds

Die Private Clouds bewerkstelligen einem Unternehmen den direkten und exklusiven Zugriff zu einer Cloud-Infrastruktur (Speicherplatz, Software, Rechenleistung). Es besteht die Möglichkeit die Cloud vor Ort im eigenen Unternehmen oder durch externe Dienstleister zu betreiben. Anbieter und Nutzer können auch beide parallel in der Cloud arbeiten und sie nutzen, falls dies gewünscht wird.²²

2.2.2.2 Community Clouds

Community Clouds sind mit den Private Clouds von der Systemweise eng verwandt, allerdings unterscheiden sie sich dadurch, dass die Nutzung der Cloud sich nicht nur auf ein Unternehmen bezieht, sondern auf mehrere bzw. auf eine festgelegte Gruppe von Unternehmen. Sie nutzen, verwalten und finanzieren die Cloud gemeinsam, was natürlich seine Vor- und Nachteile hat.²³

2.2.2.3 Public Clouds

Im Unterschied zu den Private Clouds und den Community Clouds kennzeichnen sich die Public Clouds dadurch, dass sie einer breiten Masse bzw. der Öffentlichkeit zur Verfügung stehen. Weltweit nutzen Unternehmen und Organisationen dieses Modell, um Kosten zu sparen und die Flexibilität auszunutzen. Allerdings ist hierbei die Datensicherheit zu beachten.²⁴

2.2.2.4 Hybrid Clouds

Die Hybrid Clouds bestehen aus einer Mischung von Private-, Community- oder Public Clouds. Hierbei werden Schnittstellen ins Leben gerufen, worüber das Unternehmen verbunden ist und entscheiden kann welche bestimmten Daten sie abgreifen möchte. Ein Unternehmen nutzt zum Beispiel die Datensicherheit der Private Cloud, aber stellt auch bestimmte Informationen über eine Community Cloud der Öffentlichkeit zur Verfügung.²⁵

2.2.3 Dienstleistungssmodelle des Cloud Sourcing

Ebenso wie die Liefermodelle des Cloud Sourcing sind auch die Dienstleistungsmodelle in einer ständigen Entwicklung. Hierbei charakterisiert man diese in Betracht auf den Abstraktionsgrad und den Einsatzzweck. Im Folgenden werden die drei wichtigsten und grundlegenden Dienstleistungen wie Infrastructure- as-a-Service, Platform-as-a-Service und Software-as-a-Service unterschieden.²⁶

2.2.3.1 Infrastructure-as-a-Service (Iaas)

Die Bereitstellung von virtuellen Ressourcen und Infrastrukturen wie Speicherplatz, Datenbanken und Rechenleistung wird von Iaas-Diensten zur Verfügung gestellt.

[...]

¹ Vgl. ,o.V‘, Schwerelos im Datenhimmel, Seite 48

² Vgl. Mehl, Wolf-Michael , Seite 12

³ Vgl. Schmidt, Klaus, Seite 14f

⁴ Vgl. Fischer-Hübner, Seite 3

⁵ Vgl. Eckert, Claudia, Seite, 5

⁶ Vgl. Eckert, Claudia, Seite 6

⁷ Vgl. Schmidt, Klaus, Seite 15

⁸ Schmidt, Klaus, Seite 15

⁹ Vgl. Eckert, Claudia, Seite, 6

¹⁰ Vgl. Schmidt, Klaus, Seite 16

¹¹ Vgl. Eckert, Claudia, Seite 8f

¹² Vgl. Schmidt, Klaus, Seite 17

¹³ Vgl. Douligeris, Christos und Serpanos, Dimitrios N., Seite 5

¹⁴ Vgl. Eckert, Claudia, Seite, 8

¹⁵ Vgl. Eckert, Claudia, Seite, 7

¹⁶ Vgl. Schmidt, Klaus, Seite 17

¹⁷ Vgl. Metzger, Christian und Reitz, Thorsten und Villar, Juan, Seite 2

¹⁸ Vgl. Metzger, Christian und Reitz, Thorsten und Villar, Juan, Seite 12

¹⁹ Vgl. Mell, Peter und Grance, Tim, Seite, 2

²⁰ Vgl. Metzger, Christian und Reitz, Thorsten und Villar, Juan, Seite 12f

²¹ Vgl. Metzger, Christian und Reitz, Thorsten und Villar, Juan, Seite 18

²² Vgl. Mell, Peter und Grance, Tim, Seite, 3

²³ Vgl. Metzger, Christian und Reitz, Thorsten und Villar, Juan, Seite 19

²⁴ Vgl. Buyya, Rajkumar und Borberg, James und Voorsluys, William, Seite 98

²⁵ Vgl. Mell, Peter und Grance, Tim, Seite, 3

²⁶ Baun, Christian und Kunze, Marcel, Seite 27