Cloud
 

Kurz gefasst

Cloud Computing bietet Organisationen verschiedene Möglichkeiten, ihre EDV-Ressourcen auszulagern, um dann über ein Netzwerk auf sie zuzugreifen.
Normalerweise sind diese Dienstleistungen, besonders wenn sie von einem Dritten angeboten werden, in einem Datencenter untergebracht, auf welches der Nutzer keinen Einfluss hat.

Ursprünglich beschreibt Cloud Computing ein Cluster von Servern, die sich ihre Arbeit teilen. Es geht also darum, Ressourcen, die normalerweise wenig genutzt werden, zu mutualisieren. Jeder Benutzer verbraucht nur einen Teil der zur Verfügung stehenden Leistung, kann aber zu bestimmten Zeitpunkten auf die Gesamtleistung der gemeinsam benutzten Ressource zurückgreifen. Diese Technologie ermöglicht es, sehr flexibel und ohne große Investitionen, auf die Bedürfnisse der Organisation zu reagieren.

Die Infrastruktur von E-Commerce-Seiten sind ein gutes Beispiel für Cloud Computing. Sie erleben oft um Weihnachten herum einen großen Benutzungs-Aufschwung. Während des übrigen Jahres sind jedoch weit weniger Ressourcen notwendig. Um dem "Weihnachts-Peak " gerecht werden zu können, haben die E-Commerce-Seiten ein Interesse daran, zusätzliche Kapazität nur für diesen Zeitraum zu mieten, ohne übergroße Maschinen während des gesamten Jahres finanzieren zu müssen. Wenn der Anbieter sich dennoch für letzteres entscheidet, kann auch er ein Anbieter von Cloud-Diensten werden. Es ist kein Zufall, dass die Firma Amazon einer der größten Akteure auf dem Gebiet des Cloud Computing ist. Sie hat beschlossen, ihre Infrastruktur zu vergrößern und auch an Dritte zu vermieten.

Cloud-Typen

Im Cloud Computing findet man normalerweise verschiedene Dienstleistungstypen:

IaaS: Infrastructure as a Service: Der Anbieter (Cloud Provider) stellt eine Infrastruktur zur Verfügung, also Kommunikationsmittel, eine bestimmte Anzahl an Prozessoren, Arbeitsspeicher und Speicherplatz. Der Kunde muss selbst sein Betriebssystem und seine Anwendungen installieren und warten. Im Bedarfsfall kann die Anwendung eine größere Bandbreite (Kommunikation), mehr Arbeitsspeicher, mehr Prozessorleistung oder mehr Speicherplatz anfordern. Der Kunde hat also den Vorteil, dass er über eine Infrastruktur verfügt, welche dynamisch auf seine Bedürfnisse reagieren kann, ohne jedoch diese Infrastruktur das ganze Jahr über finanzieren zu müssen. Generell bezahlt der Kunde nur das, was er benutzt, das berühmte "pay as you go".

PaaS: Platform as a Service: Der Cloud Provider stellt, genau wie im IaaS-Modell, eine Infrastruktur zur Verfügung, kümmert sich aber auch um das Betriebssystem sowie um die Produktionsumgebung, wie etwa Webserver, Datenbankserver und so weiter. In diesem Fall muss der Kunde lediglich seine Anwendung installieren, der Rest wird vom Cloud Provider geregelt.

SaaS: Software as a Service: Der Cloud Provider stellt dem Kunden auch die benutzte Anwendung zur Verfügung. Der Kunde muss sich also um nichts mehr kümmern. Er konzentriert sich auf die Benutzung der zur Verfügung gestellten Anwendung.

Die Rechtslage

Es gibt weder in Europa noch in Luxemburg einen für das Cloud Computing spezifischen Rechtsrahmen. Wie in der Einleitung beschrieben, ist Cloud Computing die Konvergenz mehrerer bestehender Online-Dienste. Diese Dienstleistungen unterliegen ihrerseits größtenteils spezifischen Gesetzgebungen (e-commerce, Schutz der personenbezogenen Daten, Archivierung, …). Das Cloud Computing bewegt sich also auf dem Schnittpunkt verschiedenster Regulierungen und Gesetze.

Die Verpflichtungen, die in Luxemburg für einige Branchen, wie etwa den Finanzsektor gelten, bleiben natürlich auch in der Cloud gültig. Im Allgemeinen bleibt die Gesetzgebung zum Schutz der personenbezogenen Daten auch für Organisationen gültig, die Cloud-Dienstleistungen in Anspruch nehmen wollen. Indem ein Teil oder die Gesamtheit der EDV-Infrastruktur zum Speichern oder Verarbeiten von Daten ausgelagert wird, bleibt die Organisation im vollen Umfang dafür verantwortlich, was mit den Daten passiert. Alle Organisation, die Cloud-Dienstleistungen in Anspruch nehmen wollen, sollten also tunlichst die zu unterzeichnenden Verträge (darunter LSA für "Service Level Agreement") mit Bedacht prüfen. Insbesondere ist die geografische Lage der Datenspeicherung von fundamentaler Wichtigkeit, da hier nicht unbedingt die in Europa oder speziell in Luxemburg geltenden Regeln berücksichtigt werden.

Schließlich sollte man auch Aspekte bezüglich des geistigen Eigentums bei der Auswahl der Cloud in Betracht ziehen. EDV-Dienste auslagern bedeutet immer auch, sich mit Risiken im Bereich der Wahrung der Vertraulichkeit auseinandersetzen, ob das nun die Einhaltung von mit Dritten vereinbarten Vertraulichkeitsklauseln bedeutet, oder den Schutz von Betriebs- und Produktionsgeheimnissen. Kryptografische Hilfsmittel existieren und werden weiter unten im Dokument vorgestellt. Die Wichtigkeit dieser Mittel darf keinesfalls unterschätzt werden.

Sicherheit der Daten

Übertragung von Daten:

Es muss überprüft werden, ob die zur Cloud übertragenen Daten gegen jeden Vertraulichkeitsverlust geschützt sind. Eine verschlüsselte Leitung muss benutzt werden (SSL) oder die Daten müssen bereits verschlüsselt werden, bevor sie in die Cloud übertragen werden.

Die für Back-Ups benutzten Übertragungsprotokolle garantieren in genügendem Maße die Verfügbarkeit sowie die Integrität der übertragenen Daten. Die Daten werden während der Übertragung weder geändert noch gehen sie verloren. Falls man jedoch die Cloud als kollaborative Arbeitsplattform nutzt, und man Dateien über Internetanwendungen bearbeitet, kann der Verlust der Verbindung zum Verlust von Dokumenten führen.

Speichern der Daten:

In der Cloud sind Sie nicht unbedingt die einzige Person, die Zugriff auf Ihre Daten haben kann. Falls Sie die Dienste eines Providers in Anspruch nehmen, hat dieser auch Zugang zu Ihren Daten, da er ja die Infrastruktur verwaltet. Im Fall von Problemen, bei Bedienungsfehlern oder im Fall der Ausnutzung von Schwachstellen durch übel gesinnte Personen, kann es sein, dass Dritte Zugriff auf Ihre Daten bekommen. Solche Fälle hat es schon bei verschiedenen Anbietern von Online-Speicher gegeben.

Manche Provider bieten eine Verschlüsselung, wobei es jedoch manchmal schwierig nachzuvollziehen ist, ob Sie wirklich der Einzige sind, der die Möglichkeit hat, Ihre Daten zu entschlüsseln. Lassen Sie sich nicht von schönen Versprechungen verleiten, und vergewissern Sie sich, dass Sie wirklich der Einzige sind, der über die Krypto-Schlüssel verfügt.

Falls dies nicht der Fall sein sollte, ist es ratsam, die Daten schon auf Ihrem eigenen Rechner zu verschlüsseln, bevor sie überhaupt in der Cloud gespeichert werden. Aber alles hängt von Ihrer Benutzungsform ab. Falls Sie keine vertraulichen Informationen speichern und Such-Funktionen in der Cloud nutzen möchten, müssen Sie auf solche Chiffriermöglichkeiten verzichten.

Falls mehrere Personen an einem gleichen, in der Cloud gespeicherten Dokument arbeiten müssen, kann es nützlich sein, dass Passwörter zwischen verschiedenen Personen oder auf verschiedenen Maschinen synchronisiert werden. Um dies zu tun, kann man auf die Verwendung einer Passwortdatenbank zurückgreifen. Diese muss mit kryptografischen Mitteln so geschützt sein, dass Passwörter frei zugänglich sind, oder sogar von Suchmaschinen gefunden werden.

Zugriff auf die Daten:

Je nach Klassifizierung der in der Cloud gespeicherten Daten muss überprüft werden, dass keine unbefugte Person Zugriff auf die Daten hat, sie löschen, ändern oder verbreiten kann. Die verwendeten Authentifizierungsmethoden müssen den Bedürfnissen entsprechen:

  • Benutzernamen und Passwörter: Es müssen starke Passwörter verwendet werden, welche gut geschützt werden. Es wird geraten diese regelmäßig zu ändern. Für unkritische Daten.

  • Starke Authentifizierung:

    • durch Benutzernamen und Passwort sowie durch per SMS empfangenes oder auf einem Smartphone generiertes Einmal-Passwort,

    • durch Benutzernamen und Passwort durch Einmal-Passwort, welches auf einem spezifischen Gerät generiert wird (Token),

    • durch Benutzernamen und Passwort, Passwort und Zertifikat (Chipkarte, Kundenzertifikat) oder Softwareschlüssel.

Vernichtung von Daten

Am Ende des Vertrags, beziehungsweise wenn Sie die alten Backups löschen wollen, ist es wichtig, sich zu vergewissern, dass alle Daten vernichtet werden und nicht autorisierten Personen unzugänglich bleiben. Die beste Art, dies zu garantieren ist es wiederum, die Daten zu verschlüsseln.

Die Verfügbarkeit

Einige Provider garantieren ein bestimmtes Niveau anVerfügbarkeit, andere wiederum geben hierüber überhaupt keine Auskunft, außer die des "best effort".

So kann ein Provider, der eine Verfügbarkeit von 98,5% garantiert, 5,5 Tage (sogar 5,5 aufeinander folgende Tage) pro Jahr nicht verfügbar sein, ohne dass es seine Vertragsverpflichtung verletzen würde. Berechnen Sie auf jeden Fall die mögliche Ausfallzeit und bestimmen Sie, ob Sie diesen Ausfall auch wirklich überstehen können. Es versteht sich von selbst, dass eine größere garantierte Verfügbarkeit teurer ist, als eine kleinere garantierte Verfügbarkeit.  Sehr gute Datenzentren garantieren bis zu 99,99% Verfügbarkeit (weniger als eine Stunde Verfügbarkeitsverlust par Jahr).

Die Verfügbarkeit der Cloud-Lösungen ist auch von der Konnektivität abhängig. Ein Konnektivitätsverlust in Ihrer Organisation, bei Ihrem Internet Service Provider oder bei Ihrem Cloud-Anbieter resultiert in einem Verfügbarkeitsverlust der Cloud-Dienste. DDOS-Angriffe (distributed denial of service) können auch eine ernste Gefahr für jede Cloud-Infrastruktur darstellen. Von einem solchen Angriff können Sie betroffen sein, selbst wenn ein anderer Kunde der Cloud-Infrastruktur angegriffen wird.

Die Verfügbarkeit eines Wertes ist die Versicherung, dass dieser Wert in der vorgesehenen Zeit und Leistungsfähigkeit benutzt werden kann. Denken Sie auch an die Zeitspanne, die sie benötigen, um ein Backup von einem Online-Dienst herunterzuladen. Diese Dauer kann sehr lang, sogar unvertretbar lang sein, je nachdem wie viel Download-Bandbreite man Ihnen zur Verfügung stellt.

Die Konnektivität

Die Übertragungsrate

Die meisten Cloud-Provider garantieren ihren Kunden eine Mindestdatenübertragungsrate. Die Betriebe müssen unbedingt prüfen, ob diese garantierten Übertragungsraten für die geplante Benutzung ausreichend sind.

Bei einem Backup-Dienst muss natürlich auch geprüft werden, ob die Ihnen zur Verfügung stehende Upload-Bandbreite ausreicht und es muss berechnet werden, wie lange das Hochladen des Backups dauern wird. Einerseits muss die Ihnen durch den Internet Service Provider zur Verfügung gestellte Übertragungsrate beachtet werden, andererseits aber auch die Ihnen vom Cloud-Dienst zur Verfügung gestellte Übertragungsrate: Der Flaschenhals ergibt sich zwingend durch den geringsten Wert:

Backup-Volumen Upload-Übertragungsrate seitens des ISP Übertragungsrate seitens des Cloud-Providers Dauer
5 GB 2,5 Mb/s 2 Mb/s 5000*8/2 = 20.000 Sekunden (oder 5,5 Stunden)
5 GB 2,5 Mb/s 2,5 Mb/s 5000*8/2 = 16.000 Sekunden (oder 4,4 Stunden)
5 GB 5 Mb/s 10 Mb/s 5000*8/5 = 8000 Sekunden (oder 2,2 Stunden)

Das übertragene Datenvolumen

Einige Cloud-Provider verrechnen das übertragene Datenvolumen. Prüfen Sie, ob das Ihren Bedürfnissen entspricht.

Datensicherung

Backup darf nicht mit Aufbewahrung verwechselt werden. Tatsächlich gibt es in Luxemburg seit kurzem ein Gesetz betreffend Dienstleistern im Bereich der Dematerialisierung und Aufbewahrung sowie der Dienstleister im Bereich der elektronischen Archivierung.
Das Backup in der Cloud ist nichts weiter als die Verlagerung der Backups in ein anderes Datenzentrum. Man muss unbedingt die Sicherheit der Daten während der Übertragung, Speicherung und Zerstörung überprüfen, jedoch auch im Falle wo Verträge beendet werden bzw. auslaufen, beim Löschen der Daten durch den Nutzer und schlussendlich im Falle der Insolvenz des Cloud-Providers.

Das Backup kann die ganze Nacht dauern, ohne dabei die Produktion zu stören. Die Wiederherstellung der Daten muss so schnell wie nur irgend möglich vonstatten gehen. Vergewissern Sie sich also, dass ausreichende Übertragungsraten zur Verfügung stehen, um das Herunterladen der Backups in einer vertretbaren Zeit durchführen zu können. Um diese Dauer möglichst kurz zu halten, achten Sie darauf, eine Backup-Strategie zu wählen, die vorsieht, dass Daten lokal gespeichert werden, und auch in der Cloud bleiben, um z.B. im Fall eines verheerenden Feuers Backups aus der Cloud wiederherstellen zu können.

Synchronisierung

Die Datensynchronisierung zwischen verschiedenen Arbeitsmitteln ist ein immer wiederkehrendes Bedürfnis. Anstatt Dokumente per ungesicherter E-Mail zu verschicken, oder Wechseldatenträger verwenden zu müssen, ist es vorzuziehen, Daten über einen von allen Geräten erreichbaren Dienst zu synchronisieren.

Es gibt viele solcher Dienste, die eine Zusammenarbeit unterstützen, beziehungsweise eine Synchronisierung ermöglichen. Die benötigten Übertragungsraten sowie das Übertragungsvolumen sind in der Regel geringer als beim Erstellen von Backups.

Dokumente stehen somit stets auf den untereinander synchronisierten Arbeitsmitteln zur Verfügung, da eine komplette Kopie vom Dienst vorgehalten wird. Ein Verlust der Verfügbarkeit des Cloud-Synchronisierungsdienstes führt also nicht zum Verlust aller Daten, sondern lediglich zum Verlust der Möglichkeit diese über mehrere Arbeitsmittel hinweg zu synchronisieren. Ein manuelle Synchronisierung über gesicherte E-Mails oder mit Hilfe von Wechseldatenträgern bleibt weiterhin möglich.

Der Vertraulichkeitsbedarf bleibt jedoch ganz reell, da es sich meist um aktuelle Daten handelt, die das Interesse etwaiger Konkurrenten oder anderer übel gesinnter Personen erwecken könnten. Eine Verschlüsselung während ihrer Übertragung und während der Speicherung der Daten wird dringend empfohlen. Es ist vorzuziehen, dass lediglich die Kunden über die Kryptoschlüssel verfügen, um alle unerlaubten Zugriffe über die Cloud zu verhindern.

Kallaborations-Platform

Die gleichzeitige Zusammenarbeit mehrerer Benutzer an den selben Dokumenten erfolgt in der Regel über einen Fileserver oder einen ähnlichen Server in einer Organisation.

Falls eine Organisation einen solchen Server nicht unterhalten will, oder falls mehrere Personen unterschiedlicher Organisation zusammenarbeiten müssen, ohne jedoch Zugriff auf einen zentralen Dokumentenserver zu haben, können online Kollaborationsplattformen benutzt werden.

Alle Projektteilnehmer können auf den gleichen Projektordner zugreifen und gemeinsam an Dokumenten arbeiten. Es gibt zwei Möglichkeiten dies zu tun:

  • das Dokument vom Cloud-Dokumentenserver herunterladen, lokal bearbeiten und nachher wieder hochladen. In diesem Fall ist es auch möglich, eine durch den Kunden kontrollierte Chiffrierung zu benutzen, auf welche der Cloud Provider keinen Einfluss hat.

  • die zur Verfügung stehenden Online-Dienste zu benutzen, um die Dokumente zu verarbeiten. In diesem Fall ist einer Verwendung von kundenbestimmter Kryptografie nicht möglich. Diese Art zu arbeiten garantiert also kein hohes Maß an Vertraulichkeit.

Die Zusammenarbeit auf einer Cloud-Plattform kann Risiken in Bezug auf die Verfügbarkeit mit sich bringen. Falls die Cloud nicht verfügbar ist, sind die Arbeiktsdokumente auch nicht verfügbar. Im Fall eines Desasters in der Cloud oder im Fall der Insolvenz des Cloud-Providers, kann es zum Verlust aller Dokumente kommen. Es ist also wichtig, frühzeitig Backup-Lösungen außerhalb der Cloud zu implementieren, z.B. in den Räumen eines Partners.

Die Verwaltung von Benutzerberechtigungen der einzelnen Mitarbeiter gestaltet sich oft als schwierig. Überprüfen Sie, wie spezifisch Sie Benutzerberechtigungen verwalten können, bevor Sie sich für einen Cloud-Provider entscheiden. Diese Zusammenarbeits-Plattformen bieten auch weitere Vorteile wie etwa gemeinsame Kalender, Mail-Lösungen oder andere Anwendungen an.

Oft ist es unmöglich, die Zugriffslogs auf die in der Cloud gespeicherten Daten einzusehen:

Weitere Dienste

Man denkt natürlich an Online-Dienste, wie etwas das Hosten von Webseiten oder Mail-Anwendungen. Es ist aber durchaus möglich, ganze Arbeitsumgebungen in der Cloud zu virtualisieren. Es gibt in der Tat Anbieter von virtuellen Arbeitsplatzlösungen, auf die man über einen Browser zugreifen kann.

Die Cloud bietet ungeahnte Möglichkeiten und verändert das Informationsverarbeitungsgerät in eine Dienstleistung, die man nach Bedarf mieten kann, was besonders KMUs in die Lage versetzt, Technologien einzusetzen, die bis vor kurzem noch sehr großen Firmen vorbehalten waren.

Alle diese Vorteile haben selbstverständlich ihren Preis und auch hier ist es von essentieller Wichtigkeit, den wahren Wert der gespeicherten und verarbeiteten Daten zu ermitteln, um angemessene Schutzmechanismen implementieren zu können.

Zusammenfassung

Technische Daten

Authentifizierung

Verschlüsselung

Verfügbarkeit

Übertragungsrate

Eigenschaften

Backup unkritischer Daten.

Starkes Passwort

SSL-Verbindung

Mittel bis stark

Je nach Volumen der Daten und Häufigkeit der Backups.

Backup kritischer Daten

2-Faktoren Authentifizierung / Starke Authentifikation

SSL-Verbindung
UND Verschlüsselung der Daten

Stark, besonders wenn die Daten dringlich sind

Hoch, falls die Wiederherstellung der Daten schnell vonstatten gehen soll

Synchronisierung

Je nach Kritizität der Daten (siehe Backup)

Je nach Kritizität der Daten (siehe Backup)

Schwach oder mittel

Je nach Volumen der zu synchronisierenden Daten

Datenaustausch:

Je nach Kritizität der Daten (siehe Backup)

SSL-Verbindung
Verschlüsselung mit geteilten Schlüsseln, falls die Daten kritisch sind

Mittel-Stark

Je nach Anzahl der Benutzer und dem Volumen der ausgetauschten Daten

Zusammenarbeit

Je nach Kritizität der Daten (siehe Backup)

SSL-Verbindung

Stark, um einen Datenverlust zu vermeiden Lokale Sicherheitskopien vorsehen?

Hoch, um mehreren Benutzern einen gleichzeitigen Zugriff zu ermöglichen