Mit geteilter Verantwortung zur sicheren Cloud

Beim Thema Cloud-Sicherheit unterliegen viele Unternehmen nach wie vor grundsätzlichen Missverständnissen. Das belegt eine Studie des US-amerikanischen Cybersecurity-Unternehmens Palo Alto Networks aus dem letzten Jahr, für die 500 Sicherheitsexperten von Grossunternehmen in Europa und dem Nahen Osten befragt wurden. Zwar zeigen sich 83 Prozent der Befragten zuversichtlich, dass ihr Cloud-Service-Provider die Infrastruktur gut schützt. Gleichzeitig sind ein Drittel der Befragten fälsch­licherweise der Ansicht, dass der Cloud-Service-Provider die Hauptverantwortung beim Schutz der Unternehmensdaten in der Public Cloud trage.

Cloud-Sicherheit ist nicht bloss Angelegenheit des Cloud-Service-Providers. Auch Cloud Consumer müssen ihren Beitrag leisten, damit sie Applikationen, Entwicklungsumgebungen oder virtualisierte Serverinstanzen sicher aus einer Public Cloud beziehen können. Wie die Verantwortlichkeiten zwischen Cloud-Nutzer und -Anbieter aufgeteilt werden, regelt das Shared-Responsibility-Modell. Ursprünglich von Amazon Web Services und Microsoft Azure formuliert, adaptieren inzwischen auch andere Cloud-Anbieter dieses Verantwortungsmodell für Sicherheit und Compliance. "Im Wesentlichen unterscheidet Shared Responsibility zwischen der Sicherheit der Public Cloud selbst (Security of the Cloud) und der Sicherheit in der Public Cloud (Security in the Cloud)", erklärt Klaus Gribi, Senior Security Consultant von Swisscom. "Grundsätzlich ist der Cloud-Provider für die Sicherheit der Cloud-Infrastruktur, der Cloud Consumer dagegen für die Sicherheit innerhalb der Cloud zuständig". Die genauen Verantwortlichkeiten unterscheiden sich dabei je nach Cloud-Service-Modell, wie im Folgenden ausgeführt.

Infrastructure-as-a-Service: Sicherheit ist hauptsächlich ­Sache des Cloud Consumers

Bei der Sicherheit von IaaS-Lösungen sind Cloud Consumer hauptsächlich auf sich allein gestellt. Der Service-Provider gewährleistet lediglich die Sicherheit der Virtualisierungsplattform. Um die Sicherheit des Betriebssystems, der Daten und der Applikationen hat sich der Cloud Consumer zu kümmern.

Platform-as-a-Service: Mehr Verantwortung beim Provider

Im Vergleich zu IaaS übernehmen Cloud-Provider bei PaaS mehr Verantwortung: Sie sind für die Sicherheit der ganzen Entwicklungsumgebung wie auch der Betriebssysteme und der Datenbanken zuständig. Der Anwender dagegen ist verantwortlich für die Sicherheit und Verwaltung von den auf der Plattform betriebenen Applikationen, Datenbanken und der Daten.

Software-as-a-Service: Nutzer werden entlastet

Bei SaaS-Angeboten verantwortet der Service-Provider den Grossteil aller Sicherheitsaspekte: Er ist für alles ausser der Benutzerverwaltung und den Daten, die in der Cloud gespeichert werden, verantwortlich. SaaS-Anwender sind entsprechend für die Benutzerverwaltung, den Daten- und Informationsschutz zuständig. "Nutzer von SaaS-Lösungen sind im Wesentlichen bloss noch dafür zuständig, dass nur die Daten in die Cloud gelangen, die sie auch wirklich in der Cloud haben möchten", sagt Gribi. "Die Cloud Consumer können diese zusätzlich schützen, indem sie etwa die Daten verschlüsseln."

Verantwortungsbereiche können abweichen

Auch wenn das Shared-Responsibility-Modell weitestgehend Gültigkeit besitzt, sind die Grenzen zwischen Cloud-Consumer- und Cloud-Service-Provider-Verantwortung schwammig. "Zwar ist ein IaaS-Kunde ab Betriebssystem-Ebene für die Cloud-Sicherheit verantwortlich; dennoch installieren einige Anbieter zum Beispiel für die Performance-Überwachung der virtualisierten Instanzen auch Komponenten ins Betriebssystem", hält Gribi fest. "Bei Shared Responsibility gibt es also durchaus anbieterspezifische Grenzen, die anders verlaufen können."

Anwenderunternehmen müssen sich deshalb intensiv mit den Service Level Agreements des Cloud-Providers auseinandersetzen, in der die Security-Verantwortlichkeiten von Cloud-Service-Provider und Cloud Consumer definiert sind. Nur wenn Cloud Consumer die Zuständigkeitsbereiche des Cloud-Service-Providers kennen und verstehen, sind sie in der Lage, die geeigneten Massnahmen für die Cloud-Sicherheit zu ergreifen – und die genutzten Cloud-Services auch von ihrer Seite aus bestmöglich zu schützen.

Auch technische und organisatorische Faktoren sind entscheidend

Natürlich spielen die Service Level Agreements schon bei der Evaluation und der Wahl eines geeigneten Cloud-Providers eine zentrale Rolle. Shared Responsibility umfasst aber noch weitere Faktoren: "Bei Cloud-Sicherheit geht es nicht nur um die technische Ebene", hält Gribi fest. "Ob man sich für oder gegen einen Cloud-Provider entscheidet, hängt auch von rechtlichen und organisatorischen Aspekten ab."

Anwenderunternehmen müssen prüfen, wie die Zusammenarbeit zwischen dem Chief Information Security Officer und der Sicherheitsorganisation des Cloud-Providers geregelt ist. Zentral sind etwa Fragen wie:

• Stehen für die Zusammenarbeit entsprechende Sicherheitsportale zur Verfügung?

• Wie geht der Provider beim Security Incident Management vor?

• Sind automatisierte Schnittstellen vorhanden, die auf organisatorischer Ebene für die Interaktion zwischen den Sicherheitsorganisationen des Cloud Consumers und des Cloud-Service-Providers genutzt werden können?

Ebenfalls elementar sind die Bestimmungen des Cloud-Providers auf administrativer Ebene. Etwa sollten Cloud Consumer evaluieren, wie beziehungsweise ob das Security-Reporting des Cloud-Providers geregelt ist, ob er bei Infrastrukturausfällen Entschädigungszahlungen leistet usw.

In Bezug auf Governance & Compliance können branchenspezifische Vorgaben hinzukommen, denen der Cloud-Provider gerecht werden muss. Etwa legt der Standort des Cloud-Providers fest, welcher Gesetzgebung er unterliegt – gerade für Banken, die Finma-Regularien einzuhalten haben, ein zentraler Faktor. Zudem muss der Cloud-Provider ausreichend Security Controls anbieten: "Ob sich ein Unternehmen für oder gegen einen Cloud-Provider entscheidet, hängt nicht selten davon ab, ob ihm Funktionalitäten wie Verschlüsselung, Identity- und Access-Management oder Threat Intelligence zur Verfügung stehen", sagt Gribi. "Diese sind deshalb bei der Wahl des Cloud-Service-Providers elementar."