Feb 23 2010
IT-Profis uneins über Cloud-Sicherheit
„Nur weil ich paranoid bin, heißt das ja nicht, dass ich nicht verfolgt werde!“ Diesen Merksatz würden die meisten Security-Spezialisten nicht unterschreiben, weil sei das verdächtig in Nerd-Nähe brächte, aber vielen würde der Ausspruch gefallen. Schließlich suchen sie ständig nach Lücken in der Verteidigung ihrer Unternehmen, spielen mögliche Angriffe durch und wappnen sich gegen Cyber-Bösewichte. Da kann einem der „naive“ Blick des IT- oder des Business-Management schon mal nerven und deren Fragen auch: „Wie wahrscheinlich ist so eine Attacke? Was kostet uns das im Extremfall?“ Und am ätzendsten: „Müssen wir das so aufwendig absichern?“
Bisher haben die Security-Spezialisten auf diese Frage antworten können, weil sie ihre Schutzmechanismen bis ins kleinste Detail kennen. Mit Cloud Computing ändert sich das drastisch. Sie können nicht mehr selbst mit ihren Teams für Sicherheit sorgen, sondern können sie per SLA nur noch vom Cloud-Provider verlangen. Das ist ein großer Unterschied, zumal wenn wie bei vielen Anbietern ein detailliertes Security-Audit nicht möglich ist.
Symantec hat in seinem „State of Security Survey 210“ IT-Profis gefragt, wie Cloud Computing die Sicherheit ihrer Unternehmens-IT beeinflusst. Ein Drittel der 2100 Befragten erwartet negative Folgen; ein Drittel rechnet sich dagegen sichere Systeme aus und das letzte Drittel geht von keinen Veränderungen aus. Wetten, dass das pessimistische Drittel zu hundert Prozent aus Securityleuten besteht? Sie fürchten Kontrollverlust und zwar mit Recht. Bisher können ihnen die Cloud-Provider noch keinen adäquaten Ersatz für Tools und Policies anbieten, die ein unternehmenseigener Sicherheitsdienst einsetzt. Und wenn sie das Gefühl haben, sie könnten den eigenen Security-Parameter nicht mehr schützen, begegnen Sicherheitsleute Applikationen, Daten und Services, die von außen kommen, besonders skeptisch.
Deshalb wird sich die Security-Debatte um Cloud Computing nur beenden lassen, wenn die Provider in Sachen Security und Datenschutz die Hosen runterlassen. Sie müssen transparent werden, erklären, was sie, warum, wie oft und mit welchem Erfolg tun, um ausreichende Sicherheitslevel zu erreichen. Außerdem müssen sie auf Sonderwünsche ihrer potenziellen Kunden eingehen können, entweder selbst oder über einen Security-Anbieter, der diesen Service in der Cloud zur Verfügung stellen kann. Erst dann legt sich vielleicht auch die Paranoia der Sicherheitsleute.
Weitere Meinungsbeiträge und Analysen finden Sie im Blog des Autors unter www.wittes-welt.eu
Foto:spettacolopuro