Sicherheit in der Public Cloud - Teil 2/2

Sicherheit in der Public Cloud - Teil 2/2

Im ersten Teil dieses Beitrags haben wir einige wichtige Dinge angeschaut, die man bedenken sollte, wenn man in die Public Cloud migriert. Wir haben besprochen, dass man dabei den Computer von jemand anderem benutzt, und uns die C.I.A.-Gesichtspunkte (Confidentiality, Integrity, Availability) angesehen. Es gibt aber noch mehr in Erwägung zu ziehen. Wenn man an grosse Cloud Provider denkt, ist der Datenschutz ein sehr grosses Thema.

Datenschutz und rechtliche Pflichten der Public Cloud Provider

Vieles hiervon gehört zum Thema Vertraulichkeit und zum Wissen, dass die Public Cloud der Computer von jemand anderem ist. Es gibt aber noch einen weiteren Aspekt, den man meiner Meinung nach betrachten sollte: In bestimmten Fällen gibt es Rechtskonstrukte/rechtliche Bedingungen (z.B. den sogenannten CLOUD-Act), die von den Public Cloud Providern verlangen können, dass sie Behörden Zugang zu Informationen geben, die auf ihrer Infrastruktur gespeichert sind.

Auch wenn der Provider Ihre Daten bei der Übertragung und im ruhenden Zustand verschlüsselt, werden sie doch auf seiner Infrastruktur verschlüsselt. Je nachdem, wie man diese rechtlichen Pflichten interpretiert, könnte das bedeuten, dass diese Verschlüsselungen unter bestimmten Umständen umgangen/deaktiviert werden, auch wenn Sie Ihre eigenen Schlüssel verwenden.

Obwohl es einige rechtliche Einschränkung für die Verwendung solcher Mechanismen gibt, sollte man die Tatsache nicht vernachlässigen, dass es diese Mechanismen gibt, da durch sie ein gewisses Risiko des Missbrauchs entsteht. Andererseits sollten Sie, wenn Sie sich wirklich durch diese Art von Regelungen gefährdet sehen, bereits wissen, was Sie tun, und daher bereits viel in den Schutz Ihrer Daten investieren, auch wenn diese vor Ort gespeichert und verarbeitet werden.

Ist eine interne Lösung wirklich die Antwort? 

Wenn Sie zur Zielgruppe gehören, die sich über solche Dinge Sorgen machen, dann sollten Sie schliesslich wissen, dass ein sehr entschiedener und gezielter Angriff von Seiten einer staatlichen Organisation sehr wahrscheinlich jegliche Schutzmassnahmen Ihrerseits durchbrechen würde. Ist eine interne Lösung also wirklich das Nonplusultra?

Dazu kommt, das ein Big Player im Bereich Public Cloud vermutlich wenig Interesse daran hat, diese Art von rechtlichen Anfragen zu bearbeiten, da das seinerseits sehr wertvolle Ressourcen binden würde. Das heisst, dass er höchstwahrscheinlich von vornherein einen beweisbaren Datenschutz sicherstellen und keinerlei Hintertüren bereitstellen möchte.

Fazit

Sie sollten vielleicht lieber nicht in die Public Cloud wechseln

  • Wenn Sie sehr strenge Datenschutzvorschriften haben
  • Wenn Sie (oder Ihre Kunden) z.B. vom CLOUD-Act bedroht sind
  • Wenn Sie sich durch die Existenz der Mechanismen, die zur Einhaltung des CLOUD-Acts (oder ähnlichen Mechanismen) nötig sind, bedroht sehen
  • Wenn Sie paranoid sind (Aber können Sie es selbst besser machen?)

Sie sollten (auf jeden Fall) in die Public Cloud wechseln

  • Wenn Sie auf eine hohe Verfügbarkeit angewiesen sind

  • Wenn Sie nicht über das Expertenwissen auf allen Ebenen verfügen, um den nötigen Sicherheitsgrad für Ihre Infrastruktur zu gewährleisten

  • Wenn Sie Kosten sparen und den Sicherheitsgrad erhöhen wollen 


Kurz gesagt:
Wenn Sie den gesamten Stack (Hardware & Software) nicht selbst perfekt managen können, dann sollten Sie ihn entweder managen lassen oder sich das Fachwissen aneignen. Im ersten Fall entscheiden Sie sich idealerweise für die Public Cloud. Im zweiten Fall benötigen Sie Beratung, um Ihre eigene private Cloud oder Vor-Ort-Lösung aufzubauen. Wie auch immer Sie sich entscheiden, Nine kann Ihnen genau das bieten, was Sie brauchen.

 

An weiteren Informationen rund um Cloud Computing interessiert? 
Dann abonnieren Sie jetzt unseren Blog: 

Jetzt für den nine Blog anmelden



Reto Bollinger

Reto is Information Security Officer at Nine