EU-Sicherheitsagentur beleuchtet Cloud Computing-Risiken

Cloud-Computing-Nutzer sehen sich mit Problemen wie dem Verlust der Kontrolle über Daten, Schwierigkeiten bei der Einhaltung von Vorschriften und zusätzlichen rechtlichen Risiken bei der Übertragung von Daten von einer Rechtshoheit in eine andere konfrontiert, gemäß einer Bewertung der Cloud-Computing-Risiken durch die Europäische Agentur für Netz- und Informationssicherheit (ENISA).

Die Agentur wies darauf hin, dass diese Probleme nach ENISA die gravierendsten Folgen für die Unternehmen haben, die Cloud-Computing-Dienste nutzen.

Die ENISA untersuchte die Vermögenswerte, die Unternehmen bei ihrer Nutzung gefährden Cloud-Computing, einschließlich Kundendaten und ihrer eigenen Reputation; die Sicherheitslücken in Cloud-Computing-Systemen; die Risiken, denen diese Sicherheitsanfälligkeiten ausgesetzt sind, und die Wahrscheinlichkeiten, dass diese Risiken auftreten.

[Weiterführende Literatur: So entfernen Sie Malware von Ihrem Windows-PC]

Unternehmen müssen bei der Umstellung auf cloudbasierte Computing-Dienste zur Verfügung stehen Kontrolle über den Cloud-Anbieter bei einer Reihe von Problemen, die sich negativ auf die Sicherheit auswirken können. Zum Beispiel erlauben die Nutzungsbedingungen des Anbieters möglicherweise keine Portscans, Schwachstellenbewertung und Penetrationstests. Gleichzeitig enthalten Service Level Agreements (SLAs) möglicherweise nicht diese Dienste. Das Ergebnis ist eine Lücke in der Verteidigung, sagte ENISA im Bericht.

Compliance könnte sich auch als großes Problem erweisen, wenn der Anbieter nicht die richtigen Zertifizierungsstufen anbieten kann oder das Zertifizierungssystem nicht für Cloud-Dienste angepasst wurde, so der Bericht.

Einer der Vorteile von Cloud-Diensten ist, dass Daten an mehreren Orten gespeichert werden können, was bei einem Vorfall in einem der Rechenzentren den Tag retten kann. Es könnte jedoch auch ein großes Risiko darstellen, wenn sich die Datenzentren in Ländern mit einem wackeligen Rechtssystem befinden, heißt es in dem Bericht.

Weitere Problembereiche sind die Abhängigkeit von Anbietern, das Versagen von Mechanismen, die verschiedene Unternehmen voneinander trennen, Verwaltungsschnittstellen Zugriffe von Hackern, Daten, die nicht ordnungsgemäß gelöscht werden, und böswillige Insider.

Um diese Risiken zu minimieren, schlägt der Bericht eine Liste von Fragen vor, die ein Unternehmen an potenzielle Cloud-Anbieter stellen muss. Welche Garantien bietet der Anbieter beispielsweise, dass die Kundenressourcen vollständig isoliert sind, welches Security-Education-Programm für die Mitarbeiter läuft, welche Maßnahmen ergriffen werden, um die Service Levels von Drittanbietern zu gewährleisten, und so weiter.

Am Ende Ein guter Vertrag kann laut Bericht die Risiken mindern. Unternehmen sollten insbesondere auf ihre Rechte und Pflichten im Zusammenhang mit Datentransfers, dem Zugriff auf Daten durch die Strafverfolgungsbehörden und Meldungen von Sicherheitsverletzungen achten.

Der Bericht der ENISA ist jedoch nicht allesamt finster. Die Verwendung von Cloud-Computing-Diensten kann laut dem Bericht zu robusteren, skalierbaren und kosteneffektiveren Abwehrmaßnahmen gegen bestimmte Arten von Angriffen führen. Zum Beispiel könnte die Fähigkeit, Ressourcen dynamisch zuzuweisen, einen besseren Schutz vor DDoS-Angriffen (Distributed Denial-of-Service) bieten, sagte ENISA.