Am 9. und 10. Mai fand in Frankfurt die SecureCloud 2012 Deutschland statt. Ich war am ersten Tag vor Ort und möchte euch von meinen Eindrücken und ein paar Neuigkeiten berichten. War grundsätzlich eine tolle Veranstaltung mit hochkarätigen Sprechern und einem guten Themenmix.

Das Negative zuerst. Kostenloses WLAN war leider Fehlanzeige. Für 10€ durften sich Teilnehmer einen Voucher kaufen. In Zeiten wo die Live Kommunikation und Berichterstattung an der Tagesordnung steht, ein unschöner Missstand. Es sind nicht die 10€ die direkt stören. Wenn ein Teilnehmer jedoch bereits eine Gebühr von 600 EUR entrichtet, sollte auch das WLAN enthalten sein. Wie auch immer, mein Android dufte mit seiner Tethering und Hotspot Funktion erhalten.

Die SecureCloud 2012 wurde von der Cloud Security Alliance (CSA), der European Network and Information Security Agency (ENISA), dem Center for Advanced Security Research Darmstadt (CASED)/Fraunhofer Institute for Secure Information Technology und der ISACA (previously the Information Systems Audit and Control Association) veranstaltet.

Die zweitägige Veranstaltung fokussierte sich auf neue technische Entwicklungen, erfolgreiche Strategien für das Risikomanagement sowie Änderungen der EU-Datenschutzrichtlinien und deren Bedeutung für Unternehmen. Zu den Themen der Englisch sprachigen Konferenz gehörten u.a. Cloud-Sicherheit aus der Kundenperspektive, Steuerung, Risiko und Compliance in der Cloud, Sicherheit von Virtualisierung, Praxisnahe Verschlüsselung für die Cloud sowie der Bereich der Cloud Forensic.

Die SecureCloud selbst war eine gelungene Veranstaltung. Auch wenn der eine oder andere Vortragstitel mehr Cloud Sicherheit versprochen hat, als er am Ende hergab, sprechen die Teilnehmerzahlen für sich. Ich habe keine genauen Zahlen, aber in beiden Tracks mussten die Teilnehmer anfangs stehen.

Neben dem Thema Cloud Sicherheit selbst, wurde während der Panels vermehrt über den eigentlichen Nutzen des Cloud Computing gesprochen. Es ging da an manchen Stellen viel mehr um Cloud Evangelismus und Grundsatzsdiskussionen die bereits vor 2 Jahren geführt wurden, als um konkrete Sicherheitsthemen.

Die Zukunft in der Cloud liegt

Neben Hochkarätern wie Billy Hawkes – Irish Data Protection Commissioner („Datenschutz ist ein Grundrecht für jeden!“) und wahrscheinlich der einflussreichste Datenschützer der EU, war ebenfalls Thomas Endres – ehemaliger CIO von Lufthansa – im Panel „Cloud Security User Perspective“ vor Ort, der die Sicht aus dem Blickwinkel der Unternehmen vertrat.

Endres vertritt die Meinung, dass „die Zukunft in der Cloud liegt.“, was schön zu hören und selten von den Lippen eines CIOs abzulesen ist. Zudem sieht er in den Markentingabteilungen der Anbieter ein großes Problem, da diese der Meinung sind, dass die Unternehmen schon weit genug für die Cloud sind. Dem ist laut Endres nicht so. Weiterhin sieht er in Enterprise Clouds viel Potential, was er u.a. mit Kosteneinsparungen von bis zu 40% begründete. Endres sieht die Kosten aber nicht als Hauptargument für Unternehmen. Es geht viel mehr um Agilität, Flexibilität und Standardisierung. Bei einem war sich das dreiköpfige Panel um Endres einig, die meisten Unternehmen entscheiden sich auf Grund der rechtlichen Situation für Private Clouds. Zudem sind Compliance Themen ein derzeit viel diskutiertes Thema. Was von wichtiger Bedeutung ist, denn „Unternehmen dürfen nicht leichtsinnig Risiken eingehen.“, wie Endres kommentierte. Neben der Compliance werden in Unternehmen derzeit ebenfalls die Bereiche Prozesse, Risiken und Finanzen diskutiert.

Thomas Endres fehlen weiterhin grundsätzliche Diskussionen und Präsentationen, wie man die Cloud wieder verlassen kann. Also das Lock-In Problem! „Überall wird erläutert wie man in die Cloud hineinkommt, aber wie man wieder hinauskommt erzählt keiner.“, so Endres. Er hält es für ein Unternehmen weiterhin für quasi unmöglich zu prüfen, ob ein Cloud Anbieter seinen Job richtig macht. „Es gibt Bereiche bei einem Cloud Anbieter die kann ein Unternehmen nicht beeinflussen. Das Auditing ist schwierig.“ Aus diesem Grund rät Endres, „nicht alle Bereiche und Daten eines Unternehmen in die Cloud zu verlagern.“ Das Risiko sei zu hoch.

Das Panel erläurterte im weiteren Verlauf, dass die Cloud Sicherheit sich in mehrere Bereiche aufteilt, die separat betrachtet werden müssen. Es gibt hierfür keinen Masterplan. Zudem sind die System- und Prozesssicherheit für Unternehmen die größten Herausforderungen in der Cloud. Thomas Endres: „Unternehmen benötigen ein Sicherheitsmanagementsystem.“ Worin sich das Panel einig war, die Cloud Anbieter stellen ihren Kunden nur eine Plattform bereit. Die Sicherheit bzgl. Unternehmensprozesse obliegt dem Kunden selbst. Zudem raten sie zur Vorsicht und einer genauen Prüfung. Der erste Eindruck von Cloud Auditoren sei demnach „Super“, der zweite Eindruck: „Vorsichtig sein.“

Thomas Endres abschließende rhetorische Frage, die unbeantwortet blieb: „Was passiert wenn der Cloud Anbieter zahlungsunfähig wird?“

Die EU arbeitet an einer breiten und intensiven Unterstützung des Cloud Computing

Die European Commission arbeitet an einer Cloud Strategie und hat damit begonnen, mehr für die ganzheitliche Cloud Computing Adaption und Integration zu tun und ist bestrebt, kritische Infrastrukturen zu schützen und hat dafür bspw. ein CyberSecurity Lab gegründet. Der Plan sieht vor bis 2013 über 50 Mio EUR in ein europäisches Security Framework zu investieren. In die Cloud Strategie werden die Industrie, Cloud Experten und das EU Policy Framework einbezogen. Mit einem Legal Framework sollen zudem einheitliche Regeln geschaffen werden, um bspw. Cloud Datenschutz und Sicherheit zu klären.

Mit einem Pre-Commercial Procurement einem weiteren Framework soll die Umsetzung erfolgen, das sich aus drei Phasen zusammensetzt und mit dem eine europäische Cloud Partnerschaft aufgebaut werden soll. Zudem soll eine internationale Cloud Computing Policy entwickelt werde, in der Sicherheit, Zertifizierungen und Standards stehen werden. Zukunftsthemen sieht die EU bis 2020 bei den Themen Sicherheit und Datenschutz im Cloud Computing sowie in den Bereichen Software und Services.

Die Niederlande setzen vollständig auf die Private Cloud

Die niederländische Regierung nutzt die Cloud, um E-Government Services an seine Behörden und Institutionen auszuliefern. Dabei werden nicht alle Daten in die Cloud verlagert, sondern eine Klassifizierung vorgenommen. Dabei planen die Niederlande zwar auf Public aund Private Cloud Lösungen setzen, allerdings werden zunächst nur die Methoden des Cloud Computing genutzt, um eine Government Cloud (Private Cloud) aufzubauen. Hintergründe für den Private Ansatz sind Bedenken bzgl. Datenschutz und Datensicherheitsrisiken in Public Cloud Umgebungen.

Cloud Computing = Outsourcing 2.0

Ein weiteres Panel diskutierte den Einfluss des Cloud Computing auf die Sicherheit. Die Teilnehmer sahen dabei nicht die Cloud Sicherheit als das Problem selbst an, sondern die Transparenz, die im Vordergrund stehen muss. Die Cloud wurde in diesem Zusammenhang korrekterweise auch als Blackbox beschrieben.

Zudem war sich das Panel einig, werden aktuell exakt dieselben Diskussionen über die Cloud geführt wie vor Jahren über das Outsourcing. Beim Outsourcing hieß es früher: „Don’t touch my systems and data!“ Doch plötzlich fingen alle doch an Outsourcing zu nutzen. Cloud Computing wird daher dieselbe Erfahrungen sammeln müssen wie das Outsourcing. Wodurch Cloud Computing auch als Outsourcing 2.0 beschrieben wurde. Darüber hinaus haben die Marketing Abteilungen mit ihren „Cloud Aufklebern“ Cloud Computing zu einem Hype verkommen lassen, der von vielen nicht ernst genommen wird.

Als Tipps gab das Panel den Teilnehmern mit auf den Weg, dass man sich zunächst über die Art der Cloud im klaren sein sollte, bevor die Migration beginnen kann. Bspw. können Community Clouds Unternehmen auf Grund der Erfahrungen der anderen Unternehmen ein Mindestmaß an Sicherheit bieten. Zudem sah das Panel den Bereich Identity Management als den Master Use Case für Security-as-a-Service und das beim Thema Zertifizierung darauf geachtet werden sollte, das der gesamte Stack betrachtet wird, vom Personal bis hinunter zum Hypervisor.

Datenschutz ist das Verkaufsargument

Im weiteren Verlauf der Veranstaltung hatte ich Gelegenheit mit mehreren Beratern zu sprechen. Die durchweg einstimmigen Aussagen waren, dass sich Cloud Angebote aus Deutschland mit dem Verkaufsargument des hohen Datenschutzniveau sehr gut verkaufen lassen.

Ein paar Bilder zur SecureCloud 2012 gibt es auf Flickr.