Kategorien
Events

Event-Tipp: SecureCloud 2012

Vom 9. bis 10. Mai 2012 findet die SecureCloud 2012, ein internationales Treffen von Cloud Computing Sicherheitsexperten, im Sheraton Congress Hotel in Frankfurt am Main statt.

Event-Tipp: SecureCloud 2012

Die SecureCloud 2012 wird von der Cloud Security Alliance (CSA), der European Network and Information Security Agency (ENISA), dem Center for Advanced Security Research Darmstadt (CASED)/Fraunhofer Institute for Secure Information Technology und der ISACA (previously the Information Systems Audit and Control Association) veranstaltet.

Die zweitägige Veranstaltung fokussiert sich auf neue technische Entwicklungen, erfolgreiche Strategien für das Risikomanagement sowie Änderungen der EU-Datenschutzrichtlinien und deren Bedeutung für Unternehmen. Zu den Themen der Englisch sprachigen Konferenz gehören:

  • Die neuen EU-Richtlinien und ihre Bedeutung für Cloud-Nutzer und Anbieter
  • Umgang mit Zwischenfällen in der Cloud
  • Cloud-Sicherheit aus der Kundenperspektive
  • Steuerung, Risiko und Compliance in der Cloud
  • Überwachung von Sicherheits- und Dienstebenen
  • Sicherheit von Virtualisierung
  • Praxisnahe Verschlüsselung für die Cloud
  • Cloud Forensic

Zu den Referenten der SecureCloud 2012 gehören unter anderem:

  • Dr. Carl-Christian Buhr
    European Commission, Mitglied im Kabinett der EU-Vizepräsidentin Neelie Kroes
  • Dr. Waldemar Grudzien
    Bundesverband Deutscher Banken e.V., Direktor
  • Thomas Endres
    Lufthansa, CIO
  • Eran Feigenbaum
    Google, Director of Security Google Apps
  • Billy Hawkes
    Irish Data Protection Commissioner
  • CJ Moses
    Amazon, Amazon Web Services Deputy, Chief Information Security Officer
  • Ari Juels
    RSA, Chief Scientist
  • Monika Josi
    Microsoft, Chief Security Advisor EMEA

Weitere Informationen zum Programm und die Anmeldung sind unter https://cloudsecurityalliance.org/events/securecloud-2012 zu finden.

Kategorien
Analysen

Cloud Computing ist auch eine Frage des Risikomanagements

Ausfälle wie Sie bei Amazon der Fall waren zeigen, dass für die Nutzung von Cloud Computing ebenfalls das Risiko betrachtet und bewertet werden muss, um darüber zu bestimmen, welche Auswirkungen bspw. ein Ausfall des Anbieters oder dessen nicht Erreichbarkeit auf das Unternehmen und seinen Geschäftsbetrieb hat.

Das gilt für die Nutzung von IaaS genauso wie für SaaS oder PaaS. Im Vergleich zu SaaS bestehen bei IaaS und PaaS jedoch weniger Möglichkeiten, eine Cloud Multivendor Strategie aufzubauen. Das ist dem Umstand geschuldet, dass der SaaS Anbieter den kompletten Stack von der Infrastruktur, über die Datenhaltung bis hin zur Oberfläche abbildet. Der automatische Transfer der Daten während eines Fehlerfalls bzw. die Echtzeit Synchronisation der Daten zwischen zwei oder mehreren SaaS Anbietern ist quasi unmöglich, was letzten Endes nicht nur an den proprietären Schnittstellen liegt, sondern ebenfalls der Art wie die einzelnen Prozesse intern abgebildet sind. Cloud Computing bedeutet nun einmal auch Standardisierung auf höchstem Niveau. Un dessen muss man sich als Unternehmen bewusst sein, wenn man Software-as-a-Service nutzen möchte.

Im Gegensatz dazu können bei der Nutzung von IaaS und auch PaaS die Daten bzw. das System oder die Anwendungen bedeutend einfacher automatisiert über mehrere Anbieter hinweg verteilt werden. IaaS Anbieter zeigen sich für den Bereich der Infrastruktur verantwortlich. Hier erhält man lediglich den Zugriff auf virtuelle Ressourcen (Server) um auf dieser Basis seine eigene virtuelle Infrastruktur aufzubauen. Durch den Anbieter bereitgestellte APIs kann über Skripte eine automatische Verteilung der Daten als auch der Anwendungen zu mehreren Anbietern erfolgen. Dieses Szenario gilt für Public Cloud, als auch Virtual Private Cloud Anbieter. Im Bereich PaaS sieht es ähnlich aus. Hier ist der Anbieter für die Infrastruktur, also den für die Applikationen benötigten virtuellen Ressourcen sowie dem Betriebsystem inkl. dem Anwendungstack (z.B. Apache, Tomcat, usw.) zuständig. Einige kleinere PaaS Anbieter sind jedoch dazu übergegangen, die Infrastruktur nicht selber bereitzustellen und stattdessen auf auf IaaS Public Cloud Anbieter zurückzugreifen. Die Portabilität der Daten und der Anwendung selbst ist abhängig vom Anbieter und welche Programmiersprache bzw. Programmiermodelle genutzt werden können. Bspw. ist die Google AppEngie sehr proprietär, wodurch ein 1:1 Transfer der Anwendung nicht ohne weiteres stattfinden kann.

Unabhängig vom Cloud Computing sind diverse Unternehmen dazu verpflichtet, ein Risikomanagementsystem einzusetzen. Das Thema Risiko ist jedoch nicht immer sehr greifbar, dennoch hat jeder von uns unterbewusst sein eigenes Risikomanagementsystem. Gehen wir bspw. bei Rot über die Ampel, prüfen wir vorher wie es um das Risiko steht, von einem Auto erfasst zu werden. Es ist also ein sehr logischer Vorgang, der im Unternehmensumfeld zu einer sehr komplexen Aufgabe werden kann, wenn alle Parameter berücksichtigt werden müssen, die Einfluss auf eine bestimmte Situation oder ein Szenario haben.

Und genau deswegen muss auch ein Risikomanagement bei der Nutzung von Cloud Computing erfolgen. Zu Beginn habe ich beschrieben, dass auf Basis einer Cloud Multivendor Strategie dem Ausfall meines bevorzugten Cloud Computing Anbieters vorgebeugt werden sollte. Dieses Beispiel ist für ein produzierendes Unternehmen z.B. aus der Automobilindustrie selbstverständlich. So verfügt jeder Hersteller über mehr als einen Zulieferer, für den Fall, dass der primäre Lieferant ausfallen sollte. Wie wir sehen, ist dieses analoge Beispiel sehr gut auf das Thema Cloud Computing abzubilden.

Risikomanagement ist durchaus kompliziert. Sind die wichtigsten Faktoren und Variablen jedoch bekannt und sind dafür ebenfalls Lösungen vorhanden, steht der sicheren und risikominimierten Nutzung von Cloud Computing nichts mehr im Weg.

Dennoch besteht noch viel Aufklärungsarbeit bzgl. der risikokonformen Nutzung von Cloud Computing. Und auch die technische Sicherheit darf in diesem Zusammenhang nicht vernachlässigt werden. Denn nicht nur die Cloud Computing Anbieter selbst sind für die Einführung und Einhaltung technischer (Ausfall-)Sicherheitsmaßnahmen zuständig. Auch der Cloud Computing Nutzer steht in der Pflicht, seine Hausaufgaben zu erledigen und muss sich über die aktuelle Situation informieren und entsprechende Maßnahmen einleiten.