CloudUser | Ξxpert » Cloud

Die Herausforderungen des Cloud Computing: Sicherheitsanforderungen

René Büst — Fri, 13 Jan 2012 10:43:44 +0000

Mit der Adaption von Cloud Computing Technologien und Services stehen Unternehmen Herausforderungen gegenüber, die es zu bewältigen gilt. Zum einen müssen organisatorische Voraussetzungen geschaffen und Aufklärungsarbeit innerhalb des Unternehmens geleistet werden, um die Akzeptanz und das Verständnis zu stärken. Zum anderen treffen aber auch viele “Widerstände” von außen auf das Unternehmen. Das sind neben Fragen bzgl. der Sicherheit und des Datenschutz ebenfalls Themen zur Verfügbarkeit und Performanz des ausgewählten Cloud Service sowie dessen Integrationsfähigkeit in die bereits bestehende IT-Infrastruktur und die nahtlose Unterstützung der vorhandenen Geschäftsprozesse. Und wie auch schon aus den klassischen Sourcingmöglichkeiten bekannt, besteht auch im Cloud Computing die Angst, in die Abhängigkeit eines einzigen Anbieters zu verfallen. So müssen auch hier die Interoperabilität und die Schnittstellen des Anbieters sowie ein Vergleich zu anderen Anbieteren vorgenommen werden.

Ist die Entscheidung für die Nutzung des Cloud Computing gefallen, ist es für Unternehmen zunächst an der Zeit, eine Ist-Analyse der bestehenden IT-Infrastruktur und Systeme vorzunehmen, um auf Basis dieser zu planen, welche Cloud Services adaptiert werden sollen. Hier kann bspw. eine Kosten-/ Nutzen-Analyse weiterhelfen, bei der auch eine Risikobewertung nicht fehlen sollte. Um erste Erfahrungen auf dem Cloud Computing Gebiet zu sammeln, sollte ein Pilotprojekt initiiert werden, welches auf Grund des Cloud Computing Konzepts schnell und kostengünstig gestartet werden kann. Dieses sollte einem Gesamtverantwortlichen “Cloud” untergeordnert sein, der als zentrale Stelle innerhalb der Organisation für die Adaption und Beratung der einzelnen Abteilungen für dieses Thema zuständig ist. Mit den gesammelten Erfahrungen können dann weitere Projekte gestartet werden und die Adaption unterschiedlicher Cloud Services sukzessive vorgenommen werden.

Sicherheitsanforderungen

Bedenken in Bezug auf die Sicherheit gehören zu der größten Hemmschwelle und sprechen gegen den Einsatz von Cloud Computing. Cyber-Ark hat dazu acht Bereiche bei Cloud Anbietern identifiziert, die es zu beachten und überprüfen gilt. Denn speziell die Administratoren der Anbieter verfügen über den Zugriff auf sämtliche Daten sowie Anwendungen, Prozesse, Services und Systeme.

Management privilegierter Benutzerkonten: Der Cloud Anbieter muss über ein sogenanntes Privileged-Identity-Management-System zur Verwaltung privilegierter Accounts in seiner gesamten Infrastruktur verfügen. Damit soll dem Unternehmen garantiert werden, dass der Anbieter die Datensicherheitsanforderungen bzgl. Policies, Prozesse und Practices erfüllt. Zudem sollte der Cloud Anbieter Standards wie ISO 27001 oder 27002 einhalten.
Policy-Konformität: Alle Policies und Prozesse des Privileged Identity Management des Cloud Anbieters müssen im besten Fall den ISO-Normen entsprechen aber auf jedenfall mit denen des Unternehmens übereinstimmen.
Evaluierung: Die Sicherheitsstruktur des Cloud Anbieters muss vom Unternehmen im Detail überprüft und evaluiert werden. Hier ist besonders zu prüfen, dass Programme für das Privileged Identity Management genutzt werden, mit denen die Security-Policies und -Prozesse automatisch unterstützt werden.
Dokumentation: Die Richtlinien und Prozesse des Privileged Identity Management müssen Anforderungen für das Audit und Reporting erfüllen. Dazu sollten die eingesetzten Technologien und Konzepte innerhalb der Service Level Agreements festgehalten werden.
Definition von Rollen: Über Policies muss den privilegierten Benutzern der Zugang zu entsprechenden Bereichen limitiert werden. Dafür ist eine sogenannte “Separation of Duties” erforderlich.
Keine versteckten Passwörter: Es dürfen keine Passwörter gespeichert werden, die einen Zugang zu Backend-Systemen oder Datenbanken ermöglichen.
Überwachung: Der Cloud Anbieter ist in der Pflicht, die privilegierten Benutzerkonten dauerhaft zu kontrollieren und zu überwachen.
Reporting: Für alle privilegierten Benutzerkonten müssen lückenlose Protokolle und Reportings in Bezug auf den Zugriff und die Aktivitäten erstellt werden. Diese müssen dem Unternehmen wöchentlich oder monatlich zur Verfügung gestellt werden.

Die Herausforderungen des Cloud Computing: Datenschutz und Datensicherheit

René Büst — Wed, 21 Dec 2011 10:05:53 +0000

Datenschutz und Datensicherheit

Während der Nutzung einer Public Cloud werden die Daten eines Unternehmens immer an einen Cloud Anbieter übertragen. Aus diesem Grund sind viele Kritiker der Meinung, dass Cloud Computing von der rechtlichen Seite betrachtet nicht zulässig sei, da die Anforderungen des Datenschutzes an dieser Stelle nicht erfüllt werden.

Arnd Böken zeigt, dass es rechtlich ohne weiteres möglich ist, personenbezogene Daten innerhalb einer Public Cloud verarbeiten zu lassen, wenn das Unternehmen und der Cloud Anbieter bestimmte Voraussetzungen einhalten. Der Cloud Anbieter wird dafür als Auftragsdatenverarbeiter für das Unternehmen tätig.
Nach §11 Bundesdatenschutzgesetz (BDSG) muss das Unternehmen den Cloud Anbieter zunächst sorgfältig auswählen, um diesen die Auftragsdatenverarbeitung vornehmen zu lassen. Dazu hat es die Pflicht, “[...] zu prüfen, ob der Anbieter geeignete technische und organisatorische Schutzmaßnahmen getroffen hat, die Daten sicher zu verarbeiten.” Um das sicherzustellen, muss das Unternehmen das Schutzkonzept des Cloud Anbieters überprüfen. Grundsätzlich müssen dabei die folgenden Grundsätze der Datensicherheit bei der Verarbeitung personenbezogener Daten nach der Anlage zu § 9 des Bundesdatenschutzgesetz (BDSG) eingehalten werden:

Zutrittskontrolle: Maßnahmen, die Unbefugte am Zutritt zu Datenverarbeitungsanlagen hindern. Das gilt für Außenstehende sowie für Mitarbeiter aus anderen Unternehmensbereichen oder Mitarbeiter außerhalb ihrer Arbeitszeit, etwa durch Gebäudeüberwachung, Einrichten von Sicherheitszonen, Berechtigungsausweise und Alarmanlagen.
Zugangskontrolle: Maßnahmen, die Unbefugte daran hindern, Datenverarbeitungssysteme zu nutzen, etwa durch Passwortvergabe, sowie Schutzmaßnahmen gegen Eindringen wie Firewalls.
Zugriffskontrolle: Schutzmaßnahmen, damit Mitarbeiter Daten nur im Rahmen ihrer Zugriffsberechtigung einsehen und nutzen können sowie der Schutz bei Nutzung der Daten und nach Speicherung. Zum Beispiel eine eindeutige Zuweisung von Zugriffsberechtigungen, wirksame Prüfverfahren und Verschlüsselung.
Weitergabekontrolle: Schutz der Daten bei Speicherung oder Weitergabe einschließlich einer Dokumentation, an welche Stellen Weitergabe vorgesehen ist. Durch genaue Dokumentation der beteiligten Rechenzentren, Protokollierung der Speicherorte der Daten, Regelungen zur Verschlüsselung und zuverlässige Löschverfahren.
Eingabekontrolle: Protokollierung, wann und von wem welche Daten eingegeben, verändert oder entfernt worden sind.
Auftragskontrolle: Daten dürfen bei Auftragsdatenverarbeitung nur nach den Weisungen des Auftraggebers verarbeitet werden. Unter anderem durch eine eindeutige Regelungen zur Zweckbindung, zu Zugriffsbeschränkungen, zur Aufbewahrung, zum Verlust von Datenträgern, zu Löschverfahren und vollständiger Herausgabe nach Auftragsende.
Verfügbarkeitskontrolle: Schutzmaßnahmen gegen zufällige Zerstörung oder Verlust von Daten. Beispielsweise durch regelmäßige Sicherung, USVs und Katastrophenpläne.
Trennungskontrolle: Systeme müssen Daten, die zu unterschiedlichen Zwecken erhoben wurden, getrennt verarbeiten können. Zum Beispiel durch Trennung über Zugriffsregelung.

Des Weiteren sind Zertifizierungen des Anbieters unverzichtbar sowie eine Bestätigung über die Einhaltung des oben genannten Schutzkonzeptes.

Eine Auftragsdatenverarbeitung setzt gleichermaßen voraus, “[...] dass die Daten nur in Rechenzentren innerhalb des Europäischen Wirtschaftsraums (EWR), das heißt EU plus Norwegen, Island und Liechtenstein, verarbeitet werden.” Aus diesem Grund haben viele Cloud Anbieter ebenfalls EU/EWR-Clouds im Angebot, z.B. dann, “[...] wenn ein Unternehmen seine Buchführung in die Cloud auslagern will.”
Zudem sollte ein Unternehmen mit dem Cloud Anbieter eine Vertraulichkeitsvereinbarung abschließen, bevor es diesem weitere Interna mitteilt.

Die Herausforderungen des Cloud Computing: Schatten IT

René Büst — Thu, 08 Dec 2011 09:24:26 +0000

Schatten IT

Eine Schatten-IT entsteht durch die Nutzung von IT-Ressourcen wie Hardware und Software von Mitarbeitern ohne die Kenntnis der IT-Abteilung.

Dabei entsteht die Schatten-IT in den meisten Fällen nicht aus Boshaftigkeit, sondern aus Unwissenheit und z.T. Verzweiflung. So verfügt eine Vielzahl von Unternehmen bspw. nicht über ausreichend Softwarelizenzen. Die Mitarbeiter greifen dann auf alternative Anwendungen z.B. aus dem Open Source Bereich zurück. Anstatt nun auf lokale Applikationen zurückzugreifen, greifen die Mitarbeiter auf Anwendungen aus der Cloud zurück. So ist es z.B. sehr einfach möglich, einen kostenlosen Dropbox Account (Cloud Storage) zum Speichern von Dateien anzulegen oder mittels Google Docs ein Dokument zu erstellen. Ähnlich ist es mit Infrastruktur Ressourcen wie virtuellen Servern. Durch die immer leichter zu bedienenden Managementoberflächen über einen Webbrowser können sich Entwickler oder Fachabteilungen ein eigenes virtuelles Rechenzentrum in der Cloud aufbauen ohne dass die IT-Abteilungen etwas davon merken.

Solche Situationen entstehen, da die meisten IT-Abteilungen nicht auf dem aktuellen Stand technologischer Entwicklungen sind. Zudem vergehen von der Bestellung z.B. von Serverressourcen für ein Projekt bis zur endgültigen Bereitstellung durch die IT-Abteilung teilweise Monate. Durch den unkomplizierten Zugriff auf Ressourcen von einem Public Cloud Anbieter erhalten die Mitarbeiter schneller die Leistungen, die sie für ihr Projekt benötigen.

Durch den Einsatz von Firewalls und weiteren Sicherheitstechnologien können IT-Abteilungen den Zugriff auf externe Ressourcen beschränken. Das führt jedoch zur Verringerung der Kreativität der Mitarbeiter. Für die IT-Abteilungen gilt es daher in erster Linie aktiv Aufklärungsarbeit zu leisten. Zudem sollten IT-Abteilungen nicht zu einem überwachenden Organ werden. Unternehmen sollen mittlerweile dazu übergehen, Firmenkreditkarten zu überwachen. Wenn keine Firmenkreditkarten vorhanden sind, werden die Spesen und Reisekostenabrechnungen der Mitarbeiter überwacht, da Mitarbeiter und Fachabteilungen dazu übergegangen sind, die Kosten für den Cloud Service mit der privaten Kreditkarte zu begleichen und die Kosten über Spesen etc. zu verrechnen.

IT-Abteilungen sollten daher selbst kleine Cloud Projekte starten und über diese aktiv berichten. Damit zeigen sie ihren Kollegen und Mitarbeitern, dass sie über die geforderte Expertise verfügen und zudem offen gegenüber der Cloud und neuen Technologien sind. Die IT ist heutzutage nun einmal der Business Enabler und die IT-Abteilungen erhalten durch das Cloud Computing noch mehr Potential, das zu fördern.

Cloud Computing: Die rechtlichen Herausforderungen sind lösbar

Jan Schneider — Wed, 07 Dec 2011 18:22:50 +0000

Die Nutzung von Cloud Services ist wirtschaftlich attraktiv – keine Frage. Insbesondere im deutschen Mittelstand bestehen aber vielfach noch Bedenken hinsichtlich der Rechtmäßigkeit solcher Dienste. Doch die rechtlichen Herausforderungen sind häufig lösbar. Für praktikable Lösungen müssen Anbieter, Nutzer und Datenschützer zusammenarbeiten.

von RA Jan Schneider, Fachanwalt für IT-Recht und Partner bei SKW Schwarz Rechtsanwälte

Über das Potenzial des Cloud Computings hat man während der letzten Monate viel vernommen. In zahllosen Artikeln, Vorträgen, Diskussionsrunden, Konferenzen etc. wird das Cloud Computing als DIE Technologie der Zukunft gepriesen. In der Tat spricht Einiges dafür, dass der Siegeszug der Cloud weltweit nicht mehr aufzuhalten ist.

Doch endet die konstruktive Darstellung hierzulande allzu oft dort, wo es um die rechtlichen Aspekte geht. Auf einmal ist von “datenschutzrechtlichen Bedenken” die Rede, von “fehlender Cloud Compliance”, gar von einer “Rechtswidrigkeit der Datenübermittlung”. Viele Cloud Interessenten sind nach wie vor verunsichert.

Wie steht es nun um die rechtliche Seite der Cloud? Ist sie in dieser Hinsicht ein düsteres Gewitter, oder lässt sich zwischen den Wolken letztlich doch die Sonne erblicken? Betrachten wir einige der wesentlichen, in letzter Zeit häufig diskutierten Aspekte einmal im Licht der Rechtspraxis.

Zulässigkeit der Datenübermittlung

Im Rahmen der Nutzung von Cloud Services werden häufig auch sogenannte personenbezogene Daten in die Wolke gegeben. Das sind bekanntlich solche Angaben, mittels derer eine natürliche Person identifiziert werden kann – z. B. der Name der Person, deren Alter, Post- oder E-Mail-Anschrift, Geschlecht, Beruf oder Konfession. Keine personenbezogenen Daten liegen ggf. dann vor, wenn die Daten nur vollständig anonymisiert oder verschlüsselt in die Wolke übertragen werden.

Der Umgang mit personenbezogenen Daten unterliegt innerhalb der Europäischen Union gesetzlichen Beschränkungen. Grundsätzlich ist die Übermittlung personenbezogener Daten an den Cloud Service Provider (CSP) nur insoweit erlaubt, als dass hierfür nach dem jeweils anwendbaren Recht ein ausdrücklicher gesetzlicher Erlaubnistatbestand vorhanden ist, oder wenn – für manche Cloud Services in der Praxis kaum machbar – die betroffenen Personen zuvor ausdrücklich eingewilligt haben.

Für den deutschen Rechtsraum finden sich wichtige Regelungen zu personenbezogenen Daten im Telemediengesetz (TMG) und im Bundesdatenschutzgesetz (BDSG). Diese Regelungen müssen hiesige Unternehmen auch dann beachten, wenn der CSP im Ausland ansässig ist.

Nun hat es sich mittlerweile herumgesprochen, dass für eine rechtskonforme Übermittlung personenbezogener Daten die sogenannte Auftragsdatenverarbeitung das “Mittel der Wahl” ist. Dieses gesetzliche “Konstrukt” ermöglicht bei Einhaltung der in § 11 BDSG zementierten Anforderungen eine gesetzeskonforme Übermittlung personenbezogener Daten an den CSP. Konsequenz einer rechtmäßig gestalteten Auftragsdatenverarbeitung ist es, dass der Cloud Nutzer – aus rechtlicher Sicht – so behandelt wird, als ob er seine Daten weiterhin „selbst“ erhebt, speichert, verarbeitet und nutzt – auch wenn diese Vorgänge tatsächlich in der Wolke stattfinden.

Provider und Nutzer sind gemeinsam gefordert

Die Erfüllung der gesetzlichen Anforderungen an eine Auftragsdatenverarbeitung ist nicht trivial, für den Rechtsspezialisten aber auch kein “Hexenwerk”. Im Ergebnis lässt sich für viele Nutzungskonstellationen von Cloud Services eine Auftragsdatenverarbeitung rechtskonform gestalten.

CSP’s und Cloud Nutzer kommen derzeit allerdings nicht umhin, die diesbezügliche rechtliche Situation sorgfältig zu prüfen und die jeweils erforderlichen rechtlichen Maßnahmen zu treffen – z. B. in Form eines sorgfältig ausgearbeiteten und schriftlichen Vertrags. Wer hier als CSP seinen Kunden Arbeit abnimmt und z. B. durch einen angemessenen Vertragsstandard und ein durchdachtes und ordentlich dokumentiertes Datenschutzkonzept Vertrauen und Rechtssicherheit schafft, kann sich gegenüber der Konkurrenz einen beachtlichen Marktvorsprung verschaffen. Auf der anderen Seite wird ein Cloud Service hierzulande nicht langfristig erfolgreich sein, wenn er nicht mit sorgfältigem Blick auf die rechtlichen Aspekte gestaltet wird. Daran ändert es auch nichts, dass per Gesetz die Verantwortung für die Einhaltung der datenschutzrechtlichen Vorgaben bei den Nutzern liegt.

Für bestimmte Services wie z. B. für die Verarbeitung von Patientendaten in der Wolke, gelten erhöhte rechtliche Anforderungen. Hier sind zukünftig womöglich von einer standardisierten Auftragsdatenverarbeitung abweichende Konzepte denkbar, z. B. indem diese um ein Einwilligungsverfahren ergänzt wird. Diesbezüglich besteht allerdings in der Tat noch einiger Klärungsbedarf.

Der “sichere Hafen” in Übersee

Weitergehende rechtliche Herausforderungen stellen sich dann, wenn der CSP personenbezogene Daten seiner Kunden außerhalb des Europäischen Wirtschaftsraumes vorhalten möchte. Bei aktuellen Cloud Konzepten passiert das weithin in Ländern, die nach Auffassung europäischer Datenschutzbehörden kein ausreichendes Datenschutzniveau aufweisen. Dazu gehören beispielsweise die USA, China und Indien.

Um dennoch ein für eine rechtskonforme Datenübermittlung ausreichendes Schutzniveau herzustellen, bedarf es weitergehender Maßnahmen. Von erheblicher Praxisrelevanz sind dabei derzeit die “Safe Harbor”-Prinzipien, denen sich mehrere große US-CSP’s unterworfen haben. Bei “Safe Harbor” handelt es sich um ein Abkommen zwischen der EU-Kommission und der US-Regierung aus dem Jahre 2000, das datenschutzrechtliche Maßnahmen beschreibt. US-Unternehmen können sich dem Abkommen im Wege einer freiwilligen Selbstverpflichtung unterwerfen. Die Einhaltung der “Safe Harbor”-Grundätze führt zu einem aus europäischer Sicht angemessenen Datenschutzniveau.

Im April 2010 hat der Düsseldorfer Kreis – eine informelle Vereinigung der obersten deutschen Datenschutzbehörden – dazu Stellung genommen, unter welchen Voraussetzungen “Safe Harbor” für das Cloud Computing bemüht werden kann. Hiernach muss der CSP für das “Safe Harbor”-Programm registriert sein und weiter dessen Einhaltung gegenüber den Cloud Nutzern – am Besten: vertraglich – gewährleisten. Darüber hinaus muss er die Einhaltung der “Safe Harbor”-Prinzipien aber auch durch geeignete und aktuelle Nachweise dokumentieren.

Mag es hierzu auch noch einige offene rechtliche Diskussionspunkte geben: Die Vorschläge des Düsseldorfer Kreises sind konstruktiv und dürften sich für US-Clouds in der deutschen Rechtspraxis durchsetzen. Für andere CSP’s bieten sich die bereits im Outsourcing bekannten Alternativen wie die sogenannten EU-Standardvertragsklauseln oder die Etablierung sogenannter Binding Corporate Rules an.

Auch hier gilt damit: Die rechtlichen Herausforderungen sind da – aber sie sind lösbar.

Die Cloud Odyssee – und wie man sie vermeidet

Für eine rechtmäßige Auftragsdatenverarbeitung muss der CSP die in § 9 BDSG beschriebenen technischen und organisatorischen Maßnahmen einrichten und aufrechterhalten. Doch damit nicht genug: Nach § 11 Abs. 2 S. 4 BDSG sind Cloud Nutzer gesetzlich verpflichtet, die Einhaltung dieser Maßnahmen vor Beginn der Nutzung des Services und hiernach regelmäßig zu überprüfen.

Aber wie soll das funktionieren? Scheitert bereits hierzulande der Besuch eines Rechenzentrums meist an den dortigen Sicherheitsbestimmungen, würde spätestens der Besuch eines Rechenzentrums im Ausland, gar in Übersee, zu einer unzumutbaren Odyssee geraten. Glücklicherweise fordert der deutsche Gesetzgeber aber gar nicht, dass derartige Prüfungen tatsächlich durch das nutzende Unternehmen vor Ort beim CSP durchgeführt werden müssen. Damit sind für die Erfüllung dieser gesetzlichen Anforderung Alternativen denkbar. So stellen einige CSP’s ihren Kunden regelmäßig – z. B. von einem Wirtschaftsprüfer erstellte – Prüfberichte oder Testate zur Verfügung. Ebenfalls diskutiert werden etablierte Normen bzw. Nachweise, z. B. nach ISO/IEC 27001, SSAE 16 oder ISAE 3402. Wenn sich diese Standards auch nicht ausdrücklich zum Cloud Computing verhalten, so decken sie doch einige wichtige technische und organisatorische Anforderungen an den Datenschutz durchaus ab.

In Zukunft ist denkbar, dass aktualisierte oder neue Normen bzw. Nachweise den Anforderungen des Cloud Computing noch besser Rechnung tragen. Spätestens damit wird auch diese Anforderungen des Gesetzgebers im Ergebnis erfüllbar sein.

Unverzichtbar: Datenschutz-Dokumentation

Ohnehin kommen CSP’s für eine rechtskonforme Auftragsdatenverarbeitung nicht umhin, die Umsetzung und Aufrechterhaltung der technischen und organisatorischen Maßnahmen zum Datenschutz vollständig und nachvollziehbar zu dokumentieren, und diese Dokumentation als verbindlichen Bestandteil zu dem Vertrag mit dem Nutzer zu nehmen.

Die Cloud Nutzer sind dringend gehalten, diese Dokumentation vor Vertragsschluss sorgfältig daraufhin zu prüfen, ob sie verbindlich formuliert ist und den gesetzlichen Anforderungen des § 9 BDSG entspricht. Eine solche Prüfung erfolgt im Regelfall sinnvollerweise durch den internen oder externen Datenschutzbeauftragten des jeweiligen Unternehmens, bei Bedarf in Zusammenarbeit mit einem beratenden Datenschutzrechtler.

Cloud Compliance im Übrigen

Schließlich muss die Auslagerung von Daten und Informationen in die Cloud auch im Einklang mit den sonstigen gesetzlichen Anforderungen und Maßgaben stehen. So müssen beispielsweise die gesetzlichen Dokumentation- und Archivierungspflichten ebenso beachtet werden, wie die Anforderungen des Steuerrechts, des Handels- und des Gesellschaftsrechts. Je nach Unternehmen bzw. Einsatzzweck des Cloud Services sind darüber hinaus etwaig anwendbare spezialgesetzliche Regelungen zu beachten, wie beispielsweise das Kreditwesengesetz, die MARisk oder Regelungen aus dem Medizin- oder Transportrecht.

All dies ist aber nichts Neues und gilt schon seit jeher, so beispielsweise auch für die etablierte Praxis des Outsourcings. Diese Praxis und die damit häufig verbundene rechtliche Prüfung sowie die diesbezüglichen Lösungsansätze lassen sich in aller Regel auch für das Cloud Computing bemühen.

Optimierungspotential: Preistransparenz

Deutsche und europäische Unternehmen beklagen mitunter noch eine mangelhafte Preistransparenz aktueller Cloud Lösungen. Tatsächlich hinterlässt die Prüfung aktueller Angebote bisweilen den Eindruck, dass hier noch Optimierungspotential besteht. Auch hierin liegt für die auf dem hiesigen Markt agierenden CSP’s damit eine Chance auf eine erhöhte Produktakzeptanz.

In rechtlicher Hinsicht wirft die kundenorientierte Gestaltung von Vergütungsmodellen für Cloud Services in aller Regel kaum Probleme auf. Voraussetzung für eine transparente, rechtssichere und auch wirtschaftlich durchdachte Gestaltung des Pricings ist die richtige leistungs- bzw. vertragstypologische Einordnung der betreffenden Cloud Services und die Berücksichtigung der für den jeweiligen Leistungs- bzw. Vertragstyp geltenden rechtlichen Besonderheiten. Hierzu gehört auch die Beachtung derjenigen rechtlichen Risiken, die aus den demgemäß anwendbaren gesetzlichen Regelungen resultieren, z. B. aus gesetzlichen Vorschriften zur Mängelhaftung. Derartige Risiken wird der CSP bei der Gestaltung des Vergütungsmodelles zu berücksichtigen haben.

Für den Cloud Nutzer ist es in der Regel von erheblicher Bedeutung, dass bei der Abrechnung der nach tatsächlicher Nutzung vergüteten Services im Detail transparent wird, wie sich die Vergütung auf die einzelnen genutzten Services (z. B. aufgeschlüsselt nach Anzahl der Nutzungen, Datenvolumen, verfügbar gemachter CPU-Leistung) und ggf. auch auf die einzelnen Nutzer (Unternehmenseinheiten, Arbeitsplätze oder auch einzelne Mitarbeiter) verteilt. Einige CSP’s bieten ihren Kunden in diesem Zusammenhang mittlerweile Monitoring-Tools, mittels derer die wesentlichen Kennzahlen im Überblick gehalten werden können.

Die Herausforderungen des Cloud Computing: IT-Strategie und Unternehmensstrategie

René Büst — Thu, 24 Nov 2011 10:58:33 +0000

IT-Strategie und Unternehmensstrategie

Eine CA Studie hat ergeben, dass eine nachhaltige Veränderung nur erreicht werden kann, “[...] wenn das Thema Cloud Computing fest in der IT Strategie des Unternehmens verankert wird.” Mit dem Ansatz der Implementation mit nachfolgender Organisation führt nicht zur optimalen Ausnutzung der Cloud Computing Potenziale. Daher ist es notwendig, die vorhandene IT-Strategie zu überdenken und dabei den Aspekt des Cloud Computing mit einzubeziehen. Das grundlegende Ziel jeder IT ist die optimale Unterstützung der Kerngeschäfte eines Unternehmens. Wie Cloud Computing an dieser Stelle seinen Wertbeitrag leistet, ist von Unternehmen zu Unternehmen unterschiedlich. Jedoch zeigt ein Blick auf die Ziele eines Unternehmens, wie die IT-Strategie aussehen muss, woraus sich dann mögliche Cloud Computing Szenarien ableiten lassen. Auf Basis dieses Gesamtbildes lässt sich eine optimale Gesamtarchitektur entwickeln, in der auch mögliche Kandidaten für einen Cloud Service zu erkennen sind.

Alcatel-Lucent verknüpft Kommunikationsnetze mit der Cloud

René Büst — Mon, 21 Nov 2011 08:57:03 +0000

In der vergangenen Woche stellte Alcatel-Lucent eine neue Lösung namens CloudBand vor, welche die Rechenleistung und Flexibilität der Cloud mit der Leistungsfähigkeit, Zuverlässigkeit und Sicherheit von Kommunikationsnetzen vereinen soll. CloudBand legt den Grundstein für eine neue Klasse von „Carrier Cloud“-Diensten, mit denen Anbieter von Kommunikationsdiensten die Vorteile der Cloud für ihre Netze und ihr Geschäft nutzen können. Damit können sie Unternehmen und Privatkunden eine neue Palette leistungsfähiger Cloud-Dienste anbieten.

Eine aktuelle Umfrage von Alcatel-Lucent unter knapp 3.500 Entscheidungsträgern aus dem IT-Bereich hat ergeben, dass die mit Abstand größte Sorge bezüglich der Cloud deren Leistungsfähigkeit ist, gefolgt von Sicherheit. CloudBand soll die Anbieter von Kommunikationsdiensten dabei unterstützen, eine neue Klasse von Cloud-Diensten für Geschäftskunden anzubieten, die mithilfe von sicheren, zuverlässigen und leistungsfähigen Kommunikationsnetzen erbracht werden. Diese neue Klasse von Diensten zeichnet sich durch geringere Latenzzeiten, eine bessere Bandbreitensteuerung und durch die Möglichkeit aus, eine garantierte Dienstgüte anzubieten.

CloudBand besteht aus zwei separaten Bestandteilen: zum einen dem CloudBand Management System, das die Dienste zwischen Kommunikationsnetz und Cloud orchestriert und optimiert, und zum anderen dem CloudBand Node, mit dem die Rechen-, Speicher- und Netzhardware sowie die dazugehörige Software bereitgestellt wird, um eine breite Palette von Cloud-Diensten hosten zu können. CloudBand wird im ersten Halbjahr 2012 verfügbar sein.

Aufbau der Carrier Cloud

CloudBand hilft Anbietern von Kommunikationsdiensten, diese aus der Cloud heraus anzubieten. Die Umstellung auf ein cloud-basiertes Bereitstellungsmodell versetzt Diensteanbieter in die Lage, neue Dienste schnell, in höherer Qualität und kostengünstiger auf den Markt zu bringen. Mit CloudBand können Diensteanbieter viele der wichtigsten Bestandteile ihrer Netze „virtualisieren“, d. h. in Software umwandeln, die auf Servern in der Cloud abläuft und auf Anforderung bereitsteht. So können Diensteanbieter flexibel auf Änderungen im Nutzungsverhalten ihrer Kunden reagieren.

Statt für jeden Kommunikationsdienst wie SMS oder Video jeweils eigene Plattformen zu installieren, können Diensteanbieter stattdessen auf die Carrier Cloud zugreifen, um auf einen bestimmten Bedarf zu reagieren. Diese Strategie verschafft den Diensteanbietern ein außerordentliches Maß an „Elastizität“, d. h. sie können bestimmte Bestandteile ihres Diensteangebots kurzfristig nach Marktanforderung ausweiten oder einschränken. Außerdem lassen sich neue Dienste testen, ohne große Ressourcen vorzuhalten und Kapazitäten lassen sich bedarfsgerecht ausbauen.

Die größte Herausforderung bei der Umsetzung der Carrier Cloud ist die Zusammenführung der Ressourcen für die Datenverarbeitung und für das Kommunikationsnetz. CloudBand nutzt fortschrittliche, von den Bell Labs entwickelte Algorithmen zur Koordinierung der im gesamten Netz verteilten Netz-, Rechen- und Datenspeicherelemente. Hierdurch entsteht eine einheitliche, extrem leistungsfähige und flexible Dienste- und Rechenplattform, die eine breite Palette von Diensten unterstützen kann. Eigene Hardware-Plattformen für jeden einzelnen Dienst werden somit überflüssig. Ebenso wichtig ist, dass diese Koordinierung sich auch über das Netz des Diensteanbieters hinaus erstreckt, so dass auch der Zugriff auf verschiedenste öffentliche und private Clouds verwaltet werden kann.

Die weltweite Cloud-Initiative von Alcatel-Lucent

CloudBand ist ein Kernbestandteil der weltweiten Cloud-Initiative des Unternehmens und unterstützt die Umstellung der eigenen Plattformen und Anwendungen von Alcatel-Lucent auf eine cloud-basierte Architektur. Diese Anwendungen werden Carriern auch als Dienst aus Alcatel-Lucents Cloud heraus angeboten; zurzeit beziehen 18 Millionen Teilnehmer Dienste durch die weltweite Cloud-Initiative von Alcatel-Lucent.

Alcatel-Lucent arbeitet bei der Umsetzung dieser Cloud-Vision mit einer Reihe von Partnern zusammen, insbesonders mit HP. Die auf zehn Jahre ausgelegte strategische Zusammenarbeit zielt darauf, gemeinsam ein breites Angebot konvergenter Lösungen für den Markt der Informations- und Kommunikationstechnologie zu entwickeln und die Lücke zwischen Rechenzentrum und Netz zu schließen.

Die Herausforderungen des Cloud Computing: Qualität der Cloud Computing Prozesse

René Büst — Fri, 11 Nov 2011 11:41:28 +0000

Qualität der Cloud Computing Prozesse

Bei der Auslagerung und dem Bezug von Cloud Services übernimmt der Cloud Anbieter ebenfalls das Servicemanagement der Prozesse. Dennoch bleiben auch auf der Unternehmensseite Aufgaben bestehen, die benötigt werden, um eine nahtlose Integration zu ermöglichen. Wie auch beim klassischen Outsourcing sind die Verträge entscheidend, in denen u.a. das operative Risiko festgehalten wird. Aus diesem Grund müssen die Rechte und Pflichten beider Vertragsparteien bis ins Detail festgehalten werden. Der Anbieter muss also seine angebotenen Leistungen gemäß den zugesagten Service Level Agreements (SLAs) beherrschen und das Unternehmen steht in der Pflicht, diese Services zu steuern und einer qualitativen Bewertung zu unterziehen. Beide benötigen daher ein Servicemanagement, das bspw. an den Best Practises der IT Infrastructure Library (ITIL) ausgerichtet ist.

Jürgen Dierlamm beschreibt Maßnahmen und Vorgehen, auf die Unternehmen achten sollten, um die Qualität der Prozesse bei einem Cloud Provider sicherzustellen. Zunächst hat “[...] Der Auftraggeber die Pflicht zur Kontrolle.” und das bedeutend mehr als beim klassischen Outsourcing. Das hängt damit zusammen, dass die IT-Infrastruktur, die für den Betrieb der Anwendungen benötigt wird, beim Cloud Computing nicht mehr vom Kunden bereitgestellt wird, sondern vom Cloud Anbieter. Damit verringern sich die Pflichten des Kunden zwar hinsichtlich des Asset-, Konfigurations- und Lizenzmanagement, aber der Kunde hat die Aufgabe den Cloud Anbieter zu kontrollieren und den Nachweis vom Cloud Anbieter einzuholen, “[...] dass die Cloud-Services zur Wertschöpfung in den Geschäftsprozessen beitragen.” Dazu sollte der Cloud Anbieter gemäß dem IT-Service-Management alle gängigen ITIL-Prozesse berücksichtigen. Dazu gehört ebenfalls ein Account-Management nach ITIL Vorgaben.

Die IT-Abteilung des Kunden hat die Aufgabe, sich mit der Steuerung der eigenen als auch den vom Cloud Anbieter bezogenen Services zu beschäftigen. Dierlamm rät, dass sich niemals die einzelnen Geschäftsbereiche mit der Steuerung des Cloud Anbieters auseinandersetzen sollen. Er schlägt eine Art Filter zwischen dem Business und dem IT-Betrieb vor. Diese Aufgabe soll die IT-Abteilung als eine “Retained Organization” übernehmen und als Übersetzer der Business Anforderungen für den Einkauf zuständig sein und als Steuerungsinstanz der Cloud Services dienen.

Des Weiteren ist es nach Dierlamm notwendig, die ITIL Prozesse zu identifizieren, die für das Unternehmen wirklich notwendig sind. Dazu ist es wichtig, einen Outsouring Vertrag gemäß den “Underpinning Contracts” von ITIL zu vereinbaren. Darin müssen ebenfalls SLAs enthalten sein, “[...] in denen die Parameter der Leistungserbringung festgeschrieben werden”. Dazu gehören “[...] Availability, Capacity, Service Continuity, Security, Service Transition, Service Operation, aber auch Service Improvement, also die Verbesserung der Dienstleistung.” Für die Steuerung der in den Verträgen festgehaltenen SLAs ist erneut die IT-Abteilung zuständig.

Die oben beschriebene “Retained Organization” ist weiterhin für die Aufnahme der Cloud Services in das eigene Serviceportfolio, den Servicekatalog und die mit den Fachbereichen vereinbarten SLAs zuständig. So ist der Cloud Anbieter für die Fachbereiche transparent, da sie die Services über die “Retained Organization” der IT-Abteilung beziehen. So existiert z.B. nur noch ein Incident-Management-Prozess, der für die internen als auch für die Cloud Services gilt. Dazu müssen die folgenden ITIL-Prozesse in den Outsourcing Vertrag und den SLAs mit aufgenommen werden:

Supplier-, Service-Level- und Financial-Management
Incident-, Problem- und Access-Management
Request Fulfillment

Dierlamm beschreibt auf Basis des Service Lifecycles, welche ITIL Prozesse durch den Kunden und welche durch denCloud Anbieter verwaltet werden.

Service Strategy: Zunächst gilt es eine Strategie zu entwickeln und zu entscheiden, ob die Cloud Services in die Servicestrategie, die Architekturplanung und das Sourcing Konzept hineinpassen. Anschließend muss die Auswahl des Anbieters gut vorbereitet werden. Hier ist insbesondere der Prozess “Financial-Management” von besonderem Interesse, der für die Bewertung des Anbieters und der IT-Assets genutzt wird. Speziell die IT-Assets sind interessant, da diese in Zukunft nicht mehr auf eigene Kosten angeschafft und bilanziert werden müssen, da dies der Cloud Anbieter übernimmt. Der Anbieter selbst wird die dadurch entstehenden Aufwände wiederum auf die Servicepreise anrechnen, die über den “Charging-Prozess” des IT-Controlling refinanziert werden. Hinzu kommt, dass die freigesetzten Hardware- und Rechenzentrumskapazitäten durch den zukünftigen Bezug über den Cloud Anbieter ebenfalls vorzubereiten und zu verwalten sind.

Service Design: Speziell die Prozesse und Tätigkeiten des Supplier-Management und dem Service-Level-Management nehmen im Service Design eine bedeutende Rolle ein. So sind angemessene IT-Verträge für beide Seiten notwendig, um den ständig steigenden Compliance Anforderungen gerecht zu werden. Dazu müssen alle Parameter aus dem Service Design wie Verfügbarkeiten, Kapazitäten etc. in die Verträge und das Service-Level-Controlling integriert werden. Hier gilt es auch, Kennzahlen für die Anwendungen direkt (End-to-End-Service-Levels) und nicht nur für die IT-Infrastruktur festzulegen. Die fertigen Verträge müssen anschließend hinsichtlich Kosten, Kennzahlen und Qualität aktiv verwaltet werden. Dazu gehört auch die Integration in das eigene Servicekatalog- und Service-Level-Management. Insbesondere auf die Zusage von Verfügbarkeiten, sehr wichtig für das Risiko Management, aber auch auf das Thema Datenschutz sollte geachtet werden.

Service Transition: Die Prozesse Change-, Release- und Configuration-Management werden in den Verträgen und SLAs zwischen dem Cloud Anbieter und dem Kunden festgehalten. Die Assets und Lizenzen werden durch den Anbieter bereitgestellt. Der Cloud Anbieter muss jedoch über eine passende Steuerung dieser Prozesse verfügen und seinem Kunden dieses ebenfalls nachweisen können. Bezieht ein Unternehmen zum ersten mal einen Cloud Service, muss es es sich um die Auswirkungen auf seine Endgeräte und Clients wie z.B. dem Web-Frontend oder die eigenen Anwendungen sowie der Netzintegration Gedanken machen.

Service Operation: Ein entscheidener Faktor für eine erfolgreiche Nutzung von Cloud Services ist die Integration des Incident- und Problem-Managements sowie das Request Fulfillment in die eigenen Prozesse. In Bezug auf die Requests und Incidents muss eine lückenlose Kette vom Unternehmen über die (steuernde) IT-Abteilung bis bin zum Cloud Anbieter vorhanden sein. Der Cloud Anbieter hat die Aufgabe, Störfälle und Probleme zu beseitigen und Requests abzuarbeiten. Auf Grund der Compliance gilt es aber, die IT-Abteilung des Unternehmens ebenfalls mit in die Prozesse einzubeziehen.

Continual Service Improvement: Auch Cloud Services müssen den Anforderungen einer kontinuierlichen Serviceverbesserung unterliegen, für die der Cloud Anbieter zuständig ist und was im Vertrag festgehalten werden muss. An dieser Stelle gilt es, festzulegen, in welchen Abständen was gemessen, analysiert und verbessert werden muss. Die IT-Abteilung stellt hier die Business Anforderungen sicher und liefert die Cloud Kennzahlen an die entsprechenden Stellen im Unternehmen.

Die Software AG geht in die Cloud

René Büst — Wed, 09 Nov 2011 12:43:08 +0000

Die Software AG hat ihre Anwendungen WebMethods und Aris auf Amazon EC2 portiert und plant zudem einen eigenen PaaS Dienst.

Neben der Middleware WebMethods hat die Software AG ebenfalls sein Tool für die Prozessmodellierung Aris zertifizieren lassen, so dass beide Anwendungen nun auf Amazon EC2 sowie VMware betrieben werden können. Durch die Portierung auf EC2 sollen bestehende Kunde die Utility-Services Möglichkeiten der Cloud nutzen können. Nach Aussage der Software AG nutzen einige Kunden sogar bereits Lösungen auf VMware Basis, wodurch die jetzige Zertifizierung ihnen nur ein weiteres Maß an Sicherheit gewährleisten soll.

Um WebMethods bzw. Aris auf Amazon EC2 zu nutzen, müssen die Kunden einen separaten Vertrag mit Amazon eingehen. Die Lizenzen würden hingegen von Seiten der Software AG geliefert. Dazu sind die CPU-Lizenzen der Software AG kompatible mit den Virtual Core Lizenzen von Amazon. Was bedeutet, dass ein Kunde seine bestehenden Lizenzen zu Amazon umziehen kann.

Unternehmen können die Amazon Cloud somit für die Entwicklung, Test und Produktion nutzen. Die Software AG erwartet hingegen die meiste Nutzung in den beiden erstgenannten Bereichen.

Development-as-a-Service

Das Hauptziel der Software AG besteht jedoch im Aufbau eines umfangreichen Platform-as-a-Service Angebots. Die PaaS Umgebung wird dazu neben einem Java Application Server (WebMethods) ebenfalls einen In-Memory Cache (Terracotta) beinhalten. Darüber hinaus soll dem PaaS eine IDE (Integrated Development Environment) einverleibt werden, was aus dem Platform-as-a-Service im Grunde genommen ein Development-as-a-Service macht.

Hinzu kommt eine Kollaborationsschicht, die es virtuellen Teams ermöglichen soll gemeinsam, in Echtzeit und ortsunabhängig miteinander zu arbeiten.

Wann der PaaS erscheint steht derzeit noch nicht fest, jedoch befindet sich das nächste Major Release für WebMethods in den Startlöchern.

Die Herausforderungen des Cloud Computing: Governance

René Büst — Tue, 01 Nov 2011 12:38:33 +0000

Governance

Für die Leitung und Überwachung setzen Unternehmen seit vielen Jahren auf den Einsatz einer Corporate Governance, um damit neuartige externe Interessen berücksichtigen zu können. Speziell börsennotierte Unternehmen unterliegen besonderen Rahmenbedingungen, die sich auf die Strukturen und Prozesse der Führung, Verwaltung und Kontrolle auswirken. Vor allem Regulierungen zwingen Unternehmen dazu, betriebliche Abläufe transparenter zu gestalten und führen zu einem höheren internen Kontrollbedarf, der bestmöglich automatisiert in die Geschäftsprozesse integriert wird. Speziell hier hat die Corporate Governance einen nahtlosen Einfluss auf die IT eines Unternehmens, was IT-Entscheider dazu bewegt, aus der Corporate Governance eine IT-Governance abzuleiten.

Der Schwerpunkt der IT-Governance liegt, gemäß den aktuellen und zukünftigen Anforderungen durch die Unternehmensseite (intern) und der Kundenseite (extern), auf der Transformation der IT. Zudem stellt eine IT-Governance mittels organisatorischer Strukturen und Prozesse sicher, dass alle eingesetzten Funktionen der IT eines Unternehmens die Gesamtunternehmensstrategie optimal unterstützt. Aus diesem Grund hängt die IT-Governance unmittelbar von der Corporate Governance ab. Somit leiten sich die IT-Prozesse neben der IT-Strategie ebenfalls aus den Geschäftsprozessen ab. Die Aufgabe der IT-Governance besteht darin, die Organisation und die Steuerung dieses Abstimmungsprozesses zu übernehmen.
Ein Blick auf die Bereiche einer Unternehmensarchitektur, zu denen auch die Corporate Governance und somit die IT-Governane gehört, zeigt, dass zu der Unternehmensstrategie, den Geschäftsprozessen und der Geschäftsinfrastruktur ebenfalls die entsprechenden Pendants wie eine IT-Strategie, die IT-Prozesse und eine IT-Infrastruktur gehören.

Während der IT-Nutzung über das eigene Rechenzentrum oder dem Bezug der Ressourcen mittels des klassischen Outsourcings hat oder vielmehr sollte die IT-Abteilung die Kontrolle über die Gestaltung und Einhaltung der IT-Governance haben. Dies ändert sich in Zeiten von Public Cloud Angeboten. Mit einer Kreditkarte stehen ihnen quasi unbegrenzte Ressourcen zur Verfügung, die sie ohne Kenntnis der IT-Abteilung nutzen können. Mitarbeitern ist jedoch in der Regel nicht bewusst, was sie durch ein unkontrolliertes Cloud Sourcing in den Strukturen eines Unternehmens anrichten. So entstehen voneinander separierte Dateninseln und zueinander nicht kompatible Cloud Services, die zu einer fragmentierten IT-Unternehmensarchitektur führen. Auch der Transfer personenbezogener Daten oder kritischer Unternehmensdaten zu einem nicht europäischen Public Cloud Anbieter kann rechtswirksame Probleme nach sich ziehen. Des Weiteren kann der unkoordinierte Wechsel zu einem Cloud Vendor Lock-in mit hohen Exitkosten führen.

Unternehmen, die über den Einsatz von Cloud Computing nachdenken, müssen damit ebenfalls ihre (IT)-Governance Prozesse überarbeiten und an die Bedürfnisse einer Cloud Strategie anpassen. Neben technischen müssen dabei ebenfalls rechtliche, finanzielle und organisatorische Aspekte berücksichtigt und der Lebenszyklus der jeweiligen verwendeten Cloud Services mit betrachtet werden.

Der “Leadership Council for Information Advantage” ist der Meinung, dass alte Governance Modelle den Ansprüchen der Cloud mehr gerecht werden und neue Ansätze benötigen, da “[...] mit dem Einstieg in Hybrid- oder Public-Clouds das Risiko steigt, die Kontrolle über die eigenen Daten zu verlieren.“ Da bei der Nutzung einer Private Cloud ein Unternehmen die Verantwortung und Kontrolle über alle Informationen behält, “[..] können sie etablierte Governance-Richtlinien mit mehr oder weniger Aufwand an eine Cloud-Infrastruktur anpassen.” Hingegen verändern sich die Anforderungen und Verantwortlichkeiten, “[...] wenn öffentliche Clouds oder hybride Mischangebote ins Spiel kommen. Sie erfordern vollkommen neuartige Information-Governance-Ansätze, die den Gegebenheiten verteilter IT-Architekturen gerecht werden.”

Das führt dem “Leadership Council for Information Advantage” demnach zu vier Risiken bei der Nutzung von Cloud Services:

Die unkontrollierte Ausbreitung untereinander inkompatibler Cloud-Services
Fragmentierung der Informationsarchitektur durch isolierte Dateninseln auf verschiedenen Cloud-Plattformen
Die zunehmende Gefahr der Abhängigkeit von einzelnen Anbietern (Vendor Lock-in)
Schwierigkeiten beim Etablieren durchgehender Sicherheits- und Governance-Mechanismen durch verteilte Verantwortlichkeiten in Cloud-Umgebungen.

Lothar Lockmaier hält die “[...] Gewährleistung der Datensicherheit und das Einhalten von länderspezifischen Regularien” speziell in Kombination mit der Nutzung von Public Cloud Services für “[...] eine enorme Herausforderung für Unternehmen” und nennt folgende Ansätze bzw. Fragen, die für eine auf Cloud Computing angepasste IT-Governance geklärt werden müssen.

Wo werden die Daten physisch gespeichert? Bestimmte Daten dürfen nicht ohne weiteres bei nicht-europäischen Cloud Providern verarbeitet bzw. gespeichert werden. Das betrifft u.a. personenbezogene Daten.
Wie sind die Schnittstellen abgesichert? Es gilt nicht nur Cloud-Zugriff auf den Cloud-Dienst selbst sondern auch auf die Provisionierung von Benutzern, das Management der Umgebung oder auf das Monitoring zu haben. Die Schnittstellen müssen aus diesem Grund gegen Schwachstellen wie z.B. einer schwachen Authentisierung, der Übermittelung von Daten in Klartext und einer falschen Autorisierung geschützt sein.
Wie schützt man sich gegen interne Angreifer? Ein interner Angreifer hat innerhalb einer Cloud Computing Umgebung möglicherweise Zugriff auf Daten mehrerer Kunden. Der Cloud Provider muss daher transparent aufzeigen, wie autorisierte Benutzer behandelt werden und wie internen Angriffen vorgebeugt wird.
Wie wird die Vertraulichkeit der Daten gewährleistet? Auf Grund der hohen Komplexität der gesamten Architektur können minimale Fehler beim Cloud Provider eine große Auswirkung haben. Der Cloud Provider muss nicht nur transparent aufklären, wie die Vertraulichkeit der Daten bei der Übertragung, Verarbeitung und Speicherung sichergestellt wird sondern auch wie die Vertraulichkeit über den ganzen Lebenszyklus der Hardware garantiert wird und was mit den Daten passiert, nachdem der Vertrag abgelaufen oder gekündigt ist. Dazu gehört ebenfalls die sichere Entsorgung der Datenträger etc.
Wie sind die Security-Management-Prozesse implementiert? Zur Bestimmung des Risikoprofils benötigt der Kunde eine Einsicht in die Prozesse in den Bereichen Security Incident Management, Hardening, Patching, Logging, etc. des Cloud Provider. Auch Zertifizierungen wie ISO 27001/2, SAS70 oder PCI DSS zeigen die Vertrauenswürdigkeit. Jedoch sollte sich jeder Kunde über die Einhaltung der Prozesse erkundigen und Audit-Reports prüfen.