Back to top

Cloud Computing: Risiken und Möglichkeiten

Expertentalk mit Dipl. Ing. Thomas Lorünser über den Einstieg von Unternehmen in den IT-Trend Cloud Computing

Das Thema Cloud Computing ist einer der wichtigsten IT-Trends der letzten Jahre und wird für Unternehmen zunehmend relevant. Einerseits liefern Cloud-Strukturen mehr Agilität und Freiheiten, andererseits stehen auch viele Risiken im Raum. Wie man diese dynamischen und vertrauenswürdigen Strukturen in die Unternehmensstrategie integriert und einen Übergang zum Cloud Computing einleitet, haben wir mit Dipl. Ing. Thomas Lorünser, Scientist IT & Cloud Security beim Austrian Institute of Technology, diskutiert. 

Interview zum Thema Cloud Computing: Risiken und Möglichkeiten

Warum wird Cloud Security für Unternehmen immer relevanter?

Es gibt mittlerweile vielfältige Cloud-Angebote für alle möglichen Anwendungsfälle und die Angebote werden immer attraktiver. Der Trend zu Cloud Computing geht teilweise sogar so weit, dass man bestimmte Software nur noch in der Cloud mieten kann. Die Integration von Cloud Computing in die eigene Unternehmens-IT wird also sehr wichtig, man sollte dabei aber niemals die Risiken aus den Augen verlieren, die damit einhergehen. Beim Cloud Computing handelt es sich um ein Outsourcing-Modell, das mit einigen neuen Bedrohungen für die Datensicherheit verbunden ist, die bei Sicherheitsanalysen mitbetrachtet werden müssen. Gerade die Integration in klassische Sicherheitsarchitekturen kann dabei ein Problem sein und bei der Verwendung von sogenannten öffentlichen Cloud-Angeboten sollte man Sicherheits- und auch Datenschutzaspekte früh in seinen Entscheidungs- und Entwicklungsprozess einbeziehen.

Wie verändern Cloud-Systeme unternehmensinterne Prozesse?

Die Agilität und Elastizität der Cloud liefert viele Freiheiten und ermöglicht größere Spontaneität in der Gestaltung von Prozessen im unternehmerischen Umfeld. Prototypen können schneller entwickelt und in den operativen Einsatz gebracht werden als je zuvor und auch kleine Unternehmen und Teams bekommen direkten Zugriff auf vielfältige IT-Betriebsmittel. Eine virtuelle Infrastruktur kann dynamisch an die Bedürfnisse angepasst werden und mit den Aufgaben mitwachsen, ohne vorigen Investitionsaufwand. Bei diesem Verschmelzen von Entwicklung und Betrieb von IT-Infrastruktur spricht man auch von DevOps („Development und Operations“), durch die die Cloud ideal unterstützt wird und die diesen generellen Trend in der I- Welt noch verstärken werden. Bei all diesen neuen Möglichkeiten muss man sich aber auch wieder der Risiken bewusst sein, die damit einhergehen. In unserer Arbeit ist es wichtig, Bewusstsein für diese Problematik zu schaffen und Hilfestellung zu geben, wie man von den neuen Technologien profitieren kann, ohne unnötige Gefahren bei der Informationssicherheit oder dem Datenschutz einzugehen.

Wie können CIO die Cloud Transformation in die Wege leiten? Wie kann man den Übergang zu Cloud Computing schaffen?

Ein vernünftiger Übergang zu Cloud Computing sollte auf jeden Fall mit der Erstellung einer gut geplanten und überlegten Cloud-Strategie für das Unternehmen beginnen. Bei der anschließenden Planung der Einbindung konkreter Cloud Services sollte man dann auch die davon betroffenen internen Prozesse und existierenden Softwarekomponenten genau auf ihre möglichen Schnittstellen hin zu einer „Cloudifizierung“ untersuchen, um eine adäquate Providerwahl zu ermöglichen. Generell sollte eine Integration von Cloud-Angeboten ganzheitlich geplant werden, also inklusive der Schritte und Kosten für die Migration in die Cloud als auch die Möglichkeiten und Kosten für ein Exit-Szenario.

Wie gut sind Österreichs Unternehmen in diesem Bereich aufgestellt?

Ich denke, sowohl in Österreich als auch in Europa haben wir noch Aufholbedarf auf beiden Seiten, also bei den Nutzern der Cloud als auch auf der Seite der Provider.

Auf Benutzerseite ergeben sich speziell für KMU enorme Chancen durch die Cloud, gerade wenn sie im Kontext von neuen vernetzten Systemen wie dem Internet of Things gesehen werden. Hier sollten wir jedenfalls den Unternehmen helfen, den Schritt in die Cloud zu gehen, um ihnen eine vertrauensvolle Transition zu ermöglichen.

Wir sollten aber auch die heimische Industrie darin unterstützen, neue Cloud Services anzubieten. Nationale Provider haben es zwar aufgrund ihrer Größe schwer, in diesem Markt gegenüber global agierenden Unternehmen zu bestehen, sie können aber gerade diese Situation auch zu ihrem Vorteil ausnutzen und speziell durch das Anbieten von sicherheits- und datenschutzkonformen Services im EU-Raum einen Wettbewerbsvorteil erlangen.

Wie stellt man eine Verschlüsselung der Daten sicher?

Der generelle Trend zu allumfassenden vernetzten Systemen stellt viele neue Anforderungen an Sicherheits- und Verschlüsselungstechnologien. Ziel unserer Arbeit ist, dem User auch in Zukunft die Kontrolle über seine Daten zu ermöglichen, ungeachtet davon, wo sie gespeichert oder verarbeitet werden.

Dazu gehört auch der Schutz von Daten in der Cloud durch Verschlüsselung, der für sich allein schon ein komplexes, aber sehr zentrales Thema ist. Es gibt bereits einige einfach zu verwendende Lösungen für sicheres Backup in der Cloud, die die Daten vor dem Hochladen verschlüsseln. Für andere, dynamischere Szenarien, bei denen die Daten auch verarbeitet und geteilt  werden können, funktioniert dieser Ansatz leider nicht mehr, da die herkömmliche Verschlüsselung jegliches Interpretieren oder Modifizieren der Daten verunmöglicht.

Hier brauchen wir neue kryptographische Methoden. Diese sind aktuell Gegenstand der Forschung und da wird sich in den nächsten 10 Jahren sicher einiges tun. Für heutige Anwender ist es jedenfalls empfehlenswert, wenn die Daten, während sie nicht verarbeitet werden, nur verschlüsselt gespeichert werden und nur im Bedarfsfall im Klartext in der Cloud vorliegen.

Ergänzend sollte man vielleicht noch erwähnen, dass es bei dem Thema Kryptographie für die Cloud nicht nur um Verschlüsselung geht, es gibt auch viele andere interessante Technologien, die eingesetzt werden können, um Privatsphäre der Benutzer abseits davon zu schützen und die sicher eine Betrachtung wert sind beim Entwurf eines Sicherheitskonzepts für eine Cloud Migration.

Wie kann man Cloud Security in der DNA der Unternehmensstrategie verankern?

Man sollte sowieso IT Security in seinem Unternehmen mitdenken und das beginnt normalerweise bei der Implementierung eines adäquaten Risikomanagements.

Dieses bildet die Basis für die Entscheidungen pro und contra entsprechender Technologien und Schutzmechanismen für den Schutz von unternehmensrelevanter Information. Dementsprechend sollte man bereits dort ansetzen und die existierenden Prozesse um cloud-spezifische Fragestellungen erweitern. Diese bilden dann die Grundlage für fundierte Managemententscheidungen und die bestmögliche Integration von Cloud Computing.

Worauf müssen Unternehmen achten, die in Cloud Infrastrukturen investieren?

Viele Cloud-Angebote klingen sehr verlockend und verleiten regelrecht zu einer schnellen Migration. Als Unternehmen sollte man aber im Vorfeld sehr darauf achten, dass sie die angebotenen Verträge genau analysieren und auch die Angebote der Provider genau durchleuchten. Während der Planung der Cloud-Migration sollten sie bereits ihre Anforderungen an die Service Provider spezifizieren, um anschließend eine fundierte Entscheidungsgrundlage bei der Providerwahl zu haben. 

Wie unterstützt das AIT in diesem Bereich? Welche Systeme werden entwickelt?

In unserem Forschungsteam beschäftigen wir uns zentral mit dem Thema Kryptographie für die Cloud und leiten zu dem Thema auch zwei große EU-Forschungsinitiativen mit internationalen Partnern. Im Projekt PRISMACLOUD entwickeln wir zum Beispiel neue, sichere Cloud-Speicherdienste, die höhere Daten- und Ausfallsicherheit liefern durch die Kombination mehrerer Cloud Provider. Im Project CREDENTIAL entwickeln wir datenschutzfreundliche Lösungen für Identitätsmanagement, bei denen der Provider nicht sämtliche Daten und Aktionen seiner Benutzer lernt. Zusammenfassend befassen wir uns in unserer Gruppe mit der Entwicklung neuer kryptographischer Methoden, die im Zeitalter der vollständigen Vernetzung und intelligenten Systeme einen besseren Schutz von Unternehmensdaten und auch der Privatsphäre von Personen zulassen.

Zusätzlich befassen wir uns am AIT Austrian Institute of Technology auch mit dem Thema Cloud- und IoT-Sicherheit auf Prozessebene und entwickeln neue Lösungen und Methoden, um die Sicherheit dieser komplexen Systeme besser beherrschen zu können.

Vielen Dank für das Gespräch!