Gefahr und die „Wolke“

Original Artikel von Todd Thiemann, Senior Director, Data Protection

Beim Mobiltelefon-Service Sidekick von T-Mobile USA, der vom Microsoft Tochterunternehmen Danger betrieben wird, kam es zu einem Zwischenfall, durch den einige Sidekick-Telefonkunden ihre persönlichen Daten einschließlich Kontaktnamen, Telefonnummern und digitale Photos verloren (die New York Times fasste die Ereignisse zusammen und The Register steuerte einige pikante Spekulationen über die Herkunft des Service-Ausfalls bei). Viele Kommentatoren nutzten diesen Vorfall und andere kürzlich erfolgte Ausfälle von Cloud-Services, um die Zuverlässigkeit des Cloud-Computings in Zweifel zu ziehen. Mein Vorschlag lautet: Erst einmal tief Luft holen und nachdenken.

Was Microsoft da mit Danger passiert ist, war ein IT-Schlamassel, der sich in jedem Datenzentrum hätte ereignen können. Daten scheinen zwar verloren gegangen zu sein, ihre Vertraulichkeit blieb aber gewahrt. Der Artikel in The Register weist auf mögliche Konzeptionsfehler in der Infrastruktur hin. Dieser unglückliche Vorfall hätte überall, nicht nur im Internet passieren können, der Unterschied ist jedoch, dass viele Kunden vom Versagen des IT-Prozesses betroffen waren. Vergleicht man den Vorfall bei Danger mit dem, was passiert, wenn Ihr interner Mail-Server abstürzt, liegt der Unterschied darin, wer davon erfährt: Bei Ihrem internen Mail-Server weiß es nur Ihr Unternehmen (und nicht die ganze Welt).

Aus dem Blickwinkel der Sicherheit weisen sowohl der Vorfall bei Microsoft Danger, der kürzlich erfolgte DDoS bei Amazon EC als auch die Herausforderungen an Google bei der Bereitstellung von gehosteter E-Mail auf anfängliche Schwierigkeiten einiger Software-as-a-Service- und Infrastructure-as-a-Service-Angebote (SaaS und IaaS) hin. Es gilt zu unterscheiden, dass es zwar zu Service-Ausfällen gekommen ist, aber nicht nicht zu Sicherheitsverletzungen, die vertrauliche Daten gefährdet haben. Eine solche Sicherheitsverletzung könnte die Verbreitung des Cloud-Computing verzögern, doch die meisten Unternehmen achten sorgfältig darauf, welche Daten sie der öffentlichen Web-Wolke anvertrauen und wie sie geschützt werden.

Eines Tages wird es auch beim öffentlichen Cloud-Computing zu einer Sicherheitsverletzung kommen. Meine Voraussage ist jedoch, dass Kosteneinsparungen und Flexibilität, die sich durch Software-as-a-Service/Platform-as-a-Service/Infrastructure-as-a-Service (und gehostete Services) erzielen lassen, die Verbreitung des Cloud-Computings vorantreiben und dass Sicherheitsteams auf mögliche Risiken hinweisen und versuchen werden, sie abzuwehren. Eine zentrale Herausforderung für Sicherheitsexperten ist es, das Cloud-Computing nicht kategorisch abzulehnen, sondern zu sagen „Ja, Cloud-Computing ist eine gute Sache, aber man muss X, Y und Z tun, um Anwendungen und vertrauliche Daten zu schützen.“

Schreibe einen Kommentar

Deine E-Mail-Adresse wird nicht veröffentlicht. Erforderliche Felder sind markiert *

*