Back-to-School: Aus dem Klassenzimmer vom CAS Information Security & Risk Management. Basis für diesen Lehrgang ist das BSI-Grundschutzhandbuch, und die Teilnehmenden bereiten sich begleitend auf die CISSP-Prüfung vor. Somit ist es ein Teil des 15-tägigen Lehrgangs, ein CISSP- oder BSI-Fachthema als Blogpost aufzubereiten:

Information Security: Cloud Computing

Cloud Computing – ein Begriff, der in Wirtschafts- und Informatikkreisen als heisses Thema gehandelt wird. Dieser Beitrag soll aufzeigen, was unter diesem Oberbegriff zu verstehen ist, warum er für Führungskräfte auch in Zukunft zunehmend an Bedeutung gewinnen wird und bespricht, was die Vor- und Nachteile der Verwendung von Cloud Computing sind. Das BSI (Bundesamt für Sicherheit in der Informationstechnik) definiert Cloud Computing folgendermassen: „Cloud Computing ist ein Modell, das es erlaubt, bei Bedarf jederzeit und überall bequem über ein Netz auf einen geteilten Pool von konfigurierbaren Rechnerressourcen (z. B. Netze, Server, Speichersysteme, Anwendungen und Dienste) zuzugreifen, die schnell und mit minimalem Managementaufwand oder geringer Serviceprovider-Interaktion zur Verfügung gestellt werden können.“[1] Unternehmen können folglich substantielle, theoretisch sogar alle Bereiche ihrer benötigten IT-Infrastruktur (mit Ausnahme der Benutzergeräte) auslagern. Zentral dabei ist, dass die notwendigen IT-Ressourcen den Nutzern in innovativer Form zur Verfügung gestellt werden: Die benötigten Server- oder Softwareanwendungen beispielsweise laufen nicht auf der eigenen IT-Infrastruktur; diese Kapazitäten sind bei einem Cloud-Anbieter reserviert und können bedarfsorientiert abgerufen, genutzt und wieder freigegeben werden. Beim Cloud Computing  werden drei Servicemodelle unterschieden:[2]

• Cloud Software as a Service (SaaS): Beliebige und verschieden umfangreiche Anwendungen können als Cloud-Service angeboten werden (bspw. Microsoft Office 365).
• Cloud Platform as a Service (PaaS): Eine komplette Infrastruktur mit standardisierten Schnittstellen wird bereitgestellt, die der Kunde nutzen kann. Ein Beispiel ist Windows Azure.
• Cloud Infrastructure as a Service (IaaS): Rechenleistung, Speicherplatz, Netze und andere IT-Ressourcen werden als Dienst dem Kunden zur Verfügung gestellt. Amazon ist einer der bekanntesten Dienstleister in diesem Bereich.

Die offensichtlich grössten Vorteile für das Unternehmen beim Bezug solcher Dienstleistungen sind die Dynamik und Flexibilität des Systems. Anpassungen können technisch innerhalb von Minuten vollzogen werden. Die Bereitstellung („Provisionierung“) und die Freigabe („Deprovisionierung“) von IT-Ressourcen können dank Selbstbedienungsfunktion vom Kunden mittels eines Bedienungsinterfaces selbstständig angepasst werden. Dies wird hauptsächlich durch den Einsatz von virtualisierter Hardware ermöglicht, bei der mehrere virtualisierte Server auf einem physikalischen Server betrieben werden. Durch diese Eigenschaften ist die Verwendung von Cloud Computing insbesondere aus Gründen der Kosteneinsparung interessant. Unternehmen können durch die reduzierten Hardwareanforderungen und die Einsparung des dafür notwendigen Supports Ressourcen sparen. Hinzu kommt eine erhöhte Agilität der IT-Ressourcen für das Unternehmen. Viele Herausforderungen, bspw. im Bereich der Verfügbarkeit von Webservern oder Rechenleistung, die je nach Unternehmen hohen Schwankungen unterworfen sind, können so kosteneffizient gelöst werden. Insbesondere Software as a Service trägt zudem auch zu Effizienzgewinnen für Unternehmen bei, deren Arbeitskräfte oft unterwegs sind und die von überall Zugang zu ihren Daten haben müssen. Zuletzt können Cloud-Lösungen auch die IT-Sicherheit erhöhen.[3] Diesen Vorteilen stehen jedoch auch einige gewichtige Nachteile respektive Risiken gegenüber: Datenschutz und -sicherheit, Interoperabilität der Systeme und Abhängigkeiten (vom Cloud-Anbieter, aber auch von jederzeit funktionierendem Anschluss an die Cloud über das Internet) sind nur drei exemplarische Themenfelder, die oft als Hindernisse bei der Verwendung von Cloud Computing im Raum stehen.[4] Auch die Frage nach dem physischen Standort der Server, und somit dem geografischen Speicherort der Daten, ist ein wichtiger Aspekt. Insbesondere im Hinblick auf steigende, regulatorische Anforderungen im Bereich IT-Sicherheit und Datenschutz müssen deshalb die Risiken bei der Planung und Umsetzung einer Lösung in der Cloud berücksichtigt werden. [1] https://www.bsi.bund.de/DE/Themen/DigitaleGesellschaft/CloudComputing/Grundlagen/Grundlagen_node.html (Zugriff: 1.5.2017) [2] http://www.cloud-finder.ch/wissen/expertenberichte/expertenberichte-detailansicht/article/die-drei-servicemodelle-der-cloud.html (Zugriff: 2.5.17) [3][3] Siehe dazu ENISA (2009): Cloud Computing: Benefits, risks and recommendations for information security. [4] Carstensen, J. /Golden, B. /Morgenthal, JP. (2016): Cloud Computing: Assessing the Risks. IT Governance.  

---

Blogpost wurde erstelle von Michel Herzog (Ernst & Young AG) im Rahmen vom CAS Information Security & Risk Management. Dozenten in diesem sehr praxisorientierten Lehrgang sind: Lukas Fässler (FSDZ Rechtsanwälte & Notariat AG) Rainer Kessler (Governance Concept GmbH), Andreas Wisler (goSecurity GmbH) Beim nächsten CAS live dabei sein? Hier der Link zur Ausschreibung CAS Information Security & Risk Management Persönliche Beratung für den Lehrgang gewünscht? Einfach Prof. Martina Dalla Vecchia ein E-Mail schreiben und einen Termin vorschlagen.