IT Trend Cloud Computing: Chancen und Expertentalk mit Dipl. Ing. Thomas Lorünser über den Einstieg von Unternehmen in den IT-Trend Cloud Computing

Cloud Computing ist einer der wichtigsten IT-Trends des letzten Jahrzehnts und wird für Unternehmen zunehmend wichtiger. Zwar liefern Cloud-Strukturen mehr Agilität und Freiheiten, andererseits bestehen aber auch einige Risiken. Wie man diese dynamischen Strukturen in die Unternehmensstrategie integriert und einen guten Übergang zum Cloud Computing ins Rollen bringt, haben wir bei Dipl. Ing. Thomas Lorünser, Scientist IT & Cloud Security beim Austrian Institute of Technology, nachgefragt.

 

 

Cloud Computing, IT

Warum wird Cloud Security für Unternehmen immer relevanter?

Mittlerweile gibt es vielfältige Cloud-Angebote für diverse Anwendungsfälle und die Angebote werden immer attraktiver. Der Trend zu Cloud Computing geht teilweise sogar so weit, dass man bestimmte Software nur noch in der Cloud nutzen kann. Die Integration von Cloud Computing in die eigene Unternehmens-IT wird also sehr wichtig. Dennoch sollte man dabei niemals die Risiken aus den Augen verlieren, die damit einhergehen. Beim Cloud Computing handelt es sich um ein Outsourcing-Modell, das mit einigen neuen Bedrohungen für die Datensicherheit verbunden ist, die bei Sicherheitsanalysen mitberechnet werden müssen. Gerade die Integration in klassische Sicherheitsarchitekturen kann dabei ein Problem darstellen und bei der Verwendung von sogenannten öffentlichen Cloud-Angeboten sollte man Sicherheits- und auch Datenschutzaspekte früh in seinen Entscheidungs- und Entwicklungsprozess einbeziehen.

Wie verändern Cloud-Systeme unternehmensinterne Prozesse?

Die Agilität und Elastizität der Cloud liefert viel Flexibilität und ermöglicht größere Spontanität in der Gestaltung von Prozessen im unternehmerischen Umfeld. Prototypen können schneller entwickelt und in den operativen Einsatz gebracht werden als je zuvor. Auch kleine Unternehmen und Teams bekommen direkten Zugriff auf vielfältige IT-Betriebsmittel.

Eine virtuelle Infrastruktur kann an die Bedürfnisse angepasst werden und mit den Aufgaben mitwachsen, ohne vorherigen Investitionsaufwand. Bei dieser engen Verzahnung von Entwicklung und Betrieb von IT-Infrastruktur spricht man auch von DevOps („Development und Operations“), durch die die Cloud ideal unterstützt wird und die diesen generellen Trend in der I- Welt noch verstärken werden. Auch hier sollte man aber wieder die Risiken nicht ausblenden. Bei unserer Arbeit ist es entscheidend, Bewusstsein für diese Herausforderung zu schaffen und Unterstützung zu geben, wie man von den neuen Technologien profitieren kann, ohne unnötige Gefahren bei der Informationssicherheit oder dem Datenschutz einzugehen.

Wie kann man den Übergang zu Cloud Computing schaffen?

Ein gelungener Übergang zu Cloud Computing sollte in jedem Fall mit der Erstellung einer gut geplanten und überlegten Cloud-Strategie für das Unternehmen starten. Bei der anschließenden Planung der Einbindung konkreter Cloud Services sollte man dann auch die davon betroffenen internen Prozesse und existierenden Softwarekomponenten genau auf ihre möglichen Schnittstellen hin zu einer „Cloudifizierung“ prüfen, um eine adäquate Providerwahl zu treffen. Eine Integration von Cloud-Angeboten sollte ganzheitlich geplant werden, also inklusive der Schritte und Kosten für die Einbindung in die Cloud als auch die Chancen und Kosten für ein Exit-Szenario.

Wie gut sind Unternehmen in diesem Bereich aufgestellt?

In Europa haben wir noch Aufholbedarf auf beiden Seiten, also bei den Nutzern der Cloud als auch auf der Seite der Provider.

Auf Benutzerseite ergeben sich speziell für KMU enorme Chancen durch die Cloud, gerade wenn sie im Kontext von neuen vernetzten Systemen wie dem Internet of Things gesehen werden. Hier sollten wir den Unternehmen dabei helfen, den Schritt in die Cloud zu gehen, um ihnen einen vertrauensvollen Übergang zu ermöglichen.

Wir sollten aber auch die heimische Industrie darin unterstützen, neue Cloud Services anzubieten. Nationale Provider haben es zwar aufgrund ihrer Größe schwer, in diesem Markt gegenüber global agierenden Unternehmen zu bestehen, sie können aber gerade diese Situation auch zu ihrem Vorteil ausnutzen und speziell durch das Anbieten von sicherheits- und datenschutzkonformen Services im EU-Raum einen Wettbewerbsvorteil erlangen.

Wie stellt man eine Verschlüsselung der Daten sicher?

Der generelle Trend zu allumfassenden vernetzten Systemen stellt viele neue Anforderungen an Sicherheits- und Verschlüsselungstechnogien. Ziel unserer Arbeit ist, dem User auch in Zukunft die Kontrolle über seine Daten zu ermöglichen, unabhängig davon, wo sie gespeichert oder verarbeitet werden.

Dazu gehört auch der Schutz von Daten in der Cloud durch Verschlüsselung, das für sich allein schon ein komplexes, aber sehr entscheidendes Thema ist. Es gibt bereits einige nutzerfreundliche Lösungen für sicheres Backup in der Cloud, die die Daten vor dem Hochladen verschlüsseln. Für andere, dynamischere Szenarien, bei denen die Daten zudem verarbeitet und geteilt werden können, funktioniert dieser Ansatz leider nicht, da die herkömmliche Verschlüsselung jegliche Interpretation oder Modifizierung der Daten verhindert.

Hier brauchen wir neue kryptographische Methoden. Diese sind aktuell Gegenstand der Forschung und da wird sich in den nächsten 10 Jahren sicher einiges tun. Für heutige Anwender ist es jedenfalls empfehlenswert, wenn die Daten, während sie nicht verarbeitet werden, nur verschlüsselt gespeichert werden und nur im Bedarfsfall im Klartext in der Cloud vorliegen.

Ergänzend sollte man noch erwähnen, dass es bei dem Thema Kryptographie für die Cloud nicht nur um Verschlüsselung geht, es gibt auch viele andere interessante Technologien, die eingesetzt werden können, um die Privatsphäre der Nutzer abseits davon zu schützen. Das ist eine Betrachtung wert beim Entwurf eines Sicherheitskonzepts für eine Cloud Migration.

Wie kann man Cloud Security im Kern der Unternehmensstrategie verankern?

Man sollte sowieso IT Security in seinem Unternehmen mitdenken und das beginnt üblicherweise bei der Implementierung eines adäquaten Risikomanagements.

Dieses bildet das Fundament für die Entscheidungen für und wider entsprechender Technologien und Schutzmechanismen für den Schutz von unternehmensrelevanter Information. Dementsprechend sollte man bereits dort ansetzen und die existierenden Prozesse um cloud-spezifische Fragestellungen erweitern. Diese bilden dann die Basis für fundierte Managemententscheidungen und die gelungene Integration von Cloud Computing.

Worauf müssen Unternehmen achten, die in Cloud Infrastrukturen investieren?

Viele Cloud-Angebote klingen sehr verlockend und verleiten zu einer schnellen Migration. Als Unternehmen sollte man aber im Vorfeld die angebotenen Verträge genau analysieren und auch die Angebote der Provider durchleuchten. Während der Planung der Cloud-Migration sollten sie bereits ihre Anforderungen an die Service Provider spezifizieren, um anschließend eine gute Entscheidungsgrundlage bei der Auswahl zu haben.  

Wie unterstützt das AIT in diesem Bereich? Welche Systeme werden entwickelt?

In unserem Forschungsteam beschäftigen wir uns zentral mit dem Thema Kryptographie für die Cloud und leiten zu dem Thema auch zwei große EU-Forschungsinitiativen mit internationalen Partnern. Im Projekt PRISMACLOUD (https://prismacloud.eu) entwickeln wir zum Beispiel neue, sichere Cloud-Speicherdienste, die höhere Daten- und Ausfallsicherheit liefern durch die Kombination mehrerer Cloud Provider. Im Projekt CREDENTIAL (https://credential.eu) entwickeln wir datenschutzfreundliche Lösungen für Identitätsmanagement, bei denen der Provider nicht sämtliche Daten und Aktionen seiner Benutzer lernt. Zusammenfassend befassen wir uns mit der Entwicklung neuer kryptographischer Methoden, die im Zeitalter der kompletten Vernetzung und intelligenten Systeme einen besseren Schutz von Unternehmensdaten, sowie der Privatsphäre von Personen zulassen.

Zusätzlich befassen wir uns am AIT Austrian Institute of Technology auch mit dem Thema Cloud- und IoT-Sicherheit auf Prozessebene und entwickeln neue Lösungen und Methoden, um die Sicherheit dieser komplexen Systeme besser beherrschen zu können.

Vielen Dank für das Gespräch!