Freier Blick für die Zukunft: Cloud-Computing und Cloud-Sicherheit

27.05.2009

Jedes Jahrzehnt wird von anderen Schlagworten geprägt. Auch in der IT-Branche verhält es sich kein bisschen anders: Waren es "Homecomputer" und "Multimedia" in den 1980ern und "interaktiv" in den 1990ern, so konnte man in den letzten Jahren überall von "Web 2.0" hören. Kaum hat man sich langsam mit dem jüngsten Terminus vertraut gemacht, taucht schon wieder ein neuer auf. Der aktuelle Begriff unserer Tage lautet "Cloud" und es scheint, als wäre dieser Begriff für die meisten User – ähnlich der echten Wolken – eher nebulös. Dieser Artikel soll dazu beitragen, Licht in das Dunkel zu bringen und zudem den Unterschied zwischen Cloud-Computing und Cloud-Sicherheit erläutern.

Was haben Wolken damit zu tun?

Schematischen Netzwerk-Darstellungen, etwa dem Internet, werden standardmäßig mit einem Wolkenumriss symbolisiert. Diese Darstellung ist durchaus sinnvoll: Es ist ebenso wenig möglich, in eine Wolke hineinzusehen, wie festzustellen, welche Computer sich derzeit im Internet befinden. Ein wolkenverhangener Himmel gilt uns als glaubhafter Vorbote für einen Regenguss, ohne dass die genauen Vorgänge im Innern der Wolke bekannt sein müssen. Im Fall der Internet-Wolke genügt es, zu wissen, dass sie existiert und der Rechner an sie angeschlossen werden kann. Was sich darin abspielt, ist für das Funktionieren nicht notwendig. Cloud-Computing

Die Vorläufer von Cloud-Computing

"Cloud-Computing" existiert im Endeffekt schon seit geraumer Zeit – lange, bevor Windows, MacOS und Linux ihren Vormarsch auf die Anwendersysteme begannen. Allerdings fungierte das Konzept von Cloud-Computing damals noch unter dem Namen "Mainframe + Terminal". Im Fall des Mainframes handelte es sich um einen Hochleistungsserver, auf dem alle Programme liefen und sämtliche Daten gespeichert waren. Das Endgerät war als einfaches System aufgebaut, das lediglich die Verbindung zum Mainframe herstellte. Erforderlich waren sowohl ein schneller (und daher kostspieliger) Mainframe als auch die entsprechende Netzwerkinfrastruktur. Die PCs und Heimrechner von IBM jedoch kamen ohne diese Komponenten aus – sie vereinigten sämtliche Funktionen in einem einzigen Gerät und machten somit das Konzept des Mainframes obsolet.

Unternehmen wie Hewlett-Packard, Sun und Citrix versuchten, diese Idee weiterhin am Leben zu erhalten. Sie ersetzten den Terminal durch eine Anwendung, die nun als "Thin Client" bezeichnet wurde, und die großen Mainframes durch leistungsstarke Out-of-the-Box-Server. In der Regel nutzen diese Server die Standard-PC-Technologie – allerdings mit schnelleren und kostenintensiveren Prozessoren, mehr RAM-Speicher und größerem Speicherplatz als der durchschnittliche Desktop-Rechner. Das neue Konzept ist nach wie vor von einem leistungsstarken Server und einer schnellen Netzwerkverbindung abhängig. Von Heimanwendern wurde es bis vor kurzem nicht angenommen, da ihnen derartige Ressourcen nicht zur Verfügung standen. Inzwischen jedoch verfügen auch Privathaushalte gewöhnlich über einen High-Speed-Internetzugang und Download-Kapazitäten von mehreren Megabyte pro Sekunde.

Infrastruktur nahezu einsatzbereit

Auch wenn die Konzepte von Mainframe und Thin Client als Vorläufer von Cloud-Computing betrachtet werden können, kann man einen großen Unterschied ausmachen: Unternehmen, die die Thin-Client-Technologie nutzen, müssen in der Regel über einen eigenen Server sowie eine Hosting Location verfügen sowie die Stromversorgung und weitere Infrastruktur bereitstellen. Bei Cloud-Computing hingegen wird die gesamte Hardware vom Anbieter gekauft, der die verfügbaren Kapazitäten dann entsprechend der Bedürfnisse seiner Klienten vermietet.

Der Vorteil für die Kunden besteht dabei darin, dass sie sich keinen Server komplett kaufen müssen. Die Anforderung einer bestimmten Speichermenge oder Anzahl an Prozessor-Zyklen reicht aus. Dabei müssen und wollen sie nicht wissen, ob alles auf einem einzigen Computer angesiedelt oder auf mehreren Maschinen verteilt ist. Mittels bestimmter Technologien können Provider gar ein Gerät mitsamt der Hardware bei laufendem Betrieb der Kundensoftware ohne spürbare Auswirkungen auswechseln. Dieses so genannte "Hot Swapping" ist der eigentliche Zweck der "IT-Wolke": Der Kunde muss sich nicht um irgendwelche Details kümmern, sondern klickt, sobald mehr Speicherplatz oder Prozessorleistung gewünscht ist, einfach auf die entsprechende Taste.

Einer der ersten "Big Player" im Bereich Cloud-Computing war Amazon, das 2008 das Konzept "Amazon Elastic Compute Cloud" einführte. Recently Canonical – das Unternehmen hinter Ubuntu Linux – kündigte bereits an, die Amazon-Dienste in seine neueste Version Linux Ubuntu 9.10 (erscheint im nächsten Herbst), zu integrieren. Andere Unternehmen wie Microsoft oder Google haben diesen Markt ebenfalls für sich erschlossen und werden um ihren Anteil an potentiellen Gewinnen kämpfen. Tausende von Hosting-Unternehmen bieten ihre "virtuellen Server" kleinen Unternehmen oder Privatpersonen an, die einen preisgünstigen Webserver benötigen. All das kann ebenfalls als eine Art Dienstleistung in der Cloud verstanden werden.

Der Markt für diese Dienstleistungen ist demnach vorhanden und er wird zweifelsohne noch wachsen. Die beste Empfehlung an die Serviceanbieter lautet, die Hardware anzubieten, mit denen sie die Bedürfnisse der Kunden erfüllen können. Die Aufstellung dieser Geräte wird eine der größten Herausforderungen darstellen: Sobald die Nachfrage nach Cloud-Diensten eine bestimmte Schwelle überschreitet, werden kontinuierlich mehr Server benötigt werden. Diese Serverzentren müssen sich in geographischer Nähe zu den Kunden befinden, da jeder Kilometer die Übermittlungszeit zwischen Kunde und Server erhöht. Zwar mag die Verzögerungszeit nur minimal sein, aber High-Performance-Nutzer wie Online-Gamer empfinden schon einen Unterschied von 200 Millisekunden als inakzeptabel, da ihnen damit der Genuss des Spielens in Echtzeit verloren geht.

Interessieren sich Privatpersonen erst einmal für die Nutzung von Cloud-Diensten und steigt damit der Bedarf, werden die Provider gezwungen sein, erheblich mehr Hardware zuzukaufen. Innerhalb der nächsten zehn Jahre werden wohl in jeder Stadt Serverzentren entstehen, von denen sich einige voraussichtlich in Mehrzweckgebäuden mit mehr als 100 Bewohnern befinden werden.

Vorteile

Geschäftskunden machen derzeit zwar die Hauptzielgruppe der meisten Anbieter von Cloud-Dienstleistungen aus. Allerdings wird erst die Vielzahl an Privatpersonen das Konzept zum Erfolg führen. Während Unternehmen über qualifizierte IT-Mitarbeiter verfügen, kann schon alleine der Besitz eines Computers für eine Privatperson puren Stress bedeuten. Zunächst muss der Computer gekauft werden – ein Unterfangen, das sich einfacher anhört als es tatsächlich ist. Ist ein Laptop mit dem Vorteil der Mobilität vorzuziehen, oder ist ein preisgünstigerer und häufig schnellerer Desktoprechner doch die bessere Wahl? In der Welt des Cloud-Computing ist beides gleichzeitig möglich.

Der Anwender kann einen Laptop mit einer Thin-Client-Anwendung für weniger als 300 Euro kaufen und ihn dann bei Bedarf an einen Monitor und eine Tastatur anschließen. Er muss das Gerät lediglich mit dem Cloud-Provider verbinden, um soviel Leistung und Speicher in Anspruch nehmen zu können wie notwendig (oder leistbar) ist. Zwei Jahre später ist der Laptop dann gewöhnlich technisch völlig veraltet. Der Thin Client hingegen kann immer noch verwendet werden, da die Leistung von dem Provider und nicht von dem Gerät selbst geliefert wird.

Doch mit der Beschaffung der passenden Hardware ist es nicht getan. Das andauernde "Auf-dem-neuesten-Stand-Halten" von Betriebssystem und Programmen sowie das Patchen von Sicherheitslücken kann ebenfalls eine regelrechte Herausforderung darstellen. Cloud-Computing nimmt sich all dieser Fragen an, so dass das Arbeiten mit dem Heimcomputer billiger, sicherer und zuverlässiger wird.

Abgesehen von Unternehmen und Heimanwendern würde ferner auch die Content-Industrie von einer Expansion des Cloud-Computing profitieren. Beispiel Musikindustrie: In der Vergangenheit versuchte man anhand der verschiedensten Methoden, illegales Kopieren von Musik und Filmen zu verhindern, aber keine dieser Methoden funktionierte einwandfrei. Sony wollte beispielweise die Inhalte auf den Disks schützen, was dazu führte, dass in einigen Fällen kopiergeschützte CDs von Haus aus nicht auf bestimmten CD-Spielern liefen. Dieser Faux-pas führte zu einem großen Medienskandal und letztendlich zu einem Rückruf der eingesetzten Technologie. Inzwischen verzichten immer mehr MP3-Shops auf den DRM-Kopierschutz und bieten stattdessen ungeschützte Musikdateien an.

Mit Cloud-Computing würden DRM-Dateien einen zweiten Frühling erleben, da Content-Produzenten den Kunden Filme, Spiele und Musik auf direktem Weg anbieten können. Die angebotenen Inhalte werden rein für das Abspielen innerhalb des Cloud-Computing-Systems konzipiert und die Erstellung von unautorisierten Kopien derartiger Film- und Musikdateien wird erheblich mehr Zeit und Geld kosten. Letztlich kann somit die Anzahl illegaler Kopien reduziert und der Gewinn der Produzenten gesteigert werden.

Risiken

Zwar bietet Cloud-Computing klare Vorteile – aber auch hier hat die Medaille zwei Seiten und die Risiken sind nicht von der Hand zu weisen. Kaum ein Tag vergeht ohne Meldung über abgeflossene oder verloren gegangene Daten. Die Nutzung von Cloud-Diensten bedeutet, dass der Anwender seinem Provider vollkommenes Vertrauen schenken muss.

Zu welchem Unternehmen aber hat man soviel Vertrauen, dass man vollen Zugriff nicht nur auf seine E-Mail-Nachrichten, sondern auf sämtliche privaten Dokumente, Bankkonto-informationen, Passwörter, Chat-Logins und Fotos von einem selbst und der Familie gewähren würde? Selbst wenn das Vertrauen in ein bestimmtes Unternehmen vorhanden wäre, fehlt schlicht die Garantie dafür, dass die Daten nicht doch in falsche Hände geraten. Der Verlust persönlicher sensibler Daten ist zwar nicht ausschließlich ein Problem von Cloud-Computing. Hier allerdings hat der Provider umfassenden Zugang zu sämtlichen Daten und nicht nur zu einem ausgewählten Teil. Datenverlust hätte in diesem Fall weitreichende Folgen.

Werden die genannten Risiken dazu führen, dass Cloud-Computing auf dem Markt keinen Bestand hat? Das ist ziemlich unwahrscheinlich, da diese Technologie beiden Seiten Vorteile bringt: Sie ist für Anwender bequem und für Anbieter profitabel. Genauso wenig, wie ein Unternehmen zur Ausübung seiner Geschäftstätigkeiten ohne E-Mail auskommt, kann es wohl bald auch nicht mehr auf die Nutzung von Cloud-Computing-Diensten verzichten. Statt diese neue Technologie zu boykottieren, wäre es sinnvoller, neue gesetzliche Regelungen zu fordern und strenge Richtlinien für die Provider aufzusetzen. Ebenfalls müssen Technologien entwickelt werden, die es den Mitarbeitern der Providerunternehmen (nahezu) unmöglich machen, Kundendaten abzufischen. Derzeit haben Anbieter von Cloud-Computing-Diensten noch freie Hand – in zehn Jahren allerdings wird sich die Cloud-Landschaft vollständig gewandelt haben. Dann werden die Provider zur Einhaltung bestimmter Standards verpflichtet sein, wenn sie diese Dienste anbieten möchten.

Mit der Einführung von Standards wird allerdings wohl auch die Aufmerksamkeit von Malware-Autoren und Hackern geweckt werden. Dieses Phänomen hat sich schon im Zuge der Standardisierung von PCs, auf denen mit überwiegender Mehrheit das Windows-Betriebssystem installiert ist, bereits eindrucksvoll bewahrheitet. Sobald Cloud-Computing eine ausreichende Verbreitung hat, wird es mit Sicherheit auch genau auf diese Systeme spezialisierte Hacker geben. Auch hier wird es deren Ziel sein, Daten zu stehlen oder zu manipulieren – immer unter dem Hintergrund des finanziellen Vorteils. Zudem wird es weiterhin die Art Betrüger geben, die an der Technik an sich kein besonderes Interesse zeigt.

Diese Kriminellen werden gegenwärtig bekannte Tricks wie 419-E-Mails anwenden, um an das Geld ihrer potentiellen Opfer zu gelangen. Wieder andere Cyberkriminelle werden Trojaner, Würmer und sonstige Schadprogramme speziell für den Einsatz "in the Cloud" entwickeln und benutzen. Und IT-Sicherheitsfirmen werden auch weiterhin daran arbeiten, ihre Kunden vor diesen Bedrohungen zu schützen. Im Grunde wird sich kaum etwas verändern, außer, dass alle Beteiligten – Anwender, Provider und Cyberkriminelle gleichermaßen – in einer "Wolke" agieren.

Weitere Kapitel

1. Teil: Freier Blick für die Zukunft: Cloud-Computing und Cloud-Sicherheit
2. Teil: Cloud-Sicherheit

weiter
2
|
1

Kommentare

Bitte beachten Sie unsere Informationen zum Datenschutz.

blog comments powered by Disqus

Autor

Magnus Kalkuhl
Kaspersky Lab

Magnus Kalkuhl ist Senior Virus-Analyst (Central Europe). Neben der Beobachtung der Malware-Situation in Deutschland ist Magnus für die Untersuchung von Netzwerkvorfällen in Unternehmenssystemen zuständig.

Artikel einreichen

Top Artikel

Unsere Experten

Marcus Stahlhacke
Norman

Alle Experten
Michael Rudrich
Websense

Alle Experten
Andreas G. Weyert
Hellmann Worldwide Logistics GmbH & Co. KG

Alle Experten
Jürgen Wasem-Gutensohn
PR-COM GmbH

Alle Experten
Marco Di Filippo
Compass Security AG

Alle Experten

alle Experten

Premium Lösungen

Elektronische Signatur - xyzmo digital Seal
in Content Security
visiseal.com
ViPNet TUNNEL
in System/Netzwerk/Datenbank- und Softwaremanagement
INFOTECS GmbH
Innominate mGuard
in Appliances (Komplettsysteme)
Innominate Security Technologies AG
ViPNet SAFE DISK Mobile
in Verschlüsselung / Kryptographie
INFOTECS GmbH
SecureMail Archive (EMA®)
in E-Mail-Security
IT-Security Group

Marktübersicht

Premium Services

Sicherheitsberatung & -strategie
nextsolutions - Marketing & Technologiemanagement. Awareness.
06667 Weißenfels
Sicherheitsanalysen
Tele-Consulting security | networking | training GmbH
71126 Gäufelden
Sicherheitsberatung & -strategie
nextsolutions - Marketing & Technologiemanagement. Awareness.
06667 Weißenfels
Sicherheitsanalysen
nextsolutions - Marketing & Technologiemanagement. Awareness.
06667 Weißenfels
IT-Services
Hanse Escrow Management GmbH
22844 Norderstedt