Neuer ENISA-Report liefert detaillierte Checkliste mit Kriterien für Cloud-Computing-Sicherheit

Unabhängige und gründliche Betrachtung sämtlicher Fragen zur Sicherheit und Privatsphäre

[datensicherheit.de, 20.11.2009] Die Europäische Agentur für Netz- und Informationssicherheit (ENISA) geht in ihrem neuen und umfassenden Report zum Thema „Cloud Computing: Benefits, Risks and Recommendations for Information Security“ (Cloud Computing: Nutzen, Risiken und Empfehlungen zur Informationssicherheit) der Frage nach, wie Unternehmen und Regierungen den offensichtlichen Nutzen aus Cloud Computing ziehen können, ohne ihre Organisationen Gefahren auszusetzen:
Der Report setzt sich mit technischen, politischen und rechtlichen Aspekten auseinander und bietet vor allem konkrete Empfehlungen, wie auf die Risiken eingegangen und der Nutzen für die Anwender maximiert werden kann.

© ENISA

ENISAs jüngster Report ist der erste, der eine unabhängige und gründliche Betrachtung sämtlicher die Sicherheit und Privatsphäre betreffenden Fragen eines Übergangs in die „Cloud“ (Wolke) enthält. Dabei umreißt er Aspekte des die Informationssicherheit betreffenden Nutzens des „Cloud Computing“ sowie 35 wichtige Sicherheitsrisiken.

ENISA und ihre Expertengruppe begannen mit einer Umfrage, in der Unternehmen über ihre größten Bedenken beim Übergang in die „Cloud“ befragt wurden. Das Bild, das sich aus der Umfrage ergeben habe, sei klar, sage Giles Hogben, ENISA-Experte und Autor des Reports. Die Situation für Unternehmen in Bezug auf „Cloud Computing“ sei offensichtlich – sie bedeute gewissermaßen „Computerleistung aus dem Zapfhahn“, also sofortige Verfügbarkeit ohne Verpflichtungen und nach Bedarf.
Aber das größte Problem, das die meisten Leute zurückhalte, sei die Frage der Sicherheit – wie könne man wissen, dass es sicher sei, einem „Cloud“-Anbieter die eigenen Daten und in manchen Fällen gar die gesamte Unternehmens-Infrastruktur anzuvertrauen?
Der Report beantwortet diese Frage mit einer detaillierten Checkliste mit Kriterien, die jeder anwenden könne, um festzustellen, ob ein „Cloud-Anbieter“ so sicherheitsbewusst sei, wie er sein könnte. Diese Checkliste sei das wichtigste Ergebnis des Reports, so Daniele Catteddu, Mitautorin des ENISA-Reports – sie beruhe auf der sorgfältigen Risikoanalyse einer Reihe von „Cloud-Computing-Szenarien“ mit Schwerpunkt auf den Bedürfnissen von Gewerbekunden. Die größten Risiken, auf die die Checkliste eingehe seien u.a. „Lock-in“, Ausfall von Mechanismen, die die Daten und Applikationen der Kunden voneinander trennten, sowie rechtliche Risiken, wie das Versäumnis, Datenschutzgesetze einzuhalten. Mit Hilfe dieser Sicherheits-Checkliste würden Kunden jetzt die Fragen kennen, die sie stellen müssten, und Anbieter könnten diese Fragen ein einziges Mal beantworten, anstatt mit Nachfragen nach Zusicherungen über ihre Sicherheitspraktiken überrannt zu werden.

Weitere Informationen zum Thema:

ENISA, 20.11.2009
„Cloud Computing: Benefits, Risks and Recommendations for Information Security“ [Download]

datensicherheit.de, 18.11.2009
Cloud Computing: Kritik an der mangelnden Transparenz der Verarbeitung von Daten / Offenbar geht Wirtschaftlichkeit vor Sicherheit

datensicherheit.de, 03.09.2009
Modetrend Cloud Computing: Probleme bei Zuverlässigkeit und Datenschutz / Der Nutzer und seine Existenz in die Hand von Dienstleistern