2 Grundlagen des Cloud Computing und der IT-Sicherheit

2.1 Definition und Betriebsarten

Bis heute konnte sich keine allgemeingültige Definition des Begriffs Cloud Computing durchsetzen, jedoch werden in Publikationen oder Vorträgen oft Definitionen genutzt, die sich stark ähneln, in einigen Punkten aber doch voneinander abweichen.[25] Daher ist in der Praxis häufig die Beschreibung wesentlicher Charaktereigenschaften des Cloud Computing als Definition zu finden. Dies ist insbesondere bei CSP festzustellen, da diese bevorzugt ihre Vorteile und eingesetzten Technologien beschreiben. Meist finden sich in diesen Definitionen auch die Gemeinsamkeiten der ungezählten Angebote von Cloud-Services wieder.[26]

Im Eckpunktpapier des deutschen Bundesamtes für Sicherheit in der Informationstechnik (BSI), einer unabhängigen und neutralen Stelle für alle Fragen zur IT-Sicherheit in der Informationsgesellschaft, ist der Begriff Cloud Computing definiert als „das dynamisch an den Bedarf angepasste Anbieten, Nutzen und Abrechnen von IT-Dienstleistungen über ein Netz. Angebot und Nutzung dieser Dienstleistungen erfolgen dabei ausschließlich über definierte technische Schnittstellen und Protokolle. Die Spannbreite der im Rahmen von Cloud Computing angebotenen Dienstleistungen umfasst das komplette Spektrum der Informationstechnik und beinhaltet u. a. Infrastruktur (z. B. Rechenleistung, Speicherplatz), Plattformen und Software.“[27]

Eine weitere Definition stammt von der US-amerikanischen Standardisierungsstelle NIST, welche den Begriff des Cloud Computing wie folgt definiert: „Cloud computing is a model for enabling ubiquitious, convenient, on-demand network access to a shared pool of configurable computing resources (e.g., [!] networks, servers, storage, applications, [!] and services) that can be rapidly provisioned and released with minimal management effort or service provider interaction.“[28]

Da die Definition des NIST nicht nur in Fachkreisen herangezogen, sondern auch von der Europäischen Agentur für Netz- und Informationssicherheit (ENISA) genutzt wird und somit bereits eine hohe Akzeptanz im Cloud Computing erlangt hat, wird diese im Folgenden als Standard vorausgesetzt.[29] Zusätzlich zu der Definition hat das NIST, in Zusammenarbeit mit der Cloud Security Alliance (CSA), fünf wichtige Charakteristika aufgestellt, die Cloud Computing beschreiben (Abb. 3). Diese sind On-Demand Self-Service, Broad Network Access, Resource Pooling, Rapid Elasticity sowie Measured Service und werden im Folgenden näher betrachtet.

Abb. 3: Die fünf wichtigsten Charakteristika des Cloud Computing

Quelle: In Anlehnung an Vossen, G./Haselmann, T./Hoeren, T. 2012, S. 21.

Das Merkmal On-Demand Self-Service beschreibt, dass benötigte Ressourcen vom Cloud-Service-Nutzer selbst angefordert werden können. Die Bereitstellung der Dienste erfolgt in der Regel innerhalb kurzer Zeit automatisch ohne menschliche Interaktion zwischen Nutzer und CSP.[30]

Mit der Eigenschaft Broad Network Access ist die Verfügbarkeit von Ressourcen über ein Netzwerk gemeint. Durch standardisierte Mechanismen und Schnittstellen ist es möglich die Services auf einer breiten Palette von Endgeräten abzurufen, wie z. B. Smartphones, Tablets, Notebooks und PCs.[31]

Resource Pooling bedeutet, dass die Ressourcen des CSP in einem Pool gesammelt werden, aus dem sich mehrere Nutzer gleichzeitig (Multi-Tenant Modell) bedienen können. Im Regelfall haben die Nutzer keine Kenntnis über den genauen Standort der bereitgestellten Ressourcen. Allerdings kann der Speicherort über zusätzliche vertragliche Regelungen eingegrenzt werden, beispielsweise auf ein Land, eine Region oder ein RZ.[32]

Unter Rapid Elasticity wird hauptsächlich die dynamische Anpassung der Ressourcen nach oben oder unten an die tatsächlich benötigten Kapazitäten verstanden, die meist unverzüglich oder mit geringen Vorlaufzeiten stattfindet.[33] Dabei scheinen die Ressourcen für den Anwender unerschöpflich zu sein.[34] Bei gemieteter Infrastruktur ist es häufig so, dass der Nutzer selbst aktiv werden muss, um die Ressourcenmenge anzupassen. Bei dem Bezug von Plattform- oder Softwarediensten findet diese Anpassung oft automatisch statt. Der Anwender profitiert allerdings nur dann von der dynamischen Anpassung, wenn die genutzten Anwendungen skalierbar sind.[35]

Die Charaktereigenschaft Measured Service umfasst die Möglichkeit der Konfiguration, Nutzung und Steuerung der erworbenen Cloud-Services für den Nutzer über Programmierschnittstellen zur dynamischen Anpassung des Verbrauchs von Ressourcen. Außerdem ermöglicht es dem CSP, das Ressourcenmanagement zu automatisieren.[36]

Des Weiteren ist die Abrechnung der tatsächlich in Anspruch genommenen Leistungen der Cloud-Services nach der Pay-per-Use-Methode typisch, welche vom Prinzip her mit der Abrechnung von Wasser, Strom und Gas im Haushalt zu vergleichen ist.[37] Dabei fallen im Regelfall keine oder nur geringe Fixkosten an. Die Abrechnung erfolgt üblicherweise nach dem Datentransfervolumen oder Datenspeichervolumen. Dies ermöglicht dem Anwender, die Berechnungsgrundlagen selbst nachzuvollziehen.[38]

Durch die vorstehend genannten Charakteristika unterscheidet sich das Cloud Computing deutlich von klassischen Outsourcing-Modellen. Diese sind eher statisch aufgestellt – bedingt durch längere Laufzeiten und zeitaufwendige Vertragsverhandlungen zwischen Anbieter und Nutzer – und erfüllen demnach nicht die dynamische Anpassungsfähigkeit und Flexibilität des das Cloud Computing.[39] Zudem lagern Unternehmen beim klassischen IT-Outsourcing Arbeits-, Produktions- oder Geschäftsprozesse ganz oder teilweise zu externen Dienstleistern aus. Dabei ist es üblich, dass die gemietete Infrastruktur von nur einem Kunden genutzt wird (Single-Tenant Modell) und die Mandantentrennung in jedem Fall gesichert ist, im Gegensatz zu der Multi-Tenant Strategie, die meist bei CSP verfolgt wird.[40]

Das NIST unterscheidet im Cloud Computing zudem vier wesentliche Betriebsarten einer Cloud: Private Cloud, Public Cloud, Hybrid Cloud und Community Cloud. In der Praxis existieren jedoch viele weitere Mischformen und alternative Begrifflichkeiten der wesentlichen Betriebsarten, die sich aus den elementaren Betriebsarten des Cloud Computing zusammensetzen. Diese werden hier nicht weiter behandelt.

In der Private Cloud wird die Cloud-Infrastruktur ausschließlich für eine einzige Organisation (z. B. Behörde, Firma, Verein) betrieben. Die Verwaltung der Private Cloud kann durch diese selbst oder einen externen Dienstleister erfolgen.[41] Das RZ kann dabei entweder ausgelagert sein oder auf dem Gelände der Organisation selbst betrieben werden. Der Zugriff auf die Cloud-Dienste ist jedoch in beiden Fällen auf die Mitglieder der Organisation beschränkt und erfolgt im Regelfall über das Intranet der Institution oder ein Corporate Network.[42] Da eine Private Cloud extrem hohe Investitionen in Hardware, Software und Personal erfordert, ist dieses Modell im Regelfall nur für sehr große Organisationen attraktiv und für KMU daher meist uninteressant.[43] Der häufigste Entscheidungsgrund für diese Bereitstellungsart des Cloud Computing ist die sichere IT-Betriebsumgebung und der vollständige Verbleib der Kontrolle bei der Organisation selbst.[44]

Die sogenannte Public Cloud ist eine weitere elementare Betriebsart und der Standardfall im Cloud Computing.[45] Typisch für diese Art von Cloud ist, dass im Gegensatz zur eingeschränkten Nutzung der Dienste in der Private Cloud jeder die angebotenen Services beziehen kann. Die Verwaltung der Cloud-Dienste in der Public Cloud erfolgt jedoch nicht durch den Nutzer selbst, sondern durch den CSP, der sich auf die Bereitstellung solcher Cloud-Services spezialisiert hat.[46] Meist erfolgt der Zugriff auf die Public Cloud durch das Internet.[47] Public Clouds erfordern für eine rentable Funktionalität eine enorme Mindestgröße, bieten dann jedoch die attraktivsten Skaleneffekte.[48] Die Hauptmotivation für die Public Cloud ist der Kostenvorteil durch den Wegfall von hohen Investitionen in Rechner- und Datenzentrumsinfrastruktur sowie die hohe Skalierbarkeit der Cloud-Dienste.[49]

Die Hybrid Cloud ist eine Zusammensetzung aus zwei oder mehreren eigenständigen Cloud-Infrastrukturen, die über standardisierte Schnittstellen gemeinsam genutzt...