Rückblick zum Workshop an der Hochschule Bremen zu "Cloud Computing und Informationssicherheit"
Am 4. November fand in der Hochschule Bremen der schon fast traditionelle jährliche Workshop "Informationssicherheit" statt. Dieses Mal stand, wie fast schon nicht anders zu erwarten, die "Cloud" auf dem Programm. Eingeladen waren zu diesem Thema Cisco Systems, Univention und das IS Bremen. Die DECOIT GmbH nahm aktiv an der Diskussion vor Ort teil und war dieses Mal nicht mit einem eigenen Vortrag vertreten. Dieser Artikel gibt mehr Details von den spannenden Vorträgen wider.
Das IS Bremen versprach bei ihrem Einführungsvortrag einen "Blick in die Cloud" zu werfen. Neben verschiedenen Cloud-Typen (IaaS, SaaS, PaaS) stehen bei diesem Geschäftsmodell im Vordergrund nur die IT-Ressourcen zu bezahlen, die auch genutzt werden. Unbestritten gibt es verschiedene Vorteile des Cloud-Modells, wie z.B. dass mehrere Kunden ein System gleichzeitig nutzen können, kürzere Reaktionszeiten bei neuen Systemanforderungen durch Virtualisierung, abdecken von Lastspitzen, Abrechnungen nach Kriterien wie Dauer und Rechenleistung sowie der direkte Bezug zwischen IT-Leistung und Kosten. Zudem steuern die Nutzer die Systemauswahl oder die Nutzung von IT-Ressourcen und Spezialsysteme wie CAD-Systeme können temporär genutzt werden. Zusätzlich können allgemeingültige Merkmale für die Cloud wie geteilte Ressourcen, massive Skalierbarkeit, Elastizität, nutzungsbezogene Abrechnung und Selbstversorgung mit Ressourcen genannt werden.
Dem steht gegenüber, dass die geteilten Ressourcen sich negativ auf die IT-Sicherheit auswirken können, da der Angreifer in der unmittelbaren Nachbarschaft sitzen kann. Auch die Skalierbarkeit hat ihre Grenzen: zu viele virtuelle Maschinen beeinträchtigen das Gastsystem und damit andere VMs. Abrechnungen können nicht so leicht in Frage gestellt werden sowie Fehlkonfigurationen und Angriffe können durch eine erhöhte Nutzung von Ressourcen einen finanziellen Schaden anrichten. Auch kann sich die Menge und Art der bereits verwendeten Ressourcen negativ verändern. Als Fazit kam heraus, dass etablierte Sicherheitsprozesse in die Cloud übernommen werden müssten. Je intensiver das Outsourcing verwendet wird, desto eher müssen Kontrollen und Notfallprozesse an die neuen Prozesse angepasst werden. Auch sollten sog. Cloud Broker eingeführt werden, als zusätzliche Kontroll- und Managementinstanz.
Die Firma Cisco Systems sieht durch Cloud Computing einen Paradigmenwechsel auf die IT-Welt zukommen. Das Harward Business Review für Geschäftsführer hat gerade einen Artikel herausgegeben, der den CEOs rät sich unabhängig von der IT-Abteilung mit der Cloud auseinanderzusetzen. Drei Entwicklungen puschen laut Cisco das Thema Cloud Computing: die Explosion der Datennetze (Wachstum des Internets), Technologie am kritischen Punkt (Virtualisierung und skalierbare RZs) sowie Mobilität und Wireless (zu jeder Zeit mit jedem Gerät verbunden, intelligente IP-Netze). Cloud bedeutet: geteilte Ressourcen - bereitgestellt als Service, da Cloud keine Technologie ist, sondern ein neues Betriebsmodell. Die Vorteile liegen dabei auf der Hand: Kosten sparen, Business Agilität, mannigfaltige Gerätenutzung, Informationen teilen. Aber es gibt auch Bedenken, wie Betriebsintegration/Kompatibilität, Sicherheit/Vertrauen, Compliance, Daten Portabilität/Standards. Cloud Computing muss daher zu dem jeweiligen Unternehmen passen - ein Pauschalangebot gibt es nicht. Entgegenwirkende Kräfte sind bei der Standardisierung (Standardisierungsgremien versus proprietärer Clouds) zu verzeichnen und sehr unterschiedlichen Cloud-Typen für Medien, Regierung, Gesundheitswesen und Spiele. Man müsste Public und Private Clouds besser unterscheiden. Daher ist eine Cloud-Strategie vor einer Einführung in jedem Fall zu erarbeiten. Die Cloud-Strategie von Cisco ist es, Cloud-Dienste zu ermöglichen, basierend auf den eigenen intelligenten Netzen. Dazu gehört es, angepasste Lösungen um eine eigene Cloud zu bauen, integrierte Lösungen von Partnern zu nutzen (enge Zusammenarbeit) und die Verwendung von Cloud-Diensten zu beschleunigen. Cisco bietet hier konvergierte Infrastrukturen an wie durch FlexPod (Cisco NetApp und VMWare) oder VCE Vblock (Cisco, EMC und VMWare). OpenStack als ein Open-Source-Betriebssystem für den Aufbau einer eigenen Cloud ist für Cisco ebenfalls wichtig. In dem Projekt ist man nicht auf einen Hypervisor festgelegt (Xen, KVM, ESX, Hyper-V). Cisco ist hier auch beigetreten, weil man als Firma Open Source als wichtigen Schritt hin zur Cloud sieht.
Abschließend erläuterte Univention, was sie von der Cloud für ihre Produkte erwarten. Univention ist nach eigenem Bekunden ein führender europäischer Hersteller von Open-Source-Infrastrukturprodukten. 120 registrierte Partner und Wiederverkäufer implementieren die Produkte in Kundennetze. So war die DECOIT GmbH beispielsweise ein Partner der ersten Stunde und hat in diesem Umfeld eine Vielzahl von Projekten durchgeführt. Als Hauptproduktsparten können Server und Infrastruktur, Client und Desktop sowie Schulen genannt werden. Aus Sicht von Univention ermöglicht die Cloud eine nachhaltige Kostenkontrolle und -Effizienz. Die Frage ist, ob man durch die Cloud Abhängiger oder Unabhängiger von der IT wird. In jedem Fall verspricht die Cloud höhere Flexibilität, professionellere IT, standardisierte IT etc. Der Cloud-Nutzen für Software-Anbieter sind niedrige Angebote, kontinuierlicher Ertrag, Verteilung von Lastspitzen auf mehrere Anwender, definierte Umgebung und hohe Kundenbindung. Der Systemintegrator wird dabei allerdings aus der Lieferkette durch die Cloud herausgedrängt.
Laut Gartner wird es noch 5-10 Jahre dauern bis sich die Cloud durchsetzen kann. KMUs nutzen die Cloud nicht aufgrund mangelnder Vertrautheit, ungünstige Organisationsstrukturen, fehlende Integration, fehlende Komplettangebote und Sicherheitsbedenken. Cloud-Angebote werden heute mit proprietärer Software betrieben, wodurch eine neue Herstellerabhängigkeit entsteht. Dabei könnte durch die Verwendung von Open Source Software sichergestellt werden, dass Datenformate offen sind, Prozesse nachvollzogen werden können, Anwendungen zu anderen Anbietern migrieren können sowie Anwendungen flexibel erweitert werden können. Dies würde auch beinhalten, dass der Quellcode dem Anwender zur Verfügung stehen muss. Allerdings gibt es auch aus Sicht der Univention GmbH immer noch eine Vielzahl technischer Herausforderungen. Die Roadmap bei Univention sieht aber definierte Cloud-Plattformen für ISVs und die Erweiterung lokaler IT-Infrastruktur durch die Cloud vor. Zusätzlich wurde ein eigenes Ökosystem für gegründet: der Open Source Stack. Wann Dienste von Univention in der Cloud angeboten werden können, kann aber momentan nicht abgeschätzt werden.
Die DECOIT GmbH betreibt seit August 2011 bereits ein Forschungsprojekt mit dem Namen VISA (www.visa-project.de). Dieses Projekt sieht bereits Cloud-Computing-Ansätze vor, um KMUs den Einsatz virtueller Server- und Netzsysteme vereinfacht zu ermöglichen. Auch in diesem Projekt wurde bereits im Vorfeld klar, dass noch lange nicht alle Randbedingungen bedacht worden sind - besonders die Sicherheit.
