Das Netz ist voll mit spannenden Thesen zum Thema sichere Clouds. Beispiele? IONOS bietet „ein höheres Maß an Sicherheit“, weil man „die Infrastruktur der Private Cloud direkt vor Ort im Unternehmen“ hoste. HP stimmt ein: Die Private Cloud sei oft nur „einem einzelnen Mandanten […] zugewiesen“ und biete deshalb „mehr Möglichkeiten für Anpassung, Zugriff und Sicherheit“. Der Anbieter Max.IT ist noch klarer: „Das Maximum an Sicherheit bietet die Private Cloud“.
Die Public-Cloud-Anbieter sehen es anders. AWS etwa biete „die sicherste […] Cloud-Computing-Umgebung, die heute verfügbar ist“.
Die Frage lautet nun: Lassen sich Indizien finden, die für die überlegene Sicherheit einer der beiden Varianten sprechen?
IT, Cloud und Sicherheit - eine kurze Begriffsklärung
IT-Sicherheit ist der „Schutz von IT-Systemen vor Schäden und Bedrohungen.“ Dabei werden die Schutzziele Vertraulichkeit, Integrität und Verfügbarkeit verfolgt. Geschützt werden sollen Identitäten (also Benutzerkonten), Daten, IT-Software, IT-Hardware und Betriebsstätten.
Die große Herausforderung der IT-Sicherheit ist es, die Vielzahl von Einfallstoren in der IT-Wertschöpfungskette zu erkennen und zu schließen, bevor Cyberkriminelle sie zum eigenen Vorteil nutzen.
Private Cloud ist eine Cloud-Umgebung, die lediglich „einem einzelnen Kunden“ (IBM) gewidmet oder „nur für ausgewählte Nutzer“ (Microsoft) zugänglich ist. Die Public Cloud dagegen ist von jeder Organisation nutzbar und wird von „mehreren Unternehmen gemeinsam“ verwendet (VMware). Die Kunden nutzen somit die gleiche Hardware und werden mit Hilfe der Virtualisierungssoftware voneinander separiert.
Das Spannungsfeld in diesem Kontext lässt sich wie folgt zusammenfassen:
- Organisationen können eine Private Cloud vollständig auf ihre spezifischen Bedürfnisse ausrichten, müssen aber die volle finanzielle Last dieser Individualität tragen und sich um alle Details von Installation und Betrieb selbst kümmern. Sie sind also geneigt, in einigen sicherheitsrelevanten Bereichen Kompromisse einzugehen. Z.B. aufgrund fehlender Experten oder Herausforderungen bei der Finanzierung.
- Die Public Cloud dagegen befreit Organisationen von der Last der Investition und des Betriebs, führt aber zu einem Verlust an Kontrolle - auch über einige sicherheitsrelevante Details. Unternehmen müssen somit dem Cloud-Anbieter Vertrauen schenken oder bestimmte Kompromisse bezüglich Kontrolle eingehen.
Was bedeutet „sich um alle Details kümmern“?
Integrität und Verfügbarkeit einer IT-Software sicherzustellen, klingt nach einer überschaubaren Aufgabe. Der Blick auf die Details aber offenbart die Herausforderung: Jeder Router, jeder Switch, jeder Chip, jede Grafikkarte, jede weitere Hardware in der IT-Wertschöpfung bringt eingebettete Software mit sich. Jede dieser Komponenten kann Fehler enthalten und könnte einen Austausch, Updates oder Sicherheits-Patches benötigen.
Für das Zusammenspiel der Hardware und deren Virtualisierung im Sinne einer Cloud bedarf es vieler, weiterer Softwares für Installation, Deployment, Administration, Betrieb, Sicherheit, Provisionierung, Orchestrierung, Monitoring, Abrechnung, Dokumentation und Steuerung. Einige dieser Softwares erstellen Unternehmen selbst, andere sind Open Source oder kommen von kommerziellen Anbietern. Jede Softwares wiederum enthalten Sicherheitsprobleme und benötigen eingearbeitetes, verfügbares Personal, das sich um die Fehlerbeseitigung kümmert.
Jeder Tag, an dem eine Sicherheitslücke bekannt aber nicht behoben ist, ist ein Tag an dem ein Krimineller in die Cloud eindringen und Schaden anrichten kann. Ein Beispiel für ein solches Sicherheitsproblem ist die im Jahr 2021 entdeckte kritische Sicherheitslücke in Log4j. Die Nationale Agentur für Digitale Medizin (Gematik) etwa musste Teile ihrer Telematik-Infrastruktur vom Netz nehmen, weil sie hiervon betroffen war und nicht schnell genug Updates einspielen konnte.
Private und Public Cloud – Die Realität in Deutschland
Wie sieht eine typische Organisation in Deutschland aus, die eine Private Cloud betreibt? Der Bitkom hat dazu eine aufschlussreiche Studie erstellt. Er geht von insgesamt 90 sehr großen Rechenzentren aus und 3000 mittelgroßen aus. Weitere 47.000 Rechenzentren sind private Infrastrukturen in Serverräumen oder Server-Schränken (Seite 21). 67% dieser Infrastrukturen stellen eine Private Cloud bereit (Seite 30) und 87% beklagen sich über den Mangel an Fachkräften (Seite 27). Als Virtualisierungssoftware wird in Deutschland vornehmlich VMware (Marktanteil 61%) und Citrix (20%) eingesetzt.
Wie sieht ein typischer Public-Cloud-Betreiber aus? Die drei großen Anbieter AWS, Microsoft und Google kommen gemeinsam auf einen weltweiten Marktanteil von 61%. Der Marktführer AWS macht pro Quartal einen Gewinn von ~ US$ 5 Mrd. und betreibt aktuell 96 sogenannte Availability Zones, jede davon besteht aus mehreren Gross-Rechenzentren. Je Software-Service halten Cloud-Provider ein spezialisiertes, zentral organisiertes Team vor, das sich um die Gesundheit und Performanz genau dieser Leistung kümmert. Das Google-Team für Kubernetes alleine besteht aus 57 Mitarbeitenden an 3 Standorten. Microsoft hat Security zum Kerngeschäft erklärt, beschäftigt dort mehrere Tausend Mitarbeitende und erzielt jährlich mehr als US$ 15 Mrd. Umsatz. Insbesondere Google und Azure analysieren ihre Daten aus anderen Geschäftsbereichen wie Betriebssysteme und Endgeräte, um Identitätsmissbrauch früher und besser zu erkennen.
Die Realität der Clouds in Deutschland sieht somit wie folgt aus: Die typische Private Cloud ist klein bis mittelgroß und wird von wenig Mitarbeitenden betreut, die jeweils mehrere Services gleichzeitig betreuen. Die typische Public Cloud ist extrem gross und hat viele Mitarbeitende. Diese sind in Teams organisiert, welche auf einzelne Services spezialisiert sind.
Die Public Cloud hat einige systematische Vorteile
Die Vor- und Nachteile der Cloud-Typen lassen sich gut entlang der IT-Wertschöpfung darstellen:
Räumlicher Schutz – Vorteil für große Rechenzentren
Die grossen und nur für Rechenzentren konzipierten Gebäude der Public Clouds lassen sich besser vor Eindringlingen oder Gefahren schützen als einzelne Serverschränke und -Räume in Bürogebäuden der Private Clouds.
IT-Hardware – Einerseits/anderseits mit Vorteil für die Public Cloud
Einerseits können Private Clouds dedizierte Hardware für nur einen Kunden aufbauen und betreiben. Dies reduziert mögliche Probleme bei der softwarebasierten Mandantentrennung. Andererseits sind software-basierte Systeme weit ausgereift und seit Jahren erfolgreich und ohne bekannte Probleme im Einsatz. Für die Public Cloud spricht zudem, dass deren Betreiber aufgrund ihrer Marktmacht die Wertschöpfungskette der Hardware von Konzeption über Herstellung und Lieferung bis zur eingebetteten Software deutlich besser kontrollieren können.
IT-Software – Klarer Vorteil für die Public Cloud
Menge und Komplexität der in Rechenzentren zu betreibenden Software ist nicht zu unterschätzen. Selbst mittelgroße bis große Private-Cloud-Betreiber kommen an ihre Grenzen, wenn es darum geht, je Software eine ausreichende Anzahl von Spezialisten vorzuhalten, um alle Updates und Patches zeitnah einzuspielen. Viele große und IT-seitig kompetente Unternehmen wie Netflix, Siemens oder Zalando entscheiden sich daher, diese Komplexität an die Public Cloud auszulagern.
Daten – Einerseits/andererseits
Einerseits bietet die Public Cloud umfangreiche Services, um Kundendaten auf vielfältige Art und Weise zu verschlüsseln. Kaum eine Private Cloud bietet ihren Anwendern hier ein vergleichbares Portfolio. Andererseits unterliegen alle drei Public-Cloud-Anbieter dem amerikanischen Cloud Act. Dieser verpflichtet amerikanische IT-Dienstleister unter bestimmten Bedingungen Daten an US-amerikanische Behörden herauszugeben, auch wenn diese außerhalb der USA gespeichert sind. Zwar verschlüsseln Unternehmen ihre Daten meist in der Public Cloud, allerdings könnten die Hyperscaler ihre eigenen Verschlüsselungsmechanismen aushebeln und den Behörden dennoch Klardaten ausliefern. Denkbar ist zudem, dass die USA mit zunehmender Kompetenz im Quanten-Computing in Zukunft verschlüsselte Daten ohne Zutun der Provider decodieren können.
Beide Risiken können durch geeignetes Schlüsselmanagement sowie durch sogenannte Post-Quanten-Kryptographie reduziert werden, verlangen aber wiederum eigene Kompetenzen in der IT-Sicherheit.
Identitäten – Leichter Vorteil für die Public Cloud
Identitäten sind die Benutzerkonten, mit denen sich die Nutzer bei der Applikation anmelden können und Zugriff zu den gewünschten Funktionen und Daten erhalten. Die in deutschen Unternehmen am meisten verbreitete Technologie ist Active Directory (AD), beziehungsweise dessen Cloud-Variante Azure Active Directory (AAD), von Microsoft. Grundsätzlich sind diese in allen Clouds nutzbar. Mit steigender Komplexität der IT-Landschaft setzen Unternehmen meist mehrere Identity-Management-Lösungen ein, die dann aufwändig integriert und teilweise selbst betrieben werden. Beides ist für die meisten Organisationen häufig sicherer, wenn es an spezialisierte Anbieter ausgelagert wird.
Der Sicherheits-Wettlauf in der IT
Über die gesamte IT-Wertschöpfung betrachtet bieten beide Cloud-Varianten also Vor- und Nachteile. Der Fokus auf das Thema „Update-Geschwindigkeit“, ergibt ein klareres Bild.
Entscheidend für das schnelle Einspielen von Sicherheits-Patches sind folgende Punkte:
- Die Organisation hat ausreichend viele, auf den jeweiligen Service spezialisierte Mitarbeitende.
- Die Mitarbeitenden sind verfügbar und nicht in andere Aufgaben eingebunden.
- Das Wissen um die Notwendigkeit des Updates muss vorhanden sein.
- Der Patch selbst muss vorhanden sein.
- Die Updateprozesse sollten möglichst automatisiert über alle Infrastrukturen und Anwendungen erfolgen.
In allen Bereichen ist die Public Cloud klar im Vorteil. Aufgrund ihrer Größe und Profitabilität können Hyperscaler bessere Gehälter zahlen und haben Zugang zu mehr und besseren Experten. Sie können dedizierte Teams je Service aufbauen und sich Sicherheitsabteilungen leisten, welche die aktuellen Sicherheitsinformationen kennen. Sie können Patches mitunter selbst erstellen oder haben bevorzugten Zugang zu diesen. Die Updateprozesse sind hochgradig automatisiert.
Im Wettlauf zwischen Kriminellen und Cloud-Betreibern gehören mitunter auch Public Clouds zu den Verlierern. Im Vergleich zu Private Clouds von kleineren Betreibern aber sind sie dennoch praktisch immer im Vorteil.
Fazit – Im Zweifel ist die Public Cloud sicherer als die Private Cloud
Grundsätzlich können Public und Private Cloud gleichermaßen sicher oder unsicher sein.
Im Standard bietet die Public Cloud ein höheres Sicherheitslevel als die meisten Private Clouds. Aufgrund ihrer Größe und der skalierenden Natur von IT können Public Clouds ihre Wertschöpfung besser kontrollieren, schneller Updates einspielen und mehr Sicherheitsvorkehrungen auf allen Ebenen einrichten.
Mit klaren Zielen und viel Aufwand, können einzelne Private Clouds höhere Sicherheitslevels erreichen. Gibt es etwa spezifische Schutzziele (z.B. Absicherung gegen bestimmte Geheimdienste) kombiniert mit eingeschränkten Leistungsbedarfen, können Organisationen Private Clouds aufbauen, welche die Sicherheits-Levels der Public Cloud übertreffen.
Dieser Artikel wurde mit Unterstützung von Gregor Schumacher und Andreas Tamm erstellt.
