Identity Management macht Cloud Computing sicher

Big DataData & StorageKarriereNetzwerkePolitikRechtSicherheitSicherheitsmanagement

Die letzten Fälle von Datenklau wie wie auch das Ausspionieren persönlicher Daten lassen erneut Zweifel an der Sicherheit von Cloud-Umgebungen aufkommen. Mit diesen und weiteren aktuellen Themen beschäftigten sich IT-Experten und Analysten auf der European Identity Conference (EIC) & Cloud 2011 in der vergangenen Woche.

Erstmals fand die European Identity Conference (EIC) & Cloud 2011 in Unterschleißheim bei München statt. Im Ballhausforum gaben sich  IT-Entscheider, CIOs, Software-Entwickler sowie Analysten und IT-Experten ein Stelldichein zum viertätigen Wissensaustausch. In der zum 5. Mal stattfindenden Jahresveranstaltung von KuppingerCole gab es an die 20 Keynotes und 50 Workshops. Hier wurden die neuesten Entwicklungen und Konzepte bei den Themen Identity Management, Governance, Risk Management und Compliance (GRC) sowie Service-orientierte Architektur (SOA) – sowohl in klassischen Umgebungen wie auch in der Private, Public und Hybrid Cloud präsentiert. Angesichts der jüngsten Datenskandale und gefährlicher Malware wie Stuxnet verwundert es nicht, dass bei vielen Vorträgen auch Cloud Security und Information Security angesprochen wurden.

Experton Group Cloud Wachstum
Laut den Prognosen der Experton Group steigt das Investitionsvolumen für Cloud-Technologien 2011 in Deutschland auf über 670 Millionen Euro. (Grafik: Experton Group)

Da stellt sich die Frage, ob es in der Cloud überhaupt sichere Umgebungen geben kann. Die klare Botschaft, die von vielen Expertenvorträgen ausging: die Sicherheit der persönlichen Daten bei Online-Angeboten muss stets im Vodergrund stehen. Stellt sich laut Tim Cole nur die Frage, ob sich durch Cloud Computing das ganze Spiel ändern könnte. Ein Weg zurück zum Zustand vor der Cloud wird von den Analysten ausgeschlossen. Viel zu stark hat sich zwischenzeitlich schon Cloud Computing verbreitet. Nach Meinung von Martin Kuppinger wird Cloud Computing jedoch die Bedingungen für das IT-Management stark verändern.

Cloud Services müssen europäische Compliance erfüllen

Prof. Dr. Friedrich Holl, Senior Analyst bei KuppingerCole, stellte in seiner Keynote die Frage, ob Clouds von Europa aus legal betrieben werden. Dies hänge von der Position ab. Anbieter wie Amazon wollen sich von US-amerikanischen Rechenzentren und deren weicher Auslegung von Datensicherheit frei machen und etablieren nun in Europa (in diesem Fall Dublin) neue Rechenzentren für Cloud-Anwendungen, die die strengeren Compliance-Richtlinien erfüllen. Wie Prof. Holl mehrfach verdeutlicht, achten die meisten Anbieter darauf, in ihren SLAs keine Garantie von Datensicherheit zu geben.

Auf die Frage von Tim Cole, was die wichtigsten drei Kriterien für Anwender zur Umsetzung einer perfekten Datensicherheit sind, gab Prof. Holl zur Antwort: Datensicherheit an erster Stelle, an zweiter Stelle ein holistisches Sicherheitskonzept für Cloud und drittens den Betreiber genau anschauen.

EIC Dloud 2011
Maurizio Griva von Reply stellte in seiner Keynote die aktuellen Cloud-Modelle Public, Private und Hybrid vor.

Maurizio Griva von Reply S.p.A. stellte anhand zweier Beispiele vor, wie man Enterprise-Anwendungen in die Cloud bringen kann: Zum einen mit der Public Cloud, zum anderen mit der Private-Cloud-Plattform. Globale Spieler überdenken ihre Prozesse und Systeme, Applikationen und Plattformen, um diese zu reorganisieren. Die Cloud sieht Riva als Architekturbrücke. Schwerpunkt liegt auf der Infrastructure as a Service (IaaS), wie sie Amazon mit seinen Web Services anbietet. Weitere standardisierte Anwendungen sind Plattform as a Service wie von Google und Software as a Service wie Oracle CRM on Demand

Als Delivery-Modelle kommen generell Public und Private Cloud in Frage, in den Bereichen SaaS, PaaS, IaaS, jeweils mit eigenen Vor- und Nachteilen. Public-Cloud-Lösungen lassen sich schnell implementieren und sind preisgünstig. Private-Cloud-Umgebungen bedürfen hingegen einer aufwendigeren Integration. Die hohe Abhängigkeit von Cloud-Technologien erfordert auch tiefes Verständnis der Anwendungen. Cloud Computing kann zudem immer nur so sicher wie die Anwendungen selbst. Eine Performance-Kontrolle können Anwender mithilfe von SLA-Vereinbarungen erreichen.

In einem Gespräch mit Tim Cole ging Kim Cameron, Urheber der »Laws of Identity« und Identity Architect bei Microsoft, der Frage nach: Wo trifft man Identitäten in Cloud-Umgebungen an? Zur Gesprächsrunde kam dann noch Drummond Reed von Connect.Me, einem Anbieter von Services im Social Web. Reed stellt die Respect Trust-Offensive vor. Hierbei sind vor allem die Stichworte Promission, Protection und Portability wichtig. Cameron erklärte hierzu: »Wenn Du erster bist, willst Du diese Punkte alle nicht, wenn Du zweiter bist, willst Du das umsetzen. Welches Unternehmen will schon Anwalt für die Anwender sein?«

EIC Cloud 2011
Kim Cameron, Urheber der Gesetze der Identität, auf der EIC & Cloud 2011 im Gespräch mit Tim Cole.

Jackson Shaw, Active Directory und Identity Management Expert bei Quest Software, kündigte seinen Vortrag damit an, dass die Wälder hübsch, dunkel und tief seien, aber er habe ein Versprechen zu halten und würde Meilen laufen, bevor er schlafen gehen würde. In seiner Zeitreise ging er 20 Jahre zurück: 3Com, Novell, Microsoft who?, E-Mail: X.400 und SMTP, Protokolle: OSI, TCP/IP,Tokenring, Sicherheit. RSA/OTP. 1999: Identity Management: Synochronisation der E-Mail-Adressen, RSA/OTP, das Jahr der PKI, Identity Lifecycle Management. 2011: Novell von Attachmate übernommen, Networking: Microsoft, Active Directory, LDAP, Sicherheit: OTP, PKI, TPM. In 10 Jahren: Mobile Computing ist stark verbreitet, 1 Milliarde neue mobile Geräte werden vorhanen sein.

Immer beliebter: »Bring your own Device!«

Im Vortrag von Jörg Asma, Partner bei KPMG, ging es um die Zukunft der Sicherheit. So würden Public Cloud Services und deren Nutzung stark ansteigen. Ein weiterer Trend: »Bring your own Device!« (BYOD). Laut IDC geben 95 Prozent der befragten Mitarbeiter, dass sie mindestens ein privates Gerät auch für geschäftliche Zwecke nutzen. Auch 2011 wird dies ein ganz heißes Thema für IT-Abteilungen sein. Wird Facebook das künftige Identity Management Tool sein? Wird unsere IT-Ausstattung von den Unternehmen gestellt? Welche Informationen werden in Cloud Services gespeichert?

EIC Cloud 2011
Henk van der Heijden von CA Technologies sieht in der IT-Perimeterisierung und Consumerisation der IT die derzeit wichtigsten Trends.

Henk van der Heijden, VP Solution Sales Security bei CA Technologies thematisierte das Thema Risiko-basierte Authentifizierung und Zugangskontrolle. Die Ansprüche an die Authentifizierung und Zugangs-Kontrolle seien ganz verschieden und abhängig vom jeweiligen Anwendungsfall. Grundsätzlich bestehe die Sicherheit aus zwei verschiedenen Stufen: Unsichtbare Authentifizierung, die sicherer und einfacher sei als ein Passwort. Sehr starke Authentifizierung,  die auch sichere Transaktionen mit einem unsicheren Gerät ermögliche.