Chancen und Risiken von Cloud-Speicherdiensten

Der Verlust von Daten kann für Unternehmen erheblich Konsequenzen haben, sowohl in wirtschaftlicher als auch in rechtlicher Hinsicht. Jedes Unternehmen betreibt aus diesem Grunde eine Backup-Lösung. Problematisch ist es, wenn Backup und Original gemeinsam aufbewahrt werden, und dadurch bei einem Brand oder bei Diebstahl gemeinsam verloren gehen können.

Cloud-Speicherdienste wie sie von Dropbox, Amazon, T-Systems und vielen anderen Anbietern zur Verfügung gestellt werden, stellen Speicher in der Cloud bereit, der sehr gut geeignet ist, ein Backup abzulegen. Auch ein Fileserver, der seine Daten in der Cloud ablegt, kann auf Basis dieser Dienste gut umgesetzt werden.

Durch die oftmals günstigen Preise können Unternehmen die eigenen IT-Kosten deutlich reduzieren. Dennoch zögern viele Firmen mit dem Schritt in die Cloud. Untersuchungen zeigen, dass dabei im Wesentlichen diese fünf Punkte Anlass zur Sorge geben:

  1. Vertraulichkeit: Bei den zu speichernden Daten kann es sich um die finanzielle Situation des Unternehmens handeln, um Forschungsergebnisse oder auch Kundendaten. Eine widerrechtliche Offenlegung solcher Daten kann für ein Unternehmen existenzbedrohend sein.
  2. Bindung an den Cloud-Anbieter: Die Kündigungsfristen der Anbieter sind oftmals moderat, dennoch fürchten viele Unternehmen, sich langfristig an einen Anbieter zu binden, denn für die Anbindung an die Cloud sind proprietäre Schnittstellen zu bedienen. Weiterhin ist zu bedenken, dass der Transport aller Daten von einem Anbieter zu einem anderen eine erhebliche Zeit in Anspruch nehmen kann.
  3. Verfügbarkeit: Die meisten Cloud-Anbieter bieten ein wählbares Maß an Verfügbarkeit an. In den Geschäftsbedingungen wird festgelegt, wie zu verfahren ist, wenn die zugesagte Verfügbarkeit nicht eingehalten wird. Meistens werden in einem solchen Fall die Kosten reduziert. Der Schaden des Unternehmens durch Nichtverfügbarkeit der Daten kann aber um ein Vielfaches höher sein.
  4. Ordnungsmäßigkeit (Compliance): Gesetzliche Anforderungen zur Aufbewahrung personenbezogener Daten kommen im Wesentlichen aus dem Bundesdatenschutzgesetz. Darüber hinaus gibt es Insbesondere für fiskalische Unterlagen eine Reihe von Gesetzen, die ebenfalls zu beachten sind. Das Handelsrecht beispielsweise legt fest, dass Buchungsbelege im Inland aufzubewahren sind.
  5. Kontrolle: Wer Daten seiner lokalen IT-Abteilung vor Ort anvertraut, kann sich von den dort vorhanden Maßnahmen und der Zuverlässigkeit des Personals unmittelbar überzeugen. Bei Nutzung von Cloud-Speicherdiensten ist dies in der Regel nicht möglich, da die Daten möglicherweise auf viele Standorte verteilt sind.

Die Software OmniCloud ist entstanden, um diesen Befürchtungen entgegenzuwirken.

Reduktion der Risiken von Cloud-Speicherdiensten durch ­OmniCloud

OmniCloud implementiert einen Fileserver, der im Intranet des nutzenden Unternehmens betrieben wird (s. Abb.). Aus Sicht der Applikationen erscheint ­OmniCloud wie ein Netzlaufwerk. OmniCloud verschlüsselt, für die Nutzer unmerklich, alle Daten, die auf dieses Laufwerk geschrieben werden, und legt sie in der Cloud ab. Die Schlüssel verbleiben dabei in der Datenbank von OmniCloud, die selber in verschlüsselter Form automatisch in die Cloud kopiert wird. Starke Kryptographie ist das wirksamste Mittel, um Vertraulichkeit (Punkt 1) zu gewährleisten.

Bei welchem Cloud-Speicherdienst OmniCloud die Daten ablegt, ist frei konfigurierbar. Die proprietären Schnittstellen der größten Anbieter sind OmniCloud bekannt. Für die Integration weiterer Anbieter existiert eine offene Programmierschnittstelle. Das erleichtert den Wechsel von Anbieter A zu Anbieter B.

Es verbleibt jedoch das Problem des Datentransports von A nach B. Bei einem Volumen von 500 GByte würde bei einer üblichen DSL 16 000-Leitung der Transport der Daten von A in das eigene Unternehmen und von dort nach B rund sieben Wochen beanspruchen. Um diese Zeit zu verkürzen, bietet OmniCloud einen „Umzugsdienst“ an, der die Daten über die sehr breitbandigen Leitungen transportiert, welche die Cloud-Anbieter untereinander benutzen. OmniCloud präpariert dazu eine virtuelle Maschine und lädt sie zu einem Computing-Cloud-Anbieter hoch, der die Maschine ausführt. Der Programmcode der Maschine enthält ein Kopierprogramm, welches in Kenntnis der unterschiedlichen Programmierschnittstellen der Anbieter die verschlüsselten Daten von Anbieter A zu Anbieter B kopiert. Auf diese Weise wird die Kopierzeit auf einen Bruchteil reduziert. Die Abstraktion der Anbieterschnittstelle und der Umzugsdienst wirken gegen die Anbieter-Bindung (Punkt 2).

OmniCloud kann so konfiguriert werden, dass mehrere Cloud-Speicherdienste gleichzeitig benutzt werden können. Wie bei lokalen Festplatten, die in einem RAID-Verbund (Redundant Array of Independent Disks) zusammenarbeiten, kann dabei festgelegt werden, wie viele Speicherdienste für eine vollständige Rekonstruktion zugreifbar sein müssen. Dadurch steigt die Verfügbarkeit (Punkt 3) deutlich an, insbesondere ist sie nicht an einen einzigen Anbieter gebunden, um den Preis eines erhöhten Speicherbedarfs.

Ganz unabhängig von der Nutzung redundanter Cloud-Speicherdienste reduziert OmniCloud das benötigte Speichervolumen durch die Erkennung mehrfach vorhandener Dateien. Bei solchen Dateien wird immer nur eine Kopie in der Cloud abgelegt, ohne dass auf der Anwendungsseite davon etwas zu bemerken ist.

Dieses als „Deduplikation“ bezeichnete Verfahren ist schon sehr lange bekannt und führt zu einer deutlichen Reduktion des Speichervolumens. In der Literatur werden Einsparungen von 80 % bis 90 % genannt. Praktisch ermittelte, belastbare Zahlen von OmniCloud liegen noch nicht vor, aber ein Einsparpotenzial von 50 % oder mehr erscheint wahrscheinlich.

Es verbleiben die Punkte Ordnungsmäßigkeit (Punkt 4) und Kontrolle (Punkt 5). Ordnungsmäßigkeit lässt sich durch technische Maßnahmen allein nicht herstellen, da hierbei in Abhängigkeit von der Natur der Daten komplexe Gesetzeswerke zu berücksichtigen sind.

Kontrollverlust (Punkt 5) ist inhärent für Cloud-Computing. In Zukunft wird man vermutlich Mechanismen haben, um die korrekte Arbeit des Cloud-Anbieters überprüfen zu können, ohne das eine Vor-Ort-Anwesenheit erforderlich ist. Einen gewissen Kontrollverlust wird man aber immer hinnehmen müssen.

Zusammenfassung

OmniCloud macht jeden Speicherdienst durch Verschlüsselung sicher, verhindert die Anbieterbindung durch einen Umzugsdienst und erhöht die Verfügbarkeit durch eine konfigurierbare Redundanz aus mehreren Cloud-Speicherdiensten. Somit ergreift ­OmniCloud technische Maßnahmen, um die wirtschaftlich vorteilhafte Nutzung von Cloud-Speicherdiensten zu ermöglichen. Dabei reduziert OmniCloud durch Deduplikation die Kosten, die an den Cloud-Speicherdienst zu entrichten sind.

OmniCloud wurde im Rahmen des Deutschen IT-Sicherheitspreises 2012 mit einem ersten Platz ausgezeichnet.

Aufmacherbild: OmniCloud-Architektur. (Bild: Fraunhofer SIT)

Michael Herfert

Anschrift des Verfassers:

Herfert-PortraetMichael Herfert
Fraunhofer-Institut für Sichere Informationstechnologie SIT
Rheinstraße 75
64295 Darmstadt
Tel.: 06151/869-329

geb. am 24. September 1965 in Marburg/Lahn
Informatik-Studium in Kaisers­lautern
Seit 1995: Tätigkeit für die Fraunhofer-Gesellschaft im Institut für Sichere Informa­tionstechnologie
Seit 2000: Übernahme der Leitung der Forschungsabteilung, mit heutigem Titel „Cloud Computing, Identity & Privacy“; Forschungsschwerpunkte: Praktische Sicherheit im Cloud-Computing, ­Technischer Datenschutz
Frühjahr 2012: Veröffentlichung einer Studie zur Sicherheit von Cloud-Speicherdiensten
November 2012: Auszeichnung des von ihm geleiteten Teams für die Arbeiten an der Sicherheitssoftware OmniCloud mit dem deutschen IT-Sicherheitspreis (1. Platz) der Horst-Görtz-Stiftung