Souveräne Cloud-Nutzung

Um zu verstehen, was souveräne Cloud-Nutzung ist, gibt dieser Artikel zunächst einige Hintergrundinformationen zum Thema Cloud, danach geht er auf Grundprinzipien der Souveränität und einer souveränen Cloud-Nutzung ein und zeigt auf, was das in der Praxis bedeutet.

Cloud

Cloud-Computing ist ein Modell, das es ermöglicht bei Bedarf, jederzeit und überall bequem über ein Netz auf einen geteilten Pool von konfigurierbaren Rechnerressourcen (z. B. Netze, Server, Speichersysteme, Anwendungen und Dienste) zuzugreifen, die schnell und mit minimalem Managementaufwand oder geringer Serviceprovider-Interaktion zur Verfügung gestellt werden können. (1)

Diese Definition hat das BSI (Bundesamt für Sicherheit in der Informationstechnik) herausgegeben. Cloud ist demnach ein Rechenmodell, ausgezeichnet durch einige Charakteristika: Cloud, insbesondere wenn das Thema Sicherheit praktisch und pragmatisch betrachtet wird, sind Computer bzw. Rechner, die von jemand anderem, Dritten bereitgestellt und betrieben werden, mit dem der Cloud-Nutzer eine bestimmte Beziehung bzw. einen Rahmenvertrag hat. In dem Sinne ist Cloud-Computing ein Modell, das ermöglicht, bei Bedarf jederzeit von überall bequem über ein Netz, z. B. das Internet, auf diese Rechner zugreifen zu können. Warum ist Cloud in den letzten zehn Jahren so groß geworden? Warum ist Cloud heutzutage überhaupt möglich? Die Antwort liegt in der Entwicklung von Netzwerken, dass es möglich ist, über Netzwerke große Datenmengen sicher hin und her zu schicken.

Über dieses Netzwerk greift der Nutzer auf einen geteilten Pool zu, eine geteilte Menge an konfigurierbaren Ressourcen. Geteilt bedeutet an dieser Stelle je nachdem, welches Modell genutzt wird, dass die angebotenen Dienste mit verschiedenen Nutzern geteilt werden. Solche Dienste können Netze, Server, Speichersysteme etc. sein. Und es besteht auch die Möglichkeit, das je nach Bedarf zu konfigurieren, also nur bestimmte Dienste oder Angebote zu nutzen und an die jeweiligen Anforderungen anzupassen.

Außerdem besagt die oben genannte Definition, dass Cloud für den Nutzer den Managementaufwand deutlich reduziert, vieles sollte automatisiert ablaufen, und sogar die Interaktion mit dem Service-Provider wird auf ein Minimum reduziert.

Cloud-Modelle

Die unterste Ebene der Cloud bildet die Infrastruktur- Ebene (Abb. 1), die als Infrastructure as a Service angeboten wird. Diese bietet Rechenleistung, Datenspeicher und Netzwerk als Dienst an. Ein Cloud-Kunde mietet diese als virtualisierte und im hohen Maß standardisierte Dienste. Gerade bei den großen Hypescalern oder Public-Cloud-Anbietern gibt es wenig Konfigurationsmöglichkeiten. Es ist nur möglich, definierte Dienste und Pakete aus Rechenleistung, Arbeitsspeicher, Datenspeicher etc. anzumieten. Auf dieser Ebene hat aber der Kunde die Möglichkeit, sein eigenes Betriebssystem, eigene Anwendungen zu installieren und somit die Kontrolle über Apps und Datenbanken zu behalten. Die Verantwortung der Pflege dessen liegt aber auch bei den Kunden. Im Allgemeinen kann ein Kunde nur eine Region wählen, aber nicht das genaue Rechenzentrum oder einen bestimmten Typen von Hardware etc. Die darunter liegenden Schichten, wie eben Hardware oder auch wo das Rechenzentrum physikalisch ist, wer sich um die physischen Zugriffe kümmert bzw. physischen Zugang zu diesem Rechenzentrum hat, liegen außerhalb der Nutzerkontrolle. Daraus ergeben sich eventuell folgende Fragen, die der Anbieter beantworten muss: Gibt es eine Notfallmanagement-Strategie? Das heißt, wenn ein Rechenzentrum aus bestimmten Gründen, sei es eine Naturkatastrophe, wie Erdbeben, Überschwemmungen etc. nicht mehr erreichbar ist oder die Technik oder die Hardware kaputt ist, was passiert dann? Wie sieht es aus mit den Daten?

Die nächste Ebene ist Platform as a Service. Hierbei bietet der Provider eine gesamte Plattform mit standardisierten Schnittstellen und Bibliotheken an, die der Kunde nutzen und auch seinen Kunden anbieten kann. Auch hier kann der Kunde diese Plattform bis zu einem gewissen Grad konfigurieren, das heißt, als Kunde hat man zwar keinen Zugriff auf die Schichten, die darunter liegen, bspw. bietet ein Plattform-Anbieter nur bestimmte Betriebssysteme an, aber man kann auf der Plattform Software entwickeln, Datenbanken oder Bibliotheken nutzen, um eigene Anwendungen weiterzuentwickeln oder zu betreiben. Mehr kann man hier an dieser Stelle aber nicht tun.

Die meisten kennen die letzte Ebene: Software as a Services, z.B. wenn Sie Ihre privaten E-Mail-Anbieter nutzen bei bspw. Microsoft oder Google. Das sind typische Software as a Service Angebote von diesen zwei Hyperscalern. Kunden wählen aus der angebotenen Software-Palette diejenige aus, die sie nutzen wollen und rechnen die Bereitstellung der Anwendungen z. B. monatlich beim Anbieter ab. Hier hat man noch weniger Konfigurationsmöglichkeiten, außer bestimmte wie Zugangsdaten, die man festlegt für Nutzer etc. Alle andere Funktionalitäten sind schon vom Anbieter vorgegeben.

Dies wird noch einmal klarer, wenn das Thema Verantwortlichkeit betrachtet wird, diese Verantwortlichkeiten beziehen sich nicht nur auf Software oder Plattformen, sondern betreffen auch Datenschutz und Sicherheit. In der Abbildung 2 werden die unterschiedlichen Verantwortlichkeiten des Anbieters und des Cloud-Nutzers gezeigt: Im eigenen Rechenzentrum hat der Nutzer die vollständige Verantwortlichkeit über Hardware, Software, Tools, Daten, Datenschutz und Sicherheitsmaßnahmen. Je nach Dienst-Modell, das er nutzt, gibt er Verantwortlichkeiten an den Anbieter ab, bis hin zur fast vollständigen Delegierung der Verantwortlichkeiten auch bezüglich Datenschutzes und Sicherheit.

Sichere Cloud?

An dieser Stelle muss man sich die Frage stellen: Ist eine Cloud sicherer als das eigene Rechenzentrum? Um diese Frage beantworten zu können, bietet es sich an, zuerst die Karten offen zu legen: Was haben wir, was machen wir selbst, welche Prozesse haben wir etabliert, welche Maßnahmen haben wir schon identifiziert? Wie sieht es aus mit unserem Risikomanagement? Jeweils angefangen ab der Ebene, bei dem die eigene Verantwortung anfängt, die im eigenen Rechenzentrum umfassend ist. Natürlich bietet auch jeder Cloud-Anbieter Sicherheitsmaßnahmen an. Der Kunde muss also für sich abwägen, was er leisten kann und will und was ein Anbieter bietet. Nur so lässt sich irgendwann identifizieren, ob man tatsächlich im eigenen Rechenzentrum sicherer ist als bei einem Cloud-Anbieter.

Im eigenen Rechenzentrum ist der Nutzer für alles selbst verantwortlich, für das gesamte System, für den Datenschutz und auch für die Sicherheit, auch bei Sicherheitsvorfällen. Wenn aber unbedingt Prinzipien implementiert werden müssen, wie Security by Design oder Security in Depth, Usable Security, muss auch benutzbare Sicherheit in Betracht gezogen werden, weil klar ist, dass die meisten Mitarbeiter nicht den Fokus darauf legen, Sicherheit zu gewährleisten, sondern es deren Ziel ist, ihre alltäglichen Aufgaben für die Arbeit zu erledigen. Also müssen andere Möglichkeiten, die Sicherheit zu gewährleisten, gefunden werden. Diese Mitarbeiter sind ja keine Sicherheitsexperten, sondern Benutzer der IT, als solche müssen sie unterstützt werden, sei es durch Awareness(-Schulungen) oder auch durch Einsatz von Tools. Je nachdem, welches der Cloud-Modelle genutzt wird, gibt der Nutzer auch Risiken an den jeweiligen Anbieter ab, dieser ist für die gebuchten Services verantwortlich, auch für eventuelle Sicherheitsvorfälle und den Schutz der Daten.

Souveräne Cloud

Gerade das Thema Datenschutz hat in Europa eine hohe Priorität und wurde entsprechend auch in den Gesetzen und Vorschriften verankert. Das zwingt Cloud-Anbieter in Europa dazu, ihre Angebote nach diesen Gesetzen zu gestalten.

Was bedeutet in diesem Zusammenhang Souveräne Cloud? Gerade die Fragen zum Datenschutz sind wichtige Motivationen, warum die Idee der Souveränen Cloud entstanden ist. Und die Idee ist, dass man als Kunde die Vorteile nutzen können sollte, die ein Cloud-Modell anbietet, ohne die gesamte Verantwortlichkeit zu übernehmen, weil das bedeutet, dass der Cloud-Nutzer alle diese Herausforderungen zu meistern hätte. Aber dennoch Kontrolle über die eigenen Daten und deren Schutz behält.

Ein weiterer Aspekt der souveränen Cloud ist der sogenannte Vendor-Lockin. Wenn ein Kunde seine gesamte Arbeit bei einem Cloud-Anbieter abwickelt, besteht die Gefahr, dass er dort stecken bleibt. Je höher er in der Pyramide steigt, also je mehr Verantwortung er an den Cloud-Anbieter abgibt, desto größer ist die Wahrscheinlichkeit des Steckenbleibens. Ein Anbieterwechsel wird, je mehr Dienste ein Kunde nutzt, teuer, aufwendig und in einigen Fällen nahezu unmöglich, wenn bspw. die Kundendaten über anbieterspezifische Software verarbeitet werden, die es so in anderen Umgebungen nicht gibt. In einer souveränen Cloud gibt es diesen Lockin-Effekt nicht, sie können alle Vorteile von Cloud, auch angebotene Dienste nutzen, aber dennoch bei Bedarf den Anbieter oder die Cloud-Umgebung wechseln.

Grundlage einer souveränen Cloud ist die digitale Souveränität: Digitale Souveränität beschreibt die Fähigkeiten und Möglichkeiten von Individuen und Institutionen, ihre Rolle(n) [also ihre Arbeitsprozesse] in der digitalen Welt selbstständig, selbstbestimmt und sicher ausüben zu können. (2)

Selbständig könnte man als das Selbst-Services-Konzept verstehen. Das bieten auch die öffentlichen Cloud-Anbieter an, also die unterste Ebene des Cloud-Modells (Abb. 1). Anders ist es bei den Stichworten selbstbestimmt und sicher. Das sind die zwei Eigenschaften, die souveräne Cloud-Nutzung motivieren. Dazu muss die Verarbeitung der notwendigen Daten durch zeitgemäße, funktionale und vertrauenswürdige Informationstechnologien gewährleistet werden. Es müssen alle funktionalen und nicht-funktionalen Anforderung identifiziert und erfüllt werden. Dafür bedarf es einer Transformation, nicht nur in der Informationstechnologie, sondern auch im Mindset. Die Transformation der IT von einer traditionellen IT hin zu einer Dienst-getriebenen IT (IT als utility) hat auch eine mentale oder emotionale Ebene, die beachtet und auch transformiert werden muss.

Das Ziel sollte es sein, sich unabhängiger von einzelnen Anbietern und Produkten zu machen, dass man transparente Zuverlässigkeit hat, dass man Anbieter und Komponenten austauschen kann. Natürlich soll man die Vorteile eines Anbieters für die eigenen Prozesse nutzen können, seien das Sicherheitsprozesse, Betriebsprozesse, aber auch Datenschutzprozesse, ohne in einen Vendor-Lockin zu geraten.

Hierfür bietet die digitale Souveränität Alternativen. Das ist das Ziel, Alternativen zu schaffen, um offen und wettbewerbsfähig zu sein im Markt und das alles zu unterstützen und zu gestalten. Aus diesem Ansatz der digitalen Souveränität entsteht auch die souveräne Cloud-Nutzung.

Souveräne Cloud-Nutzung oder Cloud-Souveränität in der Praxis

Es gibt und gab schon Ansätze für eine souveräne Cloud in Deutschland, zum Beispiel hat das die Deutsche Telekom schon mit Microsoft zusammen versucht. Die Zusammenarbeit mit Microsoft, um Rechenzentren in Deutschland in deren Azure Cloud zu betreiben, ist leider nicht zu einem Erfolg geworden.

Aktuell arbeitet die Deutsche Telekom, bzw. T-Systems mit Google zusammen. Sie haben folgendes definiert, was eine souveräne Cloud in der Praxis sein soll: Zunächst einmal bietet sie Datensouveränität, das heißt, man hat Kontrolle über die Verschlüsselung und Datenzugriffe Aber deckt das den Begriff „Datensouveränität“ wirklich ab? Was bedeutet bspw. Verschlüsselung? Daten werden irgendwo verschlüsselt gespeichert, in einem Speicher, während sie nicht verwendet werden, bekannt als Encryption at Rest. Oder die Daten sind verschlüsselt, während sie transportiert werden vom System A in das System B, oder sogar auch, während sie verarbeitet werden. Alle diese unterschiedlichen Varianten von Verschlüsselung und Möglichkeiten muss man sich bewusst machen und dann auch eine informierte Entscheidung treffen, was für den konkreten Fall eines Kunden Datensouveränität ist.

Die nächste Voraussetzung für Cloud-Souveränität in der Praxis ist die operationelle Souveränität. Das ist die Transparenz und Kontrolle über die Vorgänge eines Dienst-Anbieters, das heißt, der Kunde hat immer eine Übersicht über die unterschiedlichen Prozesse, die ein Cloud-Anbieter hat. Das ist in der Praxis nicht so einfach, denn die betriebliche Souveränität hängt ja bis zu einem gewissen Grad vom Cloud-Modell ab und von den geteilten Verantwortlichkeiten, diese bleiben natürlich bestehen.

Als letzten Punkt nennen T-Systems und Google Software-Souveränität, das bedeutet die Möglichkeit, Anwendungen, Workloads (Arbeitspakete), die in der Cloud ausgeführt werden, können von einem Anbieter zum nächsten verlagert werden, bspw. weil der gerade günstiger ist. Das sollte transparent gehen und ohne Bindung an einen Cloud-Anbieter.

Für mich persönlich wäre dies eher Plattform-Unabhängigkeit oder Anbieterunabhängigkeit als eine Software-Unabhängigkeit, aber Software-Unabhängigkeit oder -Souveränität als Begriff ist auch in Ordnung, solange man versteht, worum es tatsächlich geht. Für mich gibt es aber noch mehr Grundprinzipien einer souveränen Cloud.

Grundprinzipien einer souveränen Cloud

Beginnend mit der genannten Plattform- oder Cloud-Unabhängigkeit, also genau diese Transparenz, dass man von einem Anbieter zum nächsten wechseln kann, ohne dass bestimmte Zeiten in Anspruch genommen werden, ohne dass es zusätzliche Kosten gibt, die irgendwo versteckt werden.

Geteiltes Wissen ist das nächste Grundprinzip. Wenn man bspw. Sicherheit oder Cybersicherheit im Allgemeinen als Kultur betrachtet, wie zum Beispiel Sicherheit in der Luft- und Raumfahrt. Das Flugzeug ist das sicherste Verkehrsmittel der Welt, weil sich von Anfang an eine offene Mentalität etabliert hat. Das heißt, man ist offen mit Fehler umgegangen, man hat das Wissen vom Anfang an geteilt, man hat aus den Fehlern anderer gelernt, diese zu vermeiden, und das hat dazu geführt, dass das Flugzeug eines der sichersten Verkehrsmittel ist. Anders hat sich das in den ersten Jahren in der IT verhalten, die Software wurde immer unter Verschluss gehalten. Heutzutage verändert es sich, insbesondere mit dem exponentiellen Wachstum von Open-Source Software und mit dem Thema Cybersicherheit, insbesondere auch Cyberkrieg, ist geteiltes Wissen ein Element, was wir nicht vernachlässigen, sondern nutzen sollten.

Datenhoheit, das bedeutet, Daten, die erzeugt, die verarbeitet, die gespeichert werden, sollten jederzeit in der Kontrolle des Eigentümers bleiben und Entscheidungen über diese Daten sollten jederzeit möglich sein: Was kann oder darf mit diesen Daten passieren?

Transparenz oder transparente Umsetzung von bestimmten Maßnahmen oder Schnittstellen ist ein weiteres Grundprinzip. Auch hier kommen sogenannte Open-Source basierte Technologien ins Spiel.

Hier an dieser Stelle möchte ich nochmal betonen: Es bedeutet nicht notwendigerweise, dass, wenn wir über Open-Source sprechen, wir auf jeden Fall eine höhere Sicherheit haben. Open-Source bietet uns nur die Möglichkeit, dass der Quellcode, der geschrieben wird, sei es für eine Infrastruktur, für eine Plattform oder für eine Anwendung, offen ist, dass dieser dem Offenheits-Prinzip entspricht und dass dann mehrere Experten draufschauen und bestimmte potenzielle Risiken schon erkennen können, bevor diese verwendet bzw. ausgenutzt werden können. Es bedeutet aber nicht per se höhere Sicherheit, denn solange diese Prozesse nicht stattfinden, solange da niemand drauf schaut und niemand sich darum kümmert, dass da bestimmte Prozesse oder Tools verwendet werden, bspw. CI/CD-Pipelines oder generell Automatisierung, solange all das nicht Teil der Software-Entwicklung ist und nicht transparent vorgelegt wird, kann man wenig davon ausgehen, dass alles sicher ist und keine Sicherheitslücken vorhanden sind. Zu guter Letzt bedeutet Quellcode ja nicht, dass genau das auch auf den Rechnern ausgeführt wird. Das alles wird erst einmal in Maschinensprache kompiliert bzw. transformiert, was dann auf den Rechnern läuft. Da geht es dann auch über das Thema Supply-Chain-Sicherheit, um Vertrauenswürdigkeit von Anbietern, was haben sie für Bibliotheken, welche Abhängigkeiten ergeben sich, was für Compiler werden verwendet, haben sie bestimmte Backdoors, die man schon kennt oder die man entsprechend eingebaut hat, um bestimmten Akteuren dann eine Hintertür zu ermöglichen?

Ein letztes Grundprinzip ist das rechtliche Rahmenwerk, das heißt, hier muss man sich als Kunde auch rechtlich damit befassen. Sicherheit, bzw. Technologie ist ein Mittel zum Zweck und sollte rechtlich abgesichert sein.

Grundsätzlich sollen Sie einen ganzheitlichen Ansatz für Ihre Sicherheit wählen, bedenken, wie souverän Sie sein möchten, und das Angebot eines Cloud-Anbieters sehr genau prüfen, bevor Sie sich an diesen binden.

Quellen:

  1. bsi.bund.de
  2. https://www.cio.bund.de/Web/DE/Strategische-Themen/Digitale-Souveraenitaet/Digitale-Souveraenitaet-node.html

Autor:

Dr. Jurlind Budurushi
Chief Cyber Security Officer bei Cloudical
jurlind.budurushi@cloudical.io