Datensicherheit Verloren in der Wolke

Dem Auslagern von Daten gehört die Zukunft, hieß es lange. Ein Vorfall bei Microsoft zeigt nun, dass Cloud-Computing-Anbieter keine Sicherheit bieten.

Von H. Martin-Jung

Für Firmen ist es eine Verlockung: Anstatt selbst Rechenleistung und Speicherplatz bereitzustellen sowie zu warten, ließen sich diese Arbeiten an Dienstleister auslagern. Cloud Computing lautet der Fachbegriff für diese Arbeitsweise, bei der der Zugriff über das Internet und die Verfügbarkeit der Rechenzentren eine entscheidende Rolle spielen.

Gerade erst mussten US-Kunden des Microsoft-Dienstes Danger erfahren, was da passieren kann. Nicht nur hatten sie nach einem Ausfall des Rechenzentrums für Tage keinen Zugriff auf ihre Daten.

Der Konzern musste sogar einräumen, einige Daten könnten dauerhaft gelöscht worden sein. Betroffen sind Nutzer des von T-Mobile vertriebenen Gerätes Sidekick, das alle Daten online speichert. Wie sicher ist es also, Daten einem Anbieter aus der Internet-Wolke anzuvertrauen?

Experten des Fraunhofer-Instituts für sichere Informationstechnologie (SIT) in Garching bei München raten nach der Auswertung der Angebote verschiedener Anbieter von Cloud-Diensten zur Vorsicht.

Cloud Computing sei nur dann sicher und zuverlässig, wenn die Kunden von den Anbietern exakt einfordern, was die Dienstleistung umfasst, resümiert Sicherheitsexperte Werner Streitberger. Dazu brauche es viel Vorbereitung. "Es fehlen aber verbindliche, vergleichbare Angaben", sagt Streitberger.

Angebote kaum vergleichbar

Die Anbieter von Cloud-Diensten müssen die Gesetze sowie die Sicherheitsbestimmungen penibel einhalten. Wer hat Zugriff auf die Daten, wo werden sie physikalisch gespeichert - das seien die entscheidenden Fragen, so die Fraunhofer-Experten.

Die gängige Praxis in Rechenzentren, wo ein physischer Computer per Software in mehrere virtuelle Rechner aufgeteilt wird, könne bereits ein Problem sein, sagt Streitberger. Theoretisch ist es möglich, von einer virtuellen Maschine aus zu kontrollieren, was die andere macht.

Streitberger kann sich sogar Szenarien vorstellen, in denen ein Angreifer Daten in einem Rechenzentrum kapert, indem er sich erst Zugang dazu verschafft und sie dann verschlüsselt. Den Schlüssel würde er dann nur gegen eine Lösegeldzahlung herausgeben.

Die Anbieter fordert Streitberger auf, Industriestandards einzuführen, damit deren Angebote besser vergleichbar werden. Derzeit, sagt der Experte, "rücken die Anbieter viel zu wenig Informationen heraus".