Textprobe: Kapitel 5, Risiken und Risikomanagement beim Cloud Computing: 5.1, Sicherheitsbedenken: Innere Sicherheit Wenn man von der inneren Sicherheit in einem Unternehmen spricht meint man vor allem das Vorgänge die sich innerhalb der Wände des Unternehmens abspielen nicht nach außen getragen werden. Genauso gilt das auch dafür kritische Informationen die für das Unternehmen von Bedeutung sind auch im Unternehmen bleiben. Kritische Informationen können hier selbstverständlich auch Daten jedweder Art sein, die Digital gespeichert werden. Im Wesentlichen gibt es drei Faktoren die die innere Sicherheit bedrohen. 1. Zu geringe interne Sicherheitsvorschriften: Innerhalb eines Daten verarbeitenden Betriebes muss zu jedem Zeitpunkt klar sein, dass die Daten die verarbeitet werden das höchste Gut sind welches dem Betrieb anvertraut wird. Im alltäglichen Gebrauch wird das sicher schnell vergessen, deswegen sollten Sicherheitsabfragen oder Mechanismen die Mitarbeiter ständig daran erinnern. Zu keinem Zeitpunkt darf ein lockerer Umgang geduldet werden immerhin hängt die Existenz des Unternehmens davon ab. Auch muss man sich klar machen, dass nicht jeder Mitarbeiter auf alle Daten Zugriff haben muss, mit Gedanken an die Datensparsamkeit sollte sogar darauf geachtet werden das möglichst jeder Mitarbeiter nur auf die Datenzugriff hat, welche unbedingt relevant für seine direkte Arbeit sind. Außerdem muss stets darauf geachtet werden, dass Datenfreigaben für Mitarbeiter stets aktualisiert werden. Passwörter, Freigaben oder sogar physischer Zugang dürfen nur Mitarbeitern gestattet sein, die auch die nötige Kompetenz haben. 2. Mitarbeiter die nicht Vertrauenswürdig sind: Ein Unternehmen kann heute nicht mehr von der Vertrauenswürdigkeit eines Mitarbeiters ausgehen. Insbesondere wenn ein Mitarbeiter neu in einem Unternehmen ist. Man muss also eine Variante finden, bei der die Sicherheit von Unternehmensrelevanten Informationen gewährleistet werden kann, aber gleichzeitig dem Mitarbeiter nicht komplett das Vertrauen abgesprochen wird. Zugleich sollte immer zumindest eine grobe Prüfung des Mitarbeiters erfolgen. Verdächtigungen helfen niemand weiter, wenn also ein neuer Mitarbeiter eingestellt wird muss dass Vertrauen so weit vorhanden sein dass der neue Mitarbeiter zumindest keine spürbare Präsenz von Misstrauen bemerkt. 3. Mitarbeiter die unzufrieden sind: Unzufriedene Mitarbeiter sind das schlimmste, was einem Unternehmen passieren kann. Nicht nur, dass Unzufriedenheit zu einer schlechteren Arbeitsleistung führt, aber die Unzufriedenheit bei Personen in Sicherheitsperimetern kann desaströse folgen haben. Unzufriedene Mitarbeiter können leichter für kriminelle Handlungen oder die Beihilfe dazu verführt werden. Ein Inneres Leck ist das schlimmste was einem Unternehmen passieren kann, dass sollte man sich immer vor Augen halten. Äußere Sicherheit: Hacker/Terrorismus: Für nicht kommerziell interessierte Hacker stellen hohe Sicherheitshürden immer einen besonderen Reiz da, da die meisten Hacker eine Herausforderung suchen. Ein gut geschütztes Rechenzentrum wäre somit die ideale Möglichkeit seine Fähigkeiten zu testen. Sie können sich austoben, richten dabei in der Regel allerdings nicht wesentlichen Schaden an da sie ja nur neugierig sind, auch verkaufen sie kritische Daten in der Regel nicht. Wenn man lediglich darauf konzentriert ist Sicherheitslücken zu finden, dann wird man das früher oder später auch schaffen vor allem wenn man sich schon ein umfassendes Wissen angeeignet hat. Da diese Art von Hackern ein wenig sinniges Motiv für ihre Taten hat ist es sehr schwierig herauszufinden von wo ein derartiger Angriff kommt, schließlich sind diese Hacker in der Regel schon von Kindheit an dabei und wissen auch wie man sich im Netz versteckt. Weit gefährlicher sind Hacker welche sich zu Politischen Interessengruppen oder sonstigen Aktivistengruppen zusammenschließen diese sind mittlerweile sehr zahlreich und weltweit verteilt. Dadurch, dass sie ihre Fähigkeiten nicht mehr aus Neugier Nutzen sondern aus anderen Motiven können sie für kritische Daten extrem gefährlich werden. Sie sind bereit ohne sich über die Folgen ihres Handelns bewusst zu sein gegen jeden vorzugehen. Selbst wen ein Unternehmen nicht im Fokus ihrer Aktivitäten liegt können sie riesige Schäden verursachen, denn immerhin sind die Daten in der Cloud ja nur noch virtuell geschützt. Das heißt sollten Hacker ein Rechenzentrum angreifen, werden auch die Firmen die mit dem Angriff gar nichts zu tun haben dadurch Schaden nehmen. Punktuelle Angriffe sind in Rechenzentren in denen alle Daten geballt gelagert werden nämlich nicht mehr möglich. Außerdem wird der physische Schutz (Abschirmung vom Internet) der bisher genutzt wurde vom Cloud Computing annulliert. Natürlich gibt es auch solche Hacker, die lediglich finanzielle Interessen haben diese sind in der Regel in einer größere Organisation. Hierbei wird versucht über Hacking an Kritische Daten zu kommen. Mit diesen Daten können zum Beispiel Erpressungen durchgeführt werden Kriminelle Organisationen haben ein großes Interesse an Material zu kommen mit welchem sie Erpressungen durchführen können. Zudem sollte jedem klar sein, dass Kriminelle Organisationen über die Finanziellen Mittel verfügen sich ein Heer an Hackern anzustellen. Zuletzt sollte gesagt sein das vor allem auch Staaten die den Diebstahl von Daten unterstützen eine große Gefahr darstellen. Zwar werden derartig gestohlene Daten nicht unmittelbar für kriminelle Handlungen verwendet, jedoch muss sich jeder darüber im Klaren sein das ein gestohlenes Betriebsgeheimnis oder gar eine Patentlösung ein Verlust für das Unternehmen ist, welcher sich mit Geld nicht aufwiegen lässt. Vor allem in einigen Schwellenländern wird der Diebstahl von Daten bewusst toleriert oder sogar noch unterstützt. Nicht zuletzt sollte man den Faktor des Terrorismus nicht außer Acht lassen. In einer Zeit in der Atomkraftwerke, Verteidigungsministerien oder andere wichtige Gebäude Ziele von Terrorismus werden, kann davon ausgegangen werden das ein Rechenzentrum ebenfalls schnell ein Ziel wird, sollte sich dadurch effektiv schaden verursachen können. Terroristen könnten auf verschiedenste Weisen ein Rechenzentrum sabotieren. Ein Hacker angriff wäre hier genauso denkbar wie ein Sprengstoffanschlag bei dem womöglich das ganze Rechenzentrum vernichtet werden könnte, wenn diese vielleicht auch keine Hauptziele sein sollten. Industriespionage: Industriespionage ist schon seit jeher ein Problem, vor allem die Datenverarbeitung hat es vereinfacht, schnell an viele Informationen zu kommen. Das Cloud Computing jedoch kann dies noch weiter vereinfachen, da keine physischen Hindernisse mehr zwischen den Daten und den Spionen liegen. Sie müssen nur noch die Sicherheitsvorkehrungen des Cloud-systems durchbrechen, und können dann Zugriff auf unter Umständen kritische Informationen gewinnen. Auch 'legale' Spionage die durch Staatliche Gesetze geschützt ist nimmt immer mehr zu, wobei man dies mit der Wahl des Anbieters lösen könnte, dabei muss man aber eben 100% sicher sein, dass der Anbieter auf keinen Fall unter ein anderes Datenschutzgesetz fällt (Siehe Risikomanagement). Höhere Gewalt: Ein Unternehmen, welches nicht über Redundante Rechenzentren verfügt, kann ganz schnell Ausfälle haben, wenn es zu Fällen von höherer Gewalt kommt. In Folge dessen, kann der Cloud Anbieter nicht haftbar gemacht werden. Es werden regelmäßig Bauarbeiten durchgeführt, und die Verletzung eines Verbindungskabels ist ebenso leicht möglich wie die eines Wasserrohrs oder Stromkabels. Da zivile Rechenzentren in der Regel weder mit Bandbreite, noch mit Strom redundant versorgt werden, kann ein schaden durch Bauarbeiten schon mal zu einem stundenlangen Ausfall der Dienste kommen. Blitzeinschläge können für Spannungsspitzen sorgen. Natürlich können Blitzeinschläge immer Rechenzentren von Unternehmen treffen und schützen kann man sich so gut wie nicht. Wenn man nun aber bedenkt das in einem Rechenzentrum für eine Cloud unter Umständen nicht die Daten von einem Unternehmen sondern die Daten mehreren Unternehmen lagern könnten, dann muss man unweigerlich zu dem Schluss kommen, dass solch ein Zentralisiertes Rechenzentrum natürlich auch ein großes Gefahrenpotential birgt. Stromausfälle sind in Deutschland extrem selten das Netz ist sehr stabil und wird nur selten überlastet.