NASA kriegt es nicht auf die Reihe – wie sollen es dann alle anderen? Insights aus einem kürzlich veröffentlichen Bericht des Office Inspector General. Cloud Computing hat sich vom medialen Hype zum tatsächlichen Trend mit realistischen Einsatzszenarien entwickelt. Beim Thema Cloud im Business-Umfeld herrscht Uneinigkeit: Befürworter bejahen die Cloud als uneingeschränkten Heilsbringer für eineflexible, kostengünstige und effiziente IT-Landschaft. Kritiker sehen darin eher eine Gewitterwolke. Die grössten Probleme mit der Cloud liegen nicht in der IT Sicherheit oder bei Privacy concerns, sondern in der Governance. Das Provider-Management spielt beim Cloud-Sourcing eine zentrale Rolle, meist ist nur ein geringer Einblick in die Vorgehensweise der Service-Erbringung möglich und der Kontrollgrad ist oft unzureichend. Ein effektives Provider-Management wird häufig dadurch erschwert, dass Fachabteilungen - "begünstigt" durch eine fehlende Cloud-Strategie des Unternehmens - selbst die Initiative ergreifen und die IT-Abteilung nicht befriedigend einbeziehen. Cloud Services erfordern ein systematisches Vorgehen. Methoden aus dem Outsourcing z.B. unterstützen das und sorgen für Vergleichbarkeit der Angebote sowie einen risiko-minimierten Cloud-Betrieb. Kritiker sehen darin eher eine Gewitterwolke. Die grössten Probleme mit der Cloud liegen nicht in der IT Sicherheitoder bei Privacy concerns, sondern in der Governance.

1. 1
Cloud Computing
NASA kriegt es nicht auf die Reihe –
wie sollen es dann alle anderen?
Insights aus einem kürzlich veröffentlichen Bericht des
Office Inspector General.
Dominique C. Brack
CEO, Reputelligence &
Mitglied des Vorstands
Cloud Security Alliance
Schweiz CSACH
NASA sendet Astronau-
ten ins All und konzi-
piert Raketen –aber bei
Cloud Computing hapert
es auch bei NASA. – Ei-
ne Lehrstück aus dem
Cloud Computing Tum-
melfeld.
Cloud Computing hat sich
vom medialen Hype zum
tatsächlichen Trend mit
realistischen Einsatzszena-
rien entwickelt. Beim
Thema Cloud im Business-
Umfeld herrscht Uneinig-
keit: Befürworter bejahen
die Cloud als uneinge-
schränkten Heilsbringer für
eine flexible, kostengün-
stige und effiziente IT-
Landschaft. Kritiker sehen
darin eher eine Gewitter-
wolke. Die grössten Pro-
bleme mit der Cloud liegen
nicht in der IT Sicherheit
oder bei Privacy concerns,
sondern in der Governan-
ce.
Das Provider-Management
spielt beim Cloud-Sourcing
eine zentrale Rolle, meist
ist nur ein geringer Ein-
blick in die Vorgehenswei-
se der Service-Erbringung
möglich und der Kontroll-
grad ist oft unzureichend.
Ein effektives Provider-
Management wird häufig
dadurch erschwert, dass
Fachabteilungen - "begün-
stigt" durch eine fehlende
Cloud-Strategie des Un-
ternehmens - selbst die
Initiative ergreifen und die
IT-Abteilung nicht befrie-
digend einbeziehen. Cloud
Services erfordern ein sy-
stematisches Vorgehen.
Methoden aus dem Out-
sourcing z.B. unterstützen
das und sorgen für Ver-
gleichbarkeit der Angebote
sowie einen risiko-
minimierten Cloud-Betrieb.
Ein Ende Juli 2013 veröf-
fentlichter Audit Bericht
des Office of Inspector
General über NASA’s Fort-
schritt in der Adoption von
Cloud-Computing, stellt
dem Cloud Pionier ein
nicht so gutes Zeugnis
aus. NASA startete 2009
„Nebula“, das eigene in-
house private cloud data-
center. Im April 2012 wur-
de dann nach einem 5

2. 2
monatigen Benchmark
Test, bei welchem Nebula
mit Anbietern wie Amazon
und Microsoft und dessen
Cloud Diensten verglichen
wurde, entschieden – aus
Gründen der Zuverlässig-
keit und Kosten Effizienz –
den eigenen private Cloud
Dienst zu stoppen. NASA
selber hat eine sogenannte
„Cloud First“ Strategie,
welche besagt, dass bei
neuen IT Investments
Cloud Services berücksich-
tigt werden müssen. Die
Strategie fordert, dass ei-
ne minimale Anzahl an
Services in die Cloud mi-
griert werden müssen.
Quelle:NASA
NASA verwendet im Mo-
ment 1% ihres IT Budgets
für die Cloud (ca. 10 Mil-
lionen US$). NASA sagt
voraus, dass in den näch-
sten 5 Jahren ca. 75% der
Services in der Cloud star-
ten und dass 100% der
öffentlichen Daten in die
Cloud wandern sollen.
Nun zu den bereits er-
wähnten Problemen. Von
den 5 untersuchten Ver-
trägen der Cloud Dienste
Anbietern hat kein einziger
Vertrag auch nur die mi-
nimalen Anforderungen an
Datensicherheit und „Best
Practice“ für Informations-
sicherheit erfüllt. Bei 4 von
5 Verträgen wurden die
Standard-Vertragsklauseln
des Anbieters akzeptiert
und keine Provisionen für
Performance oder Privacy
definiert. Beim 5. Vertrag
wurde mit Hilfe eines ex-
ternen Beratungsbüros ein
Vertrag ausgehandelt.
Aber auch dieser Vertrag
hat die Anforderungen
nicht erfüllt.
Tabelle:
.
Es stimmt schon nach-
denklich, dass NASA Leute
auf den Mond schiessen
und Raketen bauen kann,
es aber in der eigenen IT
nicht mal bis in die Wolken
Engl. Clouds reicht. Dieses
Beispiel verdeutlicht, dass
Cloud Computing noch in
den Anfängen steckt und
jede Organisation sich zu-
erst Zeit nehmen sollte,
Cloud als Ganzes zu ver-
stehen.
Hier noch die wichtigsten
Tipps für die Cloud:
Im Minimum sollte von
den Cloud Service Provi-
dern eine jährliche Sicher-
heitsüberprüfung und/oder
Zertifizierung durch einen
Dritten ermöglicht werden,
mit der Option, den Ver-
trag im Falle einer Sicher-
heitslücke zu kündigen,
wenn der Anbieter bei we-
sentlichen Massnahmen
versagt. Es ist auch emp-
fehlenswert, dass Wieder-
herstellungszeiten und
Wiederherstellungspunkte
sowie Massnahmen zur
Datenintegrität in die SLAs
einfliessen. Verbunden mit
bedeutsamen Sanktionen
für den Fall, dass diese
verfehlt werden. Der Man-
gel an bedeutsamen finan-
ziellen Entschädigungen
für Verluste an Sicherheit,
Dienstleistung oder Daten,
stellt auch eine uner-
wünschte Form von Risi-
koexposition in Cloud-
Verträgen dar. Daher ver-
meidet die Mehrheit der

3. 3
Anbieter eine vertragliche
Verpflichtung jedweder
Form von Entschädigung
oder Sanktionen für den
Fall, dass das SLA nicht
eingehalten wird. Kunden
sollten 24 bis 36 Monate
als Haftungsgrenzen aus-
handeln, anstatt der übli-
chen 12 Monate und so-
weit möglich eine zusätzli-
che Haftpflichtversiche-
rung abschliessen.
Was ist eigentlich Cloud?
Ist überall Cloud drin, wo
auch Cloud drauf steht?
Eines der brennenden
Themen innerhalb Cloud
Computing sind die Be-
grifflichkeiten. Leider wird,
nicht zuletzt aus Marketing
Gründen, der Begriff Cloud
Computing sehr erfinde-
risch eingesetzt.
Cloud ist leider auch den
Marketing-Guerillas zum
Opfer gefallen. Überall ist
Cloud drin, wenn man den
Werbeslogans glauben
soll.
«Cloud Computing - Just
do it.»
«Aussen Cloud Computing,
innen Geschmack.»
Meist sind die angebote-
nen Produkte oder Ser-
vices gar keine Cloud Ser-
vices im eigentlichen Sin-
ne. Auch wenn dies mar-
keting-technisch sehr at-
traktiv ist: ein Memory
Stick ist einfach keine per-
sönliche Private Cloud!
Somit ist es von Nöten,
sich ein Basiswissen an
Cloud zuzulegen. „Cloud
Computing“ steht für „Da-
tenverarbeitung in der
Wolke“ und beschreibt ei-
ne über Netze (meistens
das Internet) angeschlos-
sene Rechnerlandschaft, in
die die eigene Datenverar-
beitung ausgelagert wird.
Ziel ist es, IT-
Dienstleistungen dyna-
misch und skalierbar nut-
zen zu können. Im Ideal-
fall soll es dem Nutzer egal
sein, ob gerade der eigene
oder ein weit entfernter
Computer eine Aufgabe
löst. Teilweise werden
ganze Workloads in die
Cloud verlagert oder die
Cloud wird dazu verwen-
det, um Bedarfsspitzen
abzudecken, mit denen die
eigene IT-Infrastruktur
überfordert ist.
Die Cloud setzt sich nor-
malerweise aus 5 Charak-
teristiken, 3 Service Mod-
ellen und 4 Deployment
Modellen zusammen.
Beim Cloud Computing
wird zwischen 3 Service
Modellen unterschieden:
Software-as-a-Service
(SaaS), Platform-as-a-
Service (Paas), Infrastruc-
ture-as-a-Service (IaaS).
Bei den 4 Deployment Mo-
dellen wird zwischen Priva-
te, Public, Community und
Hybrid Clouds unterschie-
den. Private Clouds sind
vernetzte Rechner, die
sämtliche unter der recht-
lichen Verantwortung einer
einzigen Stelle stehen.
Public Clouds sind Angebo-
te von kommerziellen
Betreibern wie Amazon,
Microsoft etc. Community
Clouds sind Infrastruktu-
ren, welchen von mehre-
ren Interessen Gruppen
betrieben werden. Hybride
Clouds sind eine Mischung
von Private- und Public
Clouds, also eine Nutzung
sowohl von eigenen wie
auch fremden Ressourcen.
Die 5 essentiellen Charak-
teristiken einer Cloud sind:
• On-demand self-
service

4. 4
• Broad network ac-
cess
• Resource pooling
• Rapid elasticity
• Measured service
Die Tools, die Abhilfe
schaffen.
Die Cloud Security Alliance
bietet eine Vielzahl von
Tools und Hilfsmitteln an.
Aus meiner persönlichen
Erfahrung stellen sich die
meisten Probleme im Be-
reich der Governance. CSA
bietet hier ein hervorra-
gendes Toolset an. Im
Rahmen des CSA Security,
Trust & Assurance Registry
(STAR), welches ein frei
Zugängliches Verzeichnis
darstellt, unter welchem
sich Cloud Dienste Anbie-
ter freiwillig registrieren
können. Die zwei wichtig-
sten Dokumente unter
STAR sind das:
• Das Consensus As-
sessments Initiative
Questionnaire (CAIQ),
ein Fragebogen, wel-
cher 140 Kontrollfragen
enthält, welche dem
Cloud Provider gestellt
werden können.
• Die Cloud Controls Ma-
trix (CCM), das Kon-
trollframework, welches
mit den Cloud Security
Alliance Guidelines als
Kontrollgrundlage ver-
wendet werden kann.
Viele der namhaften Cloud
Dienste Anbieter haben
das Consensus Assess-
ments Initiative Question-
naire (CAIQ) schon ausge-
füllt, und die Antworten
können öffentlich eingese-
hen werden. Dies hilft der
internen Cloud Governan-
ce enorm, denn damit
können auch die Bedürf-
nisse des Internen Audit
und Risk Managements
abgedeckt werden.
Diese frei verfügbaren Do-
kumente bieten einen
enormen Mehrwert. Mit
Hilfe dieser Dokumente
können die grössten Stol-
persteine im Handling der
Cloud Governance besei-
tigt werden.
https://www.cloudsecurity
alliance.org/star
Die Cloud Security Alliance
(CSA) wurde aus der In-
formationssicherheits-
Community heraus im Jahr
2008 ins Leben gerufen,
um die Sicherheit in Cloud
Computing-Umgebungen
zu fördern und die IT-
Industrie über die Rolle
von Cloud Computing bei
der Absicherung anderer
Rechnerumgebungen auf-
zuklären. Die CSA erarbei-
tet Best Practices, Guideli-
nes und viele weitere
Grundlagen für sicheres
Cloud Computing. Die
Cloud Security Alliance
Vorgaben haben sich als
Quasi-Standard etabliert.
Cloud Security Alliance
mit neuem Switzerland
Chapter
Die Cloud Security Alliance
(CSA) setzt sich als nicht-
gewinnorientierte, interna-
tionale Organisation um-
fassend mit dem Themen-
bereich Cloud Security
auseinander. Mit der
Gründung des Switzerland
Chapters besteht CSA aus
aktuell 37 länder- bzw.
regionalspezifischen Orga-
nisationen. Initiator und
Gründer des CSA Switzer-
land Chapter ist Klaus Gri-
bi, Senior Security Consul-
tant und Chief Security
Officer beim Schweizer In-
formationssicherheits-
Anbieter United Security
Providers.
Das Switzerland Chapter
fokussiert sich in seiner

5. 5
Tätigkeit auf den Informa-
tions- und Datenschutz
beim Cloud Computing in
der Schweiz. Im Vorder-
grund steht dabei die
Compliance zur Schweize-
rischen Gesetzgebung. In
diesem Kontext wird das
CSA Switzerland Chapter
Best Practices und Stan-
dards für Cloud Computing
in der Schweiz etablieren.
Zu diesem Zweck strebt
das Switzerland Chapter
die enge Zusammenarbeit
mit lokalen Cloud Provi-
dern, Cloud Integratoren,
Cloud Consumern, Univer-
sitäten, Fachhochschulen
und Regierungsstellen an.
Kurz nach seiner Grün-
dung zählt das CSA Swit-
zerland Chapter 151 Mit-
glieder. Das Netzwerk or-
ganisiert und vernetzt sich
via Linkedin-Gruppe.
Interessierte Personen
sind eingeladen, dem CSA
Switzerland Chapter beizu-
treten.
Dies ist kostenlos möglich
unter
http://www.linkedin.com/groups?gid=4
484376.
Das Switzerland Chapter
ist als Verein organisiert.
Im April 2013 wurde das
Board of Directors konsti-
tuiert.
https://cloudsecurityalliance.org/chapte
rs/official/#switzerland-chapter
https://cloudsecurityalliance.org
Besuchen Sie an der se-
curity-zone das Referat
von Dominique C. Brack
dem Vorstandsmitglied
des Cloud Security Alli-
ance Chapters Switzer-
land, Verantwortlicher
für Education und Trai-
ning.
Ziel des Referates ist:
Richtiges Anwenden und
Nutzen der Cloud Security
Alliance Tools. Wie kann
man aus Business Sicht
das Risiko mit Cloud Dien-
sten einschätzen. Wie
kann man mit Hilfen einer
standardisierten Methode
Cloud Dienste Anbieter
vergleichen. Die richtige
Sprache für Cloud, was
bedeutet was in der Cloud.
Akronyme Entschlüsse-
lung. Kennenlernen des
Cloud Security Alliance
Chapters Schweiz.
security-zone 2013
Cloud Computing
Insights aus einem
kürzlich veröffentli-
chen Bericht des
Office Inspector
General.
Mehr dazu im Referat von
Dominique C. Brack am
Donnerstag, 19. 9 um
9:00 Uhr.
Details & Anmeldung hier
…