READY: Wie sicher ist die Cloud?
Die Cloud ist keine brandneue Technologie mehr. Dennoch halten sich gewisse Vorbehalte hartnäckig. Das gilt ganz besonders bei Fragen der Datensicherheit und des Datenschutzes. Viele Verantwortliche in deutschen Unternehmen pflegen große Bedenken, da bei Cloud-wichtige Unternehmensdaten außerhalb der eigenen Organisation gespeichert werden. Dieser Umstand löst Unbehagen aus – die Cloud fühlt sich nicht sicher an. Das gilt besonders, da Server von zahlreichen Gefahrenquellen bedroht sind.
Wie jedoch steht es tatsächlich um die Sicherheit in der Cloud – und wie schneidet sie im Vergleich zu einem lokalen Rechenzentrum ab? Sind die verbreiteten Bedenken berechtigt, oder basieren sie nur auf Missverständnissen, die sich aus der Welt schaffen lassen? In diesem Artikel gehen wir dieser Frage nach.
Gefahrenquelle: Cybercrime
Laut dem Bundesamtes für Sicherheit in der Informationstechnik (BSI) hält nur jedes zwölfte Unternehmen in Deutschland Cyber-Attacken für eine relevante Gefahr. Eine klare Fehleinschätzung: Laut dem Kriminologischen Forschungsinstituts Niedersachsen wurden im Jahr 2019 mehr als 40 Prozent aller deutschen Unternehmen Opfer einer schweren Cyberattacke. Besonders im Fokus stehen bei diesen Angriffen immer wieder deutsche Mittelständler – nicht zuletzt wegen ihrer oft unterdurchschnittlichen Sicherheitsvorkehrungen.
Eine der am weitesten verbreitete Angriffsmethode ist die sogenannte Ransomware. Dabei handelt es sich um ein Programm, mit dem der Angreifer die Kontrolle über ein Netzwerk übernehmen und alle gespeicherten Daten verschlüsseln kann, um vom betroffenen Unternehmen Geld zu erpressen. Laut dem Branchenverband Bitkom betrug der Schaden durch solche Angriffe allein im Jahr 2019 mehr als hundert Milliarden Euro weltweit.
Um IT-Systeme gegen solche Gefahren zu schützen, müssen Datenbanken, Endgeräte und der Datenverkehr zwischen diesen Punkten gleichermaßen verschlüsselt, abgesichert und überwacht werden, um Attacken frühzeitig zu erkennen und abzuwehren. Dazu braucht es hohe Investitionen in die notwendige Technik und in das Fachpersonal, das diese Technik bedienen und warten kann.
Unternehmen, deren Kernbranche nicht die Bereitstellung von IT-Infrastruktur ist, können solche Investitionen nicht leisten. Oft genug haben gerade kleine Unternehmen ein sehr überschaubares Budget für Technik und zudem einen einzigen IT-Beauftragten, der neben der IT sogar noch andere Aufgabenbereiche zu verantworten hat.
Anbieter von Cloud-Lösungen hingegen können diese Investitionen mühelos stemmen. So gibt beispielsweise Microsoft jedes Jahr mehr als eine Milliarde Dollar für die Cybersicherheit seiner Cloud-Infrastruktur aus und beschäftigt mehr als 3500 Experten, die allein für die Sicherheit und den Schutz gegen solche Angriffe zuständig sind.
Gefahrenquelle: ‘Analoge’ Verbrechen
Doch auch die beste Firewall nützt nichts, wenn sich Unbefugte physischen Zugang zum Server verschaffen können, um ihn anzuzapfen oder gar zu zerstören.
In lokalen Rechenzentren – insbesondere von kleineren Unternehmen, die eigentlich in anderen Branchen tätig sind – sind die Maßnahmen, die zur physischen Sicherheit der Server getroffen werden, überschaubar: Der Raum, in dem der Server aufgebaut ist, wird abgeschlossen, und darin erschöpfen sich die Maßnahmen bereits.
Betreiber von Cloud-Rechenzentren hingegen sichern ihre Infrastruktur wie militärische Anlagen.
So sind große Rechenzentren von massiven Eingrenzungen aus Stahl und Beton sowie von Kameras umgeben, deren Bilder von einem Sicherheitsteam rund um die Uhr überwacht werden. Zudem wird das Gelände regelmäßig von ausgebildeten und sorgfältig überprüften Wachleuten abgegangen.
Darüber hinaus wird auch der reguläre Zutritt zu den Anlagen streng reglementiert. So müssen Nicht-Mitarbeiter vor dem Besuch eines Rechenzentrums einen Antrag stellen und eine triftige Begründung angeben. Dieser Antrag wird rigoros geprüft; und selbst, wenn er positiv beschieden wird, erhält der Antragssteller nur zeitlich limitierten Zutritt zu genau den Anlagen, zu denen er für den Zweck seines Besuchs tatsächlich Zugang benötigt. Kein Besucher kann sich also jemals in einem großen Cloud-Rechenzentrum frei bewegen. Dass alle Besucher zudem gründliche Kontrollen durchlaufen müssen, versteht sich dabei von selbst.
Gefahrenquelle: Hitze
Laut der Studie „Entwicklung und Zukunft der Rechenzentren 2018“, die im Auftrag des Expertengremiums der 7Alliance erstellt wurde, ist der Hauptgrund für Ausfälle in Rechenzentrum die Überhitzung der Hardware – keine Überraschung wenn man bedenkt, wie viel Leistung ein Rechenzentrum benötigt und wie viel Hitze die Geräte demzufolge generieren. Schon bei kleineren Serverräumen ist die Wärmeentwicklung ein Problem, das oft genug nur schlecht gelöst werden kann. In großen Cloud-Rechenzentren verschärft sich dieses Problem praktisch exponentiell.
Anbieter von Cloud-Systemen lösen dieses Problem, indem sie Luft- und Wasserkühlung in komplexen Systemen miteinander kombinieren. So nutzt beispielsweise Microsoft für seine Azure-Rechenzentren ein Kühlsystem, bei der zunächst Außenluft durch riesige Ventilatoren angezogen wird, um so über eine Million Liter Wasser pro Rechenzentrum zu kühlen. Dieses Kühlwasser wird dann durch ein System von Leitungen durch die Serverräume geleitet, um die Hitze hinaus zu transportieren.
Auch hier gilt: Schon der notwendige Platz für die Umsetzung einer solchen Lösung ist bei kleineren Rechenzentren nicht vorhanden – von den dafür nötigen Ressourcen ganz zu schweigen.
Gefahrenquelle: Feuer
In deutschen Unternehmen kommt es etwa alle fünf Minuten zu einem Brandereignis – das sagt zumindest die VdS Schadenverhütung GmbH, ein Unternehmen des Gesamtverbandes der Deutschen Versicherungswirtschaft e.V.. Damit liegt es Nahe, dass Feuer gleich nach der Überhitzung die größte Gefahr für Rechenzentren darstellen – zumal die große Hitze in Rechenzentren die Entstehung von Bränden natürlich begünstigt.
Betreiber von Cloud-Rechenzentren haben auch diese Gefahrenquelle im Blick und verfolgen daher ausgeklügelte Schutzkonzepte, um ihre technische Infrastruktur auch gegen Feuer abzusichern. So sind die Anlagen typischerweise mit Sensoren ausgestattet, die aktiv die Luft ansagen und so schon feinste Rauchpartikel frühzeitig erkennen. Damit sind sie gegenüber passiven Rauchmeldern klar im Vorteil, da diese nur reagieren, wenn der Rauch sie bereits erreicht hat – also erst dann, wenn sich das Feuer bereits ausgebreitet hat.
Zudem wird in Cloud-Rechenzentren sogar die Zusammensetzung der Luft gesteuert: Durch Einleitung von Gasen wie Stickstoff oder Kohlendioxid kann die Sauerstoffkonzentration so weit gesenkt werden, dass offene Brände gar nicht erst entstehen können.
Und auch im akuten Brandfall sind Cloud-Rechenzentren bestens geschützt: durch geprüfte und DIN-genormte Serverschränke, Brandwände, aber auch durch spezielle Gaslöschanlagen, die die Beschädigung der Technik durch Löschwasser verhindern.
Gefahrenquelle: Stromausfall
Ohne Elektrizität geht nichts in der IT: Schon nach neun Millisekunden ohne Strom stürzt ein Server ab. Selbst wenn die Versorgung danach sofort wieder hergestellt wird, besteht die Möglichkeit, das Daten verloren gegangen sind. Zudem muss der Server zunächst neu hoch gefahren werden, ehe er wieder einsatzfähig ist. In dieser Zeit kann nicht darauf zugegriffen – und damit auch nicht mit den vorhandenen Systemen gearbeitet – werden.
Wenn die Stromversorgung hingegen noch länger ausfällt, werden auch die Risiken größer: Denn in der Regel fallen mit den Servern auch alle Sicherungs- und Kühlsysteme aus, und selbst abgeschaltete Server produzieren weiterhin Hitze. Die Temperaturen steigen also rapide, und mit ihnen steigt die Gefahr eines Feuers.
Um diese Risiken zu bekämpfen, setzen Cloud-Anbieter auf Unterbrechungsfreie Stromversorgungen oder kurz USV und schützen ihre Server so nicht nur vor Ausfällen, sondern auch vor allgemeinen Störungen, Über- und Unterspannungen oder sonstigen Abweichungen. Darüber hinaus sind weitere redundante Systeme mit Notgeneratoren und – bei sehr großen Anbietern wie beispielsweise Microsoft – sogar parallele Verteilungsnetze im Einsatz, um den kontrollierten Betrieb zu jeder Zeit aufrecht zu erhalten.
Datenredundanz
Egal ob kriminelle Energie, Hitze, Stromausfälle oder Feuer: Server sind mannigfaltigen Gefahren ausgesetzt, die in Cloud-Rechenzentren allesamt besser abgesichert sind als in einem kleineren Rechenzentrum On-Prem. Somit ist die Wahrscheinlichkeit eines entsprechenden Vorfalls bei Cloud-Rechenzentren geringer.
Aber selbst wenn es zum äußeren kommt und ein ganzes Rechenzentrum ausfällt, sind Cloud-Anbieter immer noch im Vorteil: Denn bei Cloud-Angeboten werden Daten mehrfach an verschiedenen, räumlich voneinander getrennten Orten gespeichert. Sie sind also zu jeder Zeit benutzbar – ganz im Gegensatz zu On-Prem-Systemen. Den welches Unternehmen kann es sich schon leisten, gleich zwei Server an verschiedenen Orten zu betreiben, nur um sich gegen Ausfälle abzusichern?
Fazit
Rechenzentren sind sehr empfindliche technische Einrichtungen. Cloud-Anbieter wissen um die zahlreichen Gefahren, investieren viel Geld und setzen auf modernste Technologien, um alle Risiken zu minimieren. Dabei sind große Konzerne wie zum Beispiel Microsoft im Vorteil, da sie Investitionen im Milliardenbereich vornehmen können. Dem gegenüber können Betreiber von kleineren, lokalen Rechenzentren nur einen Bruchteil dieser Summen in die Sicherheit ihrer technischen Infrastruktur investieren. Ein niedrigeres Schutz-Niveau ist die zwangsläufige Folge. Zusammenfassend lässt sich also sagen: nirgendwo auf der Welt ist die IT-Infrastruktur – und damit auch die darauf gespeicherten Daten – so gut geschützt wie in einem Cloud-Rechenzentrum!