Patch me if you can: Alles as a Service – ist doch sicher, oder?

Inhaltsverzeichnis

Gute Beratung beruht zu 33 Prozent darauf, die besten Vorlagen zu haben. Neulich fragte ein Kollege nach Templates für SLAs für den Cloud-Dienstleister in spe eines Kunden. „Es geht um Security-SLAs, nicht einfach nur 99,999 Prozent Verfügbarkeit!“ Ich wollte gerade zu einer Deep-Learning-gepowerten Suche im jederzeit perfekt gepflegten Wissensmanagementsystem (aka Google) ansetzen, da kam mir die E-Mail eines sehr erfahrenen Kollegen zuvor: „Wenn Cloud, dann kümmert man sich doch nicht mehr um diese Details – außer man ist der Cloud-Dienstleister selbst.“

Kolumne: Patch me if you can

Er hat eine Schwachstelle für Risiken und Über-Cyber-Schreiben: Im Hauptberuf CTO bei der intcube GmbH, tobt und lässt David Fuhr sich in dieser Kolumne über aktuelle Ereignisse und allgemeingültige Wahrheiten der Informationssicherheit aus.

Als Kunde interessiere mich dann nur noch x,x Prozent Verfügbarkeit, maximale Ausfallzeit am Stück (zum Beispiel einmal pro Tag 15 Minuten), RTO (Dienst- und Datenwiederherstellung) 15 Minuten ab Ausfall, volle Haftung (auch für Umsatzausfälle), Pönalen, also Vertragsstrafen, in Höhe von x Euro pro Minute. Dafür sei das ja eben „Cloud“ und nicht „Blechmiete + Managed OS + Managed Tomcat + Managed NetWeaver + Managed Webshop-on-NetWeaver + Monitoring + Remote Hands + ...“

Das ist keine Cloud!

Einerseits: Recht hat er! Schon zu Beginn des großen Cloud-Hypes 2008 hat James Governor in „15 Ways to Tell It’s Not Cloud Computing“ Ausschlussregeln mit Ewigkeitscharakter formuliert, was (nicht) als Cloud gelten kann: „If you need to send a 40 page requirements document to the vendor then ... it’s not a cloud“.

Andererseits: Schön wärs! Das Problem ist nicht so sehr das reine Aufstellen der eigentlichen technischen und organisatorischen Vorgaben. Das BSI hat bereits vor acht Jahren in der Studie „Protection Level Agreements (PLA). Werkzeuge zur Vereinbarung von Sicherheitsanforderungen in Kunde-Dienstleister-Beziehungen“ das Thema Security-SLAs in Breite und Tiefe analysiert. Allerdings taucht in der ganzen Studie das Wort „Cloud“ kein einziges Mal auf, denn 2010 war der Begriff im bundes(amts)deutschen Diskurs noch nicht angekommen. Dabei stellen sich inzwischen die hier bereits aufgeworfenen Kernfragen noch viel drängender:

1. Wie kommuniziere ich meine Sicherheitsanforderungen meinem Dienstleister?
2. Wie kann ich deren Einhaltung in einer immer tiefer werdenden Kette von Subauftragnehmern sicherstellen?

Der Haken sind vor allem die Pönalen und die Haftung. Wenn sich Erstere überhaupt auf nennenswerte Beträge hochverhandeln lassen, wird das Risiko vom Cloud-Anbieter einfach auf die Nutzungsgebühr aufgeschlagen. Haftungsübernahmen wird man zumindest in den AGB großer Cloud-Anbieter in der Regel vergeblich suchen, und auch hier würde ein mögliche individuell verhandeltes Modell letztendlich die Form einer Versicherung annehmen, deren Prämie (plus x) der Kunde zahlt.

Dies mag für Ausfälle noch ganz gut funktionieren, wo sich die Kosten für Verfügbarkeitsstörungen halbwegs sinnvoll berechnen lassen. Ob bereits genug Daten über die Eintrittswahrscheinlichkeit vorliegen, ist eine andere Frage: Die ganz großen Cloud-Ausfälle scheinen uns eher noch bevorzustehen.

Schwieriger Umgang mit Störungen

Richtig schwierig wird es bei „Störungen“ der Vertraulichkeit oder gar Integrität, sprich großen Daten-Leaks oder besonders bösartigen Manipulationen. Hier kann sich der Kunde nicht mehr unbedingt auf den richtigen Umgang des Cloud-Anbieters mit den Daten seiner Endkunden oder Mitarbeiter (bei Datenschutzverstößen) verlassen. Ebenso wenig wie bei seinen entfleuchten Geschäftsgeheimnissen oder beim Reparieren seiner manipulierten Prozesse. Da muss er vielmehr selbst ran und benötigt dafür – umgehend! – bestimmte Zuarbeiten des Dienstleisters, die im Normalbetrieb nicht unbedingt auf die Probe gestellt werden.

Das BSI hatte in der PLA-Studie bereits umfangreiche Vereinbarungen vorgeschlagen, die in solchen Fällen theoretisch auch im Cloud-Umfeld helfen könnten: angefangen bei Prozessen wie Auditberechtigungen, Alarmierung und Vorfallsbehandlung bis zu konkreten Maßnahmengarantien in Sachen Patchmanagement, sichere Löschung, Verschlüsselung oder Protokollierung.

Praktisch sieht es eher so aus, dass Amazon, Google oder Microsoft sich bedanken werden: Die großen Cloud-Anbieter haben – zumindest bei Feld-Wald-und-Wiesen-Kunden aus Feld-Wald-und-Wiesen-Staaten, zu denen wir uns zumindest aus Sicht des vorigen US-amerikanischen Präsidenten durchaus zählen durften – weder Zeit noch Lust, sprich finanzielle Motivation, jeden IT-Dienst ihrer Kunden im Einzelnen zu verstehen. Damit scheitert die Idee der PLAs bereits am Anfang: Der Kunde kann kein Schutzniveau auf Augenhöhe aushandeln. Sicherlich kann er aus verschiedenen Betriebsmodellen wie Standard, Premium, Dedicated, Bronze, Silber, Gold et cetera auswählen und hoffen, dass damit genügend seiner Checkboxen erschlagen sind, bevor sein Budget erschöpft ist. Aber dies ersetzt alleine keine Organisation, die im schlimmsten Fall der Fälle alles stehen und liegen lässt, um den eigenen Betrieb wiederzubeleben – zumal wenn bei einem Super-GAU gleichzeitig Hunderttausende weitere Kunden weltweit heulen.

Die Wahrheit: Alles as a Self-Service

Im Prinzip ist das geläufige "as a Service“-Versprechen ein Euphemismus. Denn *aaS suggeriert das gute alte Dienstleisterverhältnis – stets zu Diensten, Dienen, Diener, Aufopferung, Cheerio, Miss Sophie! Passender, weil ehrlicher und realistischer wäre meines Erachtens der Begriff „aaSS“ – as a Self-Service. Denn hierum geht es bei Cloud-Computing (wie es anfangs noch treffender hieß): einen großen Computer, eine weiße Box (oder Wolke), in die ich Daten hineinstecke, mit denen bestimmte Dinge getan werden, aber auch vieles, in das ich keinen Einblick habe. Und genau wie andere kleine und große Kist(ch)en, in die ich mir Wertvolles hineinstecke, liegt es an mir selbst, dessen Schutz sicherzustellen.

Zu weiteren 33 Prozent besteht ein guter Berater übrigens aus Menschenkenntnis, und zu den letzten 33 Prozent aus Herzblut für sein Thema – hier IT. Rechnen können muss man nicht unbedingt ;-).

P.S.: James Governor wusste ebenfalls bereits 2008: „If there is a consultant in the room ... it’s not a cloud.“ Wir halten uns dann mal diskret im Nebenzimmer auf, falls Sie uns brauchen sollten!

Diese Kolumne ist in iX 09/2018 erschienen und wurde für die Online-Ausgabe aktualisiert.

(ur)