wodurch die individuellen Kosten sinken. Eine deutliche Reduzierung der IT-Ausgaben ist allein durch die Umwandlung von CAPEX in OPEX in der Regel aber nicht zu erwarten.
Daneben gibt es jedoch weitere Motivatoren für die Nutzung von Cloud-Ressourcen. Hierzu zählt zum Beispiel eine verbesserte Flexibilität, die dadurch gewonnen werden kann. Langwierige Beschaffungs- und Abschreibungskosten von Hardware entfallen fast vollständig, und neue Ressourcen können statt durch lange dauernde Bestell- und Aufbauprozesse mit simplen „Mausklicks“ bereitgestellt werden. Durch die von Cloud Providern bereitgestellten Schnittstellen (API) ist zudem eine schnellere Entwicklung von Anwendungen und die automatisierte Bereitstellung ganzer Systemlandschaften (Stichwort: Infrastructure as Code – IaC) mit einer nahezu unbegrenzten Skalierung möglich.
Zur Erhöhung der Verfügbarkeit und zur Verbesserung der Ausfallsicherheit kritischer Anwendungen können Cloud-Ressourcen des Cloud Providers an unterschiedlichen Geolokationen genutzt werden. Auch für eine Bereitstellung der Services im globalen Rahmen stellt die zielmarktnahe Standortnutzung des Cloud Providers eine Option dar. So können Laufzeiten bei der Datenübertragung optimiert und damit für die Nutzer spürbare Performance-Einbußen vermieden werden. Die Cloud beschleunigt somit klassische IT-Abläufe und reduziert Abhängigkeiten von Inhouse IT-Abteilungen. Unter dem Gesichtspunkt der IT-Security ist „Shadow IT“, also IT-Systeme, die nicht in die Regelprozesse zum IT-Service Management einer Organisation eingebunden sind, jedoch kritisch zu sehen. Etablierte IT-Security-Prozesse und Kontrollen werden dabei häufig nicht berücksichtigt und umgesetzt.
Aus Sicht des Unternehmens bietet der Wechsel in die Cloud grundsätzlich auch Einsparungspotenzial z.B. bei den Personalkosten, da der klassische Infrastrukturbetrieb deutlich reduziert wird. Der Fokus der IT kann dadurch mehr auf die Anforderungen der Geschäftsprozesse und der Anwendungsebene konzentriert werden. Ähnliche Effekte sind jedoch auch im Rahmen des klassischen Outsourcings zu beobachten.
Auch für die Softwarehersteller von Cloud-Plattformen und insbesondere von Software as a Service (SaaS)-Diensten (wie z. B. Commerce- oder IT-Service-Management-Lösungen) bietet das Modell einen Vorteil. Durch die leichte Zugänglichkeit von Ressourcen wird dem Kunden deren Nutzung leicht gemacht, was auch direkt zu Mehreinnahmen beim Anbieter führt. Beim SaaS-Modell hat der Hersteller kontinuierliche Einnahmen, anders als beim Erwerb von Software durch den Kunden, da es nicht mehr möglich ist, die Software auch über das Ende der Supportzeit hinaus zu nutzen. Zudem entfallen aufwendige Vertriebs- und Lieferinfrastrukturen beim Software- oder SaaS-Diensteanbieter, da dieser gleichfalls die Cloud als Absatzweg nutzt.
Die Nutzung von Cloud-Lösungen bedeutet aber nicht, dass die IT-Security für den Kunden automatisch als gegeben betrachtet werden kann. Der Kunde ist auch in der Cloud abschließend für die Sicherheit seiner Daten verantwortlich.
Die Verantwortung des Cloud-Nutzers wird in der Regel im sogenannten „Shared Responsibility Model“ (Abbildung 1) abgebildet.
Abbildung 1: Verantwortungsschnitt IT-Security im Shared Responsibility Model
Maßgeblich hierbei ist die Art des vom Benutzer konsumierten Cloud-Dienstes und dessen Fertigungstiefe. Hierbei wird im Wesentlichen zwischen den folgenden Modellen unterschieden:
• Infrastructure as a Service (IaaS) Bei IaaS bezieht der Kunde im Wesentlichen virtuelle „Hardware“ bestehend aus Netzwerk, Storage- und Compute-Anteilen. Dies wird über ein Cloud-Portal bereitgestellt und kann zusätzlich über die angebotene API vollständig automatisiert provisioniert werden. Dies wird sehr häufig auch als Infrastructure as a Code bezeichnet. Es besteht hierbei jedoch kein wesentlicher Unterschied zu modernen Virtualisierungslösungen, die dies in ihren aktuellen Versionen meist ebenfalls enthalten. Aus dem Blickwinkel der IT-Sicherheit eröffnen sich jedoch einige neue Möglichkeiten. So kann eine Filterung im Netzwerk leichter und konsistenter umgesetzt werden. Eine Filterung kann dabei sowohl auf Netzwerkebene als auch direkt am virtuellen Netzwerkadapter eines Systems erfolgen. Weiterhin können Systeme leichter vereinheitlicht werden, und eine automatisierte Bereitstellung reduziert mögliche Fehler. Wie in Abbildung 1 ersichtlich, übernimmt der Cloud-Anbieter dabei die Verantwortung für die darunterliegenden Schichten. Die Attestierung eines entsprechenden Sicherheitslevels erfolgt durch typische IT-Security-Standards wie ISO270xx sowie ergänzende Standards, mit denen der Cloud-Anbieter seinen Kunden die Einhaltung der Prüfkriterien belegt.
• Platform as a Service (PaaS) Eine weitere Steigerung der Fertigungstiefe stellt PaaS dar. Hier stellt der Cloud-Anbieter fertig nutzbare Middleware-Komponenten bereit, z. B. gemanagte Datenbanken oder Kubernetes (K8s) Container-Cluster. Betriebssysteme und Middleware-Software werden vom Cloud-Anbieter selbst verwaltet und aktualisiert. Einen Zugriff auf dieser Ebene erhält der Kunde nicht. Es obliegt dem Kunden, primär die Zugriffe auf die Daten in der Middleware einzuschränken, sicherheitsrelevante Parameter anzupassen bzw. erweiterte Sicherheitsfunktionen zu aktivieren (z. B. Datenverschlüsselung). Auch diese Einstellungen können durch die API automatisiert werden. Speziell in diesem Szenario muss jedoch beachtet werden, dass Middleware-Software regulären Versionswechseln unterliegt. Dies muss der Kunde, wie in bisherigen IT-Umgebungen, weiterhin berücksichtigen, da die Versionswechsel beispielsweise auch Änderungen an der Funktionalität oder den Softwareschnittstellen hervorrufen könnten. Als Sonderform von PaaS sind Container sowie Serverless-Lösungen zu sehen. Der Cloud-Anbieter stellt hierfür eine automatisierte Container-Orchestrierungslösung bereit, welche der Kunde zum Ablauf seiner Anwendung nutzen kann. Im Fall von Serverless geht dies noch etwas weiter. Der Kunde erhält zusätzlich eine standardisierte, temporäre Runtime-Umgebung, in welcher er seinen Code zur Ausführung bringen kann. Eine Bezahlung erfolgt dabei auf Basis der Anzahl der Aufrufe, der Laufzeit des Codes, ggf. konsumierter Ressourcen (z. B. Netzwerk, Storage), der Lokation sowie der Verfügbarkeit.
• Software as a Service (SaaS) Die höchste Fertigungstiefe bildet SaaS. Hier bezieht der Kunde eine komplette Anwendung beziehungsweise einen Anwendungsservice, z. B. ein CRM-System, eine Kollaboration-Plattform oder Ähnliches. Der Cloud-Anbieter ist hierbei für den gesamten Stack bis zur Anwendung verantwortlich. Für den Kunden bleibt aus Sicht der IT-Sicherheit hier nur noch die direkte Zugriffssteuerung auf Daten, die Überwachung der Zugriffe anhand von Logdaten sowie ggf. die Verschlüsselung der Daten. Der notwendige administrative (IT) Aufwand für die Nutzung einer Anwendung sinkt dadurch für die Kunden deutlich. Gleichzeitig steigt jedoch die Abhängigkeit vom Cloud-Anbieter (Vendor Lock-in) und das notwendige Vertrauen, das einem Dienstleister entgegengebracht werden muss. Ein großer Teil des IT-Betriebs wird aus Sicht der IT-Sicherheit zur Blackbox für den Kunden, und es bleibt, wie bereits oben aufgeführt, im Wesentlichen die Prüfung über Dritte (Zertifikate) als „Qualitätskontrolle“ der IT-Sicherheit.
In der Cloud muss neben den Arten der angebotenen Leistungen das jeweilige Bereitstellungsmodell unterschieden werden. Diese Modelle unterscheiden sich zum Teil deutlich hinsichtlich ihrer Bedrohungsszenarien.
Im Fall der Private Cloud erfolgt eine Bereitstellung klassisch im eigenen Rechenzentrum bzw. in dem eines Outsourcing-Anbieters. Der Kunde ist der alleinige Nutzer der Cloud-Ressourcen. Als Sonderform davon kann das Modell der Community Clouds gesehen werden. Hier teilt sich der Kunde die Ressourcen mit gleichartigen Kunden (z. B. Banken, Öffentliche Verwaltung oder spezifische Branchen). Diese besitzen in der Regel ein ähnliches Anwendungs- und Risikoprofil. Wesentliche Ressourcen, z. B. das Cloud-Management (API), sind nur aus privaten Netzen erreichbar.
Die Public Cloud unterscheidet sich hiervon grundlegend. Alle Management-Schnittstellen sind über das Internet erreichbar. Die Cloud-Ressourcen sind regulär ebenfalls im Internet
