Cloud Computing / Security / Software-Test / Testmanagement

Testen der Cloud – Irrfahrt durch den Nebel?

Die Cloud ist in aller Munde, ob Amazon, Google oder andere Betreiber. Die Cloud bietet kostengünstige Speichermöglichkeiten und noch vieles mehr. Bedenken bezüglich der Sicherheit von Daten und Prozessen werden letztlich von den – meist – geringeren Kosten aufgehoben. Schließlich kann von Speicherplatz über Services bis hin zu Software alles nach dem pay-per-use-Prinzip angemietet werden. Wie der Name schon sagt, wird dabei nur jene Leistung bezahlt, die auch benötigt wird. Vor allem für KMU´s und Startups ein Vorteil, sind doch die Kosten einer entsprechenden Softwareausstattung für viele Kleinbetriebe und Neueinsteiger ein Hindernis.

Business man with white cloud on his head concept

Vertrauen ist gut, aber Kontrolle ist besser. Mit letzterer sieht es nach einer Umfrage des Ponemon Institutes schlecht aus: Denn über zwei Drittel der Cloud-Anbieter würden die Verantwortung für die Sicherheit gerne bei den Nutzern sehen. Von denen fühlt sich aber nur ein Drittel als für die Sicherheit selbst verantwortlich, ein weiteres Drittel sieht die Verantwortung rein bei den Providern und das letzte Drittel der Cloud-Nutzer geht von einer geteilten Verantwortung aus. Daher stellt sich die Frage:

Wer testet überhaupt?

Durch den Aufbau bzw. den Betrieb von Cloud sind drei beteiligte Gruppen zu identifizieren:

  1. der Kunde/Nutzer der Cloud
  2. der Anbieter, der einen Vertrag mit dem Nutzer hat
  3. der Betreiber, der einen Vertrag mit dem Anbieter hat

Für jede dieser beteiligten Gruppen gelten gerade für den Test unterschiedliche Voraussetzungen:

Der Betreiber: muss testen. Es reicht dabei nicht nur die Verifikation und Validierung, der Betreiber muss auch die Sicherheit seiner Systeme gegenüber unberechtigten Zugriffen nachweisen können. Weiters sollen die Performance und die Ausfallssicherheit getestet werden.

Der Anbieter: Aus der Sicht des Betreibers gesehen, muss der Anbieter einen Abnahmetest durchführen. Da die gemietete Software in der Cloud als Standardprodukt gilt, sollten hier vor allem sicherheitstechnische Aspekte geprüft werden. Je nach Ausprägung der Dienstleistung müssen auch Oberflächen und Kompatibilität zu Betriebssystemen getestet und die Performance überprüft werden.

Der Nutzer: Auch er sollte (Abnahme-)testen, wird aber oftmals keine eigene Testabteilung haben. Bei besonders kritischen Prozessen oder Daten sollte sich der Nutzer daher überlegen, den Test an eine externe Firma auszulagern. Dies gilt vor allem dann, wenn eine dauerhafte Bindung an den Cloud-Anbieter eingegangen werden soll und natürlich für Cloud-Lösungen, in denen kritische Daten ausgelagert werden. Ein weiterer Punkt ist die Frage, ob die angebotene Cloud-Lösung für die Anforderungen des Nutzers geeignet ist. Können die Prozesse des Nutzers eingebunden werden? Der Test wird daher neben der Sicherheit auch ein Hauptaugenmerk auf die Validierung legen.

 

Mögliche Szenarien in Betracht ziehen

Weitere Sicherheitsaspekte betreffen nicht nur unbefugte Zugriffe. Folgende Punkte müssen vom Nutzer in Betracht gezogen werden:

  • Ausfall des Cloud-Betreibers: Gibt es Umgehungsvarianten? Der Ausfall etwa von Google Apps und Gmail 2009 zeigt, dass auch große Cloud-Anbieter und Betreiber vor Ausfällen nicht gefeit sind. Was passiert, wenn ich nicht auf meine wichtigsten Daten zugreifen kann? Wenn mein Geschäftsprozess stundenlang nicht verfügbar ist? Auch die Alternativen müssen getestet werden.
  • Was passiert mit Backups? Jeder Cloud-Betreiber muss Backups anlegen,. Was passiert aber, wenn der Vertrag beendet wird?
  • Doppelte Datenhaltung: Cloud Betreiber spiegeln für Load-Balancing (und auch für Ausfallssicherheit) ihre Daten auf verschiedene Server. Was passiert damit, wenn sie den Vertrag beenden?
  • Migration: Können ihre Daten einfach und sicher in die Cloud gebracht werden? Das ist meist noch relativ einfach, da Datenvolumen bei Neuaufnahmen noch nicht so umfangreich sind. Wichtiger ist die Frage, ob sie ihre Daten auch wieder aus der Cloud abziehen können bzw. wie sie ihre Daten von einem Cloud-Anbieter zu einem anderen bekommen. Zwar versprechen einzelne Anbieter, dass sie den Anbieter problemlos wechseln können, ein einheitlicher Standard dazu existiert jedoch nicht.
  • Der Nutzer muss – sofern verschiedene Cloud-Lösungen gewählt wurden – auch das Zusammenspiel der einzelnen Lösungen testen. Da es sich in der Regel um Standardprodukte handelt, fallen hier vor allem Schnittstellen und nutzerspezifische Anpassungen an.

 

Kleine Fische sind auch interessant!

Bezüglich der Sicherheit hört man – meist von Privatanwendern – häufig, dass man selbst ja ein zu kleiner Fisch ist, um für Hacker interessant zu sein. Bei einer Massendatenhaltung wie auf Cloud-Servern sieht die Situation aber schon anders aus. Mag es für einen Hacker noch zu unrentabel sein, Ihre Kreditkarteninformationen von Ihrer Festplatte zu bekommen (durch „individuelle Betreuung“) oder die Datenbanken jeder Firma einzeln zu hacken, so sind die Informationen von tausenden Usern, die sich auf einer Serverfarm befinden und durch die gleiche Sicherheitslücke zu erreichen sind, ein lohnendes Ziel.

Doch wie so oft: Es sind sich alle Beteiligten einig, dass getestet werden muss – solange die damit verbundene Verantwortung und Kosten andere auf sich nehmen.

3d humanoid character looking a jigsawDer Nutzer hat dabei aber die unangenehmste Position. Schließlich handelt es sich um seine Daten, er hat aber meist aus Kostengründen eine Cloud-Lösung gewählt. Dazu kommt, dass Anbieter und Betreiber sich natürlich nicht gerne in die Karten sehen lassen. Nachweise sind allerdings selten, selbst vertragliche Absicherungen (noch) die Ausnahme.

 

Die Rechtslage

Aber viele der Probleme bezüglich der Sicherheit und Cloud sind rechtlicher Natur. Hier herrscht noch eine Grauzone. Generell sollte gelten: Rechtliche Absicherung für den Schadensfall ist gut,  am besten kommt es erst gar nicht zu einem Vorfall. Denn ist das Vertrauen der Kunden erst erschüttert, bedeutet es leicht das Aus für ein mittelständisches Unternehmen.

Rechtliche Aspekte beginnen bereits bei der – in der Cloud gar nicht so – einfachen Frage, wo denn die Rechenzentren oder Serverfarmen stehen. Ihr Cloud-Anbieter mag seinen Firmensitz in Österreich haben, die – oft beim Betreiber angemieteten – Serverfarmen stehen allerdings im Ausland. Und jedes Land hat eine eigene Rechtslage. Ist diese innerhalb der EU noch relativ einheitlich, sind gerade in Bezug auf Datenschutz bereits deutliche Unterschiede zu den USA merkbar. Dass daher auch die Zugriffsberechtigungen auf ihre Daten unterschiedlich aussehen können, kann sich jeder vorstellen, der die Nachrichten der letzten Jahre verfolgt hat.

 

Fazit

Auch wenn es derzeit nicht im Trend liegt, die Cloud zu hinterfragen: Jeder Nutzer muss sehr genau das Pro und Contra abwägen. Und nicht zuletzt auch testen!

 

Passende Artikel

Kommentare gesperrt.