Die unternehmerischen Prozesse spielen in der heutigen Zeit der hybriden Landschaften mehr und mehr eine entscheidende Rolle. Es müssen Berechtigungskonzepte (inkl. Schnittstellen) entsprechend der austauschbaren Landschaften aufgebaut werden. Hier kommen Cloud-Szenarien zum Einsatz, die bei unterschiedlichsten Anwendungen genutzt werden. Meist ist aber gar nicht genau klar was eine Cloud überhaupt ist, wie sie funktioniert, was darin wie und wo abgelegt ist.
NTT DATA Business Solutions
Datensicherheit in der Cloud – Datensicherheit und Datenintegrität
Die unternehmerischen Prozesse spielen in der heutigen Zeit der hybriden Landschaften mehr und mehr eine entscheidende Rolle. Es müssen Berechtigungskonzepte (inkl. Schnittstellen) entsprechend der austauschbaren Landschaften aufgebaut werden. Hier kommen Cloud-Szenarien zum Einsatz, die bei unterschiedlichsten Anwendungen genutzt werden. Meist ist aber gar nicht genau klar was eine Cloud überhaupt ist, wie sie funktioniert, was darin wie und wo abgelegt ist.
Die Cloud (Deutsch = Wolke) ist anders als sein Wortursprung kein nebulöses Gebilde, das irgendwo unkontrolliert herumschwirrt und keiner die genaue Art und Dimension kennt. Cloud bezieht sich viel mehr darauf, dass IT-Lösungen und –Applikationen aus dem „heimischen“ lokalen IT-Umfeld vor Ort in ein externes Umfeld mit speziellen Merkmalen der Cloud-Server ausgelagert werden.
Hierbei muss man grundsätzlich zwischen zwei Gebieten unterscheiden:
- Auslagerung einer Applikation in ein externes Umfeld:
Wird eine vorhandene Applikation, mehr oder weniger unverändert, aus dem „heimischen“ lokalen IT-Umfeld in ein externes Umfeld übertragen, so wird dies auch gerne am Markt als Übertragung in die Cloud beschrieben. Genau genommen handelt es sich hierbei aber nicht um eine Cloud, sondern um „externes Hosting“, da hier dann nahezu keine, oder gar keine, Features (z.B. Logon Balancing, Hochverfügbarkeit der Daten, Skalierbarkeit, Ausfallsicherheit etc.) zum Einsatz kommen.Eine solche Nutzung eines externen Speichers oder der Auslagerung von Informationen auf einen externen Speicher kennen wir ja bereits seit den frühen 90er Jahren. Hier kamen dann DFÜ (Daten Fern Übertragung), Akustikkoppler etc. zum Einsatz. Diese dürften der Generation 40+ bzw. 50+ sicherlich noch geläufig sein. und neue Möglichkeiten und Applikationen wurden implementiert. Die Entwicklung des Internets hat hierbei weitere Features hervorgebracht und möglich gemacht. So war es nach und nach möglich z.B. immer mehr unterschiedliche Datenbanksysteme anzubinden. Erst durch den Einsatz entsprechender Cloud-Features bekommt dies dann aber auch einen entsprechenden Cloud Charakter, bei der die Datenlast auf mehrere Applikationen und Server verteilt wird, um diese schneller zu verarbeiten und die Ausfallsicherheit zu erhöhen. - Überführung von Applikationen in eine Cloud Anwendung:
Bei der Überführung von Dienstleistungen oder Anwendungen in eine Cloud Anwendung (z. B. SAP SuccessFactors) werden die benannten neuen Cloud-Features weitergehend genutzt, die technisch in der „alten“ Umgebung (SAP ERP ECC) nicht möglich sind oder waren. Die Anwendung selbst wird durch eine entsprechende Cloud-Applikation unterstützt, erweitert bzw. ersetzt. Hierbei können die Daten aus der „Alt-Anwendung“ in die neue Cloud-Anwendung überführt und dort weiter genutzt und ausgebaut werden. Hierdurch war es z.B. auch möglich technisch unterschiedliche – also heterogene – Systeme (z.B. unterschiedliche Datenbanksystem) anzubinden und eine Kommunikation zwischen diesen Systemen zu ermöglichen. Dadurch ändern sich natürlich entsprechend die Art der Nutzung, die Möglichkeiten, die Bedienung, die Optik etc. Aber die Grundfunktionalität selbst bleibt hierbei meist generell erhalten. Somit kann die vorhandenen Datenmenge sehr viel effektiver genutzt und verarbeitet werden.
Eine der ersten Lösungen, die in diesem Zusammenhang aufkam war „SuccessFactors“ – also das HCM System in der Cloud. Hier haben sich aber nun noch einige weitere Cloud Applikationen, wie die Dropbox, Amazon Drive oder viele weitere, entsprechend etabliert. Neben den reinen Speicherhaltungen in der Cloud werden auch immer mehr Anwendungen, die aktuell noch lokal auf einem Rechner liegen, in die Cloud überführet. So arbeitet z.B. die neueste Version von Microsoft Office ebenfalls mit Cloud Applikationen, sodass die Anwendungen und Daten direkt mit jedem internetfähigen Gerät an jedem Ort der Welt aufgerufen werden können. Hier werden wir in Zukunft sicher noch viele weitere Applikationen sehen, die in eine Cloud ausgelagert werden.
Die Zeiträume in dem entsprechende Applikationen in eine Cloud überführt werden, werden immer kürzer. Wichtig hierbei ist aber das „Mapping“ einer Rolle, bzw. der Zugriffsberechtigungen oder eines Arbeitsplatzes, in der jeweiligen Umgebung zu berücksichtigen.
Wo wird die Administration und das Mapping der Rollen, die im Berechtigungskonzept verankert sind, durchgeführt? Wo werden meine Daten gelagert und verarbeitet? Wie sicher ist der Zugriff? etc. …. Dies wirft in diesem Zusammenhang natürlich neue Fragen auf, die hier eine zentrale Rolle spielen.
Ein Aspekt ist hierbei sicherlich auch die Performance. Werden mehrere oder gar viele Applikationen auf einem Cloud-Server betrieben, so kann es hier zu Performance-Engpässen kommen. So war bereits z.B. die Spitzenlast im Weihnachtsgeschäft, beim Cloud Anbieter Amazon um den Faktor 10 höher, als im normalen Tagesgeschäft. Dies führte unweigerlich zu temporären Problemen bei der Performance und der Erreichbarkeit der Systeme.
Das Learning aus dieser Erfahrung
Es musste eine Lösung geschaffen werden, die diese kurzzeitigen Spitzenwerte in der Verarbeitung ad hoc und mit voller Performance bewältigen kann. Dies führte dann zu den heute gebräuchlichen Konstellationen, bei denen die Last auf vielen unterschiedlichen Servern verteilt wird und um bei Bedarf weitere Server zuzuschalten. Dadurch wird die Datenlast auf jedem einzelnen Server minimiert. Fällt ein Server aus, kann die Datenlast problemlos von den anderen angebundenen Servern „aufgefangen“ werden.
Genau an dieser Stelle setzten die Technologien des Cloud-Computings an: Hierbei werden verschiedene Anforderungen an den Cloud-Server nicht auf einem Server verarbeitet, sondern – bei Bedarf – auf mehrere Server verteilt, die untereinander verbunden sind. Diese sind theoretisch geografisch absolut unabhängig und können über den kompletten Erdball verteilt sein. Zwingende Voraussetzung hierbei ist natürlich eine sehr gute Verbindung auf Breitband Ebene um die Datenströme auch sehr schnell von A nach B bringen zu können.
Datenkonformität und Datenintegrität
Auf der anderen Seite kann dies natürlich auch potentielle Risiken mitbringen. Wenn ein Kunde einen Cloud-Anbieter wählt, um seine Applikationen auszulagern, gibt dieser zwangsläufig auch seine Daten „aus der Hand“.
Da der jeweilige Kunde allerdings immer noch die sogenannte „Daten-Ownerschaft“ besitzt, ist er auch weiterhin für die Richtigkeit (Stichwort: Datenintegrität) und den Inhalt der Daten verantwortlich. Hier müssen dann – wie auch in einem eigenen System – entsprechende Maßnahmen (z.B. durch die Implementierung eines Berechtigungskonzeptes oder eines IKS) gegen Manipulation und Missbrauch der Daten installiert und validiert werden.
Eine weitere Maßnahme ist hier auch die Prüfung durch ein externes Audit, um die Datenkonformität und Datenintegrität des externen Dienstleisters sicherzustellen und so die Zusammenarbeit auf fest definierte Vertragsoptionen zu stellen.
Daher muss auch hier, wie oben bereits erwähnt, ein entsprechenden Zugriffs- und Berechtigungskonzept aufgebaut werden. Dies ist im Grundsatz mit einem Konzept im „alten“ Umfeld vergleichbar. Hier ändern sich allerdings die Cloud-spezifischen Parameter und fließen in den Aufbau eines Berechtigungs- und Zugriffskonzeptes mit ein.
So laufen die Zugriffe nicht mehr über Transaktionen und Rollen, sondern werden innerhalb der Applikation über sogenannte Privilegien zur Verfügung gestellt. Die Zugriffseinschränkungen werden dann hier direkt innerhalb dieser Privilegien hinterlegt. So müssen natürlich hier auch Cloud-spezifische Komponenten mit berücksichtigt und in ein entsprechendes Konzept mit eingearbeitet werden.
Von daher müssen nicht „nur“ die Berechtigungen innerhalb der Applikation über ein entsprechendes Konzept berücksichtigt werden, sondern hier muss ein weiteres sehr starkes Augenmerk auf die Schnittstellen gelegt werden, dass die Kunden Applikation mit dem Cloud Anbieter verbinden. Diese Schnittstellen sind ein potentieller Schwachpunkt für Angriffe und Zugriff auf relevante Daten und müssen entsprechend abgesichert werden.
Wir bei NTT DATA Business Solutions haben uns hierzu, in den letzten Jahren, bereits ein sehr großes Portfolio aufgebaut. Dadurch finden wir dann für Ihre individuellen Anforderungen die Lösung, die optimal zu Ihnen passt und Ihre Bedürfnisse abdeckt.
Sie haben Fragen zum Thema oder wünschen ein persönliches Gespräch? Kontaktieren Sie mich gern. Ich freue mich auf Sie!
– von Thomas Leger, SAP Security Expert, NTT DATA Business Solutions AG-
E-Mail: [email protected]