Sicherheit & Support

Auf der einen Seite vertreten einige Sicherheitsexperten die Meinung, dass die Datensicherheit gesteigert wird, wenn Daten zentral gespeichert, anstatt (wie in der Cloud) auf mehrere Systeme verteilt werden. Auf der anderen Seite gibt es Argumente, dass Cloud-Anbieter über hochqualifizierte Teams verfügen, die sich um nichts anderes kümmern als um Sicherheit. Diesen Luxus haben die meisten traditionellen Hoster nicht – ganz zu schweigen von Unternehmen, die ihre Server selbst hosten.

Ich persönlich stufe das Sicherheitsrisiko der Software, die auf dem Virtualisierung-Stack betrieben wird, in der Regel als weitaus höher ein als die theoretische Möglichkeit, dass die Virtualisierungs-Software ein Problem enthält, die es einem Angreifer ermöglicht, aus seinem Container auszubrechen. Dabei denke ich zum Beispiel an die unzähligen WordPress-Websites, die niemand pflegt und die gravierende ungepatchte Sicherheitslücken aufweisen. Diese und viele andere Systeme stellen ein viel leichteres Ziel für Angreifer dar.

Generell ausschließen kann man allerdings nicht, dass es irgendwann jemand schafft, auch die Sicherheit der Container auszuhebeln.

Große Cloud-Anbieter wie AWS haben ein striktes Shared-Responsibility-Modell. Wie der Name bereits suggeriert, wird hier die Verantwortlichkeit für den sicheren Betrieb zwischen dem Kunden und dem Cloud-Anbieter geteilt. Die physikalische Infrastruktur liegt in der Verantwortung des Anbieters, der Betrieb der Software auf der In­frastruktur beim Kunden. Das heißt zum Beispiel, dass der Kunde selbst dafür sorgen muss, dass auf seinen Servern Sicherheits-Updates eingespielt werden, die Firewall richtig konfiguriert ist und SSL/TLS in Online-Shops zum Einsatz kommt.

Der Anbieter wiederum kümmert sich um eventuelle Zertifizierungen und Testierungen. Bei AWS sind das unter anderem C5 vom Bundesamt für Sicherheit in der Informationstechnik (BSI), PCI DSS, ISO 9001 und diverse weitere Zertifikate.

Argument sechs: »Wer hilft uns, wenn etwas nicht wie erwartet funktioniert?«

Das Thema Support ist mit Vorsicht zu betrachten. Ähnlich wie bei der zuvor erwähnten Sicherheit existiert hier ebenfalls eine gemeinsame beziehungsweise geteilte Verantwortlichkeit zwischen dem Kunden und dem Cloud-Anbieter.

Für alles, was in der Cloud betrieben wird, ist der Kunde selbst verantwortlich. Praktisch bedeutet das, dass der Anbieter nicht weiterhelfen kann, wenn die Website plötzlich nicht mehr richtig funktioniert oder man die Zugangsdaten zur eigenen WordPress- oder TYPO3-Instanz vergessen hat. Kein Mitarbeiter des Cloud-Anbieters wird sich per SSH auf dem Server anmelden und helfen, die Konfiguration des Webservers zu analysieren und gegebenenfalls zu korrigieren.

Eventuelle Software-Updates sind Sachen des Kunden. Das Einspielen einer neuen PHP-, WordPress- oder Magento-Version muss man ebenso selbst vornehmen wie ein Server-Upgrade. Aus eigener Erfahrung kann ich allerdings berichten, dass sich Kunden der Unterstützung von Cloud-Anbietern sicher sein können, wenn es um die Architektur einer Hosting-Lösung geht. Bei der Planung, wie einzelne Dienste am besten eingesetzt und kombiniert werden können oder welche Produkte am besten für bestimmte Anwendungsfälle geeignet sind, bieten die meisten Anbieter professionelle Unterstützung an – und das meistens kostenlos.