Wie heikle Infrastruktur
mittels Cloud Computing gesichert werden kann

Wie heikle Infrastruktur
mittels Cloud Computing gesichert werden kann

Eine Horror-Vision, wie sie nur von Hollywood ersonnen und filmisch umgesetzt werden kann: Ausgerechnet am amerikanischen Unabhängigkeitstag bringt eine Terrorgruppe in den USA diverse Computernetzwerke unter ihre Kontrolle und legt damit das gesamte Land lahm.

Kraftwerke werden ausgeschaltet, manipulierte Verkehrsampeln lösen ein lebensgefährliches Durcheinander auf den Straßen aus, Handys und Festnetztelefone funktionieren nicht, Fernsehsender können nicht mehr senden. Natürlich nimmt ein einsamer Held in typischer Manier den Kampf gegen die Angreifer auf und macht sie unschädlich: „Stirb langsam 4.0“ ist Hollywood-Unterhaltung, nicht mehr und nicht weniger.

Vernetzung

Ein Szenario, das bei aller übertriebenen Dramatik aber gar nicht so abwegig ist: Die zunehmende Vernetzung von Unternehmen, öffentlichen Einrichtungen und Privatpersonen ermöglicht zwar einerseits hohe Flexibilität und ist irrsinnig bequem, erhöht aber andererseits die Gefahr von Missbrauch. Das ist der Grund, weshalb Cloud Computing – mit diesem Begriff umschreibt man vereinfacht gesagt die Bereitstellung von IT-Services über externe Server – bei wichtigen Infrastruktureinrichtungen besonders heikel ist und daher in der Praxis vergleichsweise wenig angewandt wird. Tatsächlich sind vor dem Einsatz von Cloud-Services für diese sogenannten kritischen Infrastrukturen, zu denen etwa Flughäfen oder Spitäler zählen, eine Reihe rechtlicher, technischer und organisatorischer Fragen zu beantworten.

Im Rahmen des EU-Projekts SECCIRT (kurz für „Secure Cloud Computing for Critical Infrastructure IT“) sollen nun aber die Voraussetzungen für eine technologische Umsetzung untersucht werden, das Austrian Institute of Technology (AIT) ist federführend bei diesem Projekt, das seit Jänner dieses Jahres läuft und über ein Budget von 4,8 Millionen Euro verfügt. Partner sind dabei unter anderem das Karlsruhe Institute of Technology, NEC Europe, die britische Lancaster University und Fraunhofer IESE. Ziel von SECCIRT ist, die offenen Fragen beim Einsatz von Cloud Computing in sensiblen Umgebungen zu beantworten, wie Projektleiter Markus Tauber von der Forschungsgruppe ICT Security am Safety & Security Department des AIT erläutert. Für eine Risikoabwägung ist nämlich auch zu bedenken, dass es derzeit noch an den nötigen Standards und Zertifizierungen mangelt.

Für das Projekt wurden zwei konkrete Fallbeispiele entwickelt, die die Chancen und Gefahren von Cloud Computing aufzeigen sollen: In einem Fall geht es um die Videoüberwachung von Einrichtungen wie Flughäfen – für eine Auswertung von Videodateien wäre es sinnvoll und kostengünstig, Cloud-Provider zu beauftragen. Doch es ist rechtlich nicht vorstellbar, dass solche Daten auf irgendeinem Server lagern. Wer also sollte darauf Zugriff haben und wie? Die zweite Case Study ist ähnlich gelagert: Hierbei wird ein Vorfall in einer U-Bahn-Station simuliert, bei dem Sachschaden entstanden ist. Die Auswertung der Überwachungsdaten funktioniert aber nicht, Cloud-Anbieter und U-Bahn-Betreiber schieben sich gegenseitig die Schuld zu. Wer haftet nun?

Parameter austüfteln

Diese (nicht realen) Fälle zeigen, welche Probleme auf die Nutzer und die Anbieter von Cloud Computing zukommen können. Wichtige Parameter für einen sicheren Einsatz sind Zuverlässigkeit und ein ausgeklügeltes Sicherheitssystem inklusive sicherer Datenübertragung, Verschlüsselung und Authentifizierung. Das AIT-Projekt soll letztlich zu einer klaren Definition gesetzlicher Richtlinien und zu einer Entwicklung konkreter Sicherheitsanforderungen führen. Der Teufel steckt dabei im Detail: Bei kritischen Infrastrukturen wäre es zum Beispiel notwendig, dass der jeweilige Betreiber über definierte Schnittstellen direkt auf die Cloud-Server zugreifen kann – etwas, das im Regelfall nicht vorgesehen ist. Doch nur so können die höheren Sicherheitsanforderungen in diesem Bereich erfüllt werden.

Letztlich wird das AIT-Projekt nicht nur einen Fragenkatalog mit den brennendsten Themen erstellen, sondern gleich auch konkrete Lösungen für die Praxis erarbeiten. Damit es in der Realität nicht Hollywood spielt.

Innovation

BCG Top-50 Innovatoren: Google erstmals an der Spitze

Innovation

Landwirtschaft 4.0: Digitale Revolution am Bauernhof

Innovation

Schnell und sicher: Smarte Lawinensonde zeigt Schneeprofil an

Technik

CES: Der Kampf um die Technologie der Zukunft