Einzelne Gefahrenquellen entlang der Sicherheitskriterien vom BSI
Was die Cloud ermöglicht, ist, dass Anbieter verschiedene Services realisieren können – im Einzelnen in folgenden Bereichen: Plattform (PaaS), Software (SaaS) und Infrastruktur (IaaS). Deren Anwendungsmöglichkeiten gilt es insbesondere im Produktions- und Fertigungsumfeld mit Blick auf die Sicherheitskriterien genauer zu überprüfen.
Plattform as a Service
PaaS, also der Bereitstellung einer Laufzeit- und Entwicklungsumgebung, bietet z.B. die Möglichkeit, dass Hersteller mit ihren Lieferanten gemeinsam an einer Produktentwicklung arbeiten. Hier könnte u.a. die Vertraulichkeit ein kritischer Punkt sein. So stellt sich etwa die Frage, ob bei der Abspeicherung von Entwicklungsdaten in einer geteilten Umgebung der Anbieter der Lösung tatsächlich in der Lage ist, eine exakte Trennung zwischen den Mandaten zu gewährleisten. Ein wichtiges Basiskriterium bei der Anbieterauswahl, denn ein höheres Schutzniveau lässt sich nicht allein dadurch erreichen, dass die Daten seitens des Kunden verschlüsselt abgelegt werden – hier spielen wiederum organisatorische Aspekte eine bedeutende Rolle, z.B. ob Personen beim Dienstleister einen Zugriff auf die Schlüssel erhalten. Eine unzureichende Separierung birgt zudem die Gefahr, dass auch gezielte Angriffe auf einen Mandanten zu allgemeinen Kollateralschäden führen.
Software as a Service
Bei SaaS wird Software zur Verfügung gestellt – im Unterschied zu dem herkömmlich bekannten Modell fallen keine pauschalen Lizenzgebühren an, sondern es wird nur der tatsächliche Nutzungszeitraum abgerechnet. Dabei wird die eigentliche Leistung nicht auf dem Rechner des Nutzers ausgeführt – hier erfolgt lediglich die Ein- und Ausgabe der Daten, während deren Verarbeitung in der Cloud stattfindet. Zudem erfolgt die Einrichtung und Wartung der Software benutzerunabhängig in der Cloud und nicht lokal. Daraus eröffnen sich potenzielle Schwachstellen, aus denen sich Auswirkungen im Bezug auf die Datenintegrität ergeben. So besteht u.a. aufgrund fehlerhafter Programmierung der Software die Gefahr, dass die Lösung insgesamt angreifbar ist, weil dadurch beispielsweise auch Implementierungsfehler resultieren können. Hierüber wäre letztendlich ein Zugriff auf die Daten möglich, was sowohl Diebstahl, Löschung oder eine Veränderung der Datensätze gestattet.
