Bundesamt für Sicherheit in der Informationstechnik

G 2.179 Fehlende Herstellerunterstützung bei der Bereitstellung von Cloud-Diensten

Es kommt selten vor, dass alle Anwendungen, Produkte oder Plattformen aus der Cloud vom Cloud-Diensteanbieter selbst verantwortet oder entwickelt werden. Oft besteht die Konstellation, dass der Cloud-Diensteanbieter zur Bereitstellung der Cloud Services auch Drittdienstleister hinzuzieht, In solchen Fällen entstehen Abhängigkeiten, die dazu führen können, dass die Cloud-Dienste beeinträchtigt werden.

Für die Cloud-Dienste ergeben sich verschiedene Gefährdungsszenarien, die vor allem mit fehlender Herstellerunterstützung ( d. h. Unterstützung der beteiligten Dritten) zu tun haben.

Fehlerhaftes Vornehmen von Sicherheitseinstellungen durch Dritthersteller

Für Cloud-Dienste, die auf Anwendungen von Drittherstellern basieren, übernimmt der Cloud-Diensteanbieter die notwendigen Konfigurationen, die auch Sicherheitseinstellungen enthalten. Es besteht die Gefährdung, dass der Dritthersteller nicht auf die notwendigen Sicherheitskonfigurationen hinweist oder den Cloud-Diensteanbieter nicht ausreichend für die Umsetzung der Sicherheitseinstellungen unterstützt.

Wenn aus Gewährleistungsgründen Sicherheitseinstellungen ausschließlich durch den Dritthersteller vorgenommen werden dürfen, besteht für den Cloud-Dienstanbieter die Gefährdung, dass der Dritthersteller fehlerhaft konfiguriert. Dies ist zum Beispiel der Fall, wenn eine Anwendung vom Cloud-Diensteanbieter eingekauft wird und sicherheitsrelevante Konfigurationen (wie z. B. die Auswahl eines hinreichend sicheren Verschlüsselungsalgorithmus) nur mit der Unterstützung eines Software-Herstellers möglich sind.

Beschränkte Kompatibilität der eingesetzten Cloud-Komponenten von Dritten

Es kann vorkommen, dass Cloud-Dienste, die auf Anwendungen von Drittherstellern basieren, inkompatibel mit der zugrunde liegenden Cloud-Infrastruktur sind. Anwendungen werden häufig durch ihren Hersteller für eine bestimmte Kombination aus Betriebssystem und Hardwareplattform freigegeben. Zum Beispiel kann eine Cloud-Anwendung von einem Dritthersteller nur für ein Windows Betriebssystem in der bestimmten Version freigegeben worden sein und eine Herstellerunterstützung nur bei Einhaltung dieser Vorgaben zu Kompatibilität vorgesehen worden sein. Hieraus entsteht die Gefährdung, dass im Falle einer Schwachstelle oder eines Anwendungsfehlers der Hersteller nicht unterstützt oder eine Fehlerbehebung nur unter Änderung der zugrunde liegenden Plattform möglich ist. Dies kann dazu führen, dass die Dienste-Qualität beeinträchtigt und im schlimmsten Fall eine Beseitigung von Schwachstellen verhindert wird.

Fehleranfälligkeit durch fehlende Nutzung von standardisierten Formaten

Bei Angeboten der form IaaS kann die Portabilität von virtuelle Maschinen dadurch erreicht werden, dass OVF (Open Virtualization Format) eingesetzt wird. OVF ist ein plattformunabhängiger Standard, der dazu eingesetzt werden kann, virtuelle Appliances zu verpacken und zu verteilen. Oft nutzen allerdings Anbieter von virtuellen Maschinen eigene Formate.

Dadurch wird eine Verpackung und Verteilung von virtuellen Maschinen erschwert. Entsprechend muss der Cloud-Diensteanbieter viele Konfigurationen und Operationen im Cloud Management für die Verteilung von Cloud-Diensten vornehmen, wodurch der Cloud Management Prozess /(Cloud-Konfiguration) fehleranfälliger wird.

Stand: 14. EL Stand 2014