Mit HPC auf Nummer sicher gehen

In diesem Artikel lesen Sie, 

• welche Herausforderungen High Performance Computing (HPC) für Unternehmen in Bezug auf IT-Sicherheit und Datenschutz mit sich bringt,
• für welche HPC-Anwendungsszenarien besondere rechtliche und technische Anforderungen gelten
• und wie Firmen HPC-Ressourcen sicher und bedarfsgerecht aus der Public Cloud nutzen können.

Wer glaubte, nach Inkrafttreten der europäischen Datenschutzgrundverordnung (DSGVO) könnten derartige Regelungen für Unternehmen kaum noch umfassender werden, der wurde Ende April 2019 eines Besseren belehrt: Seitdem gilt in Deutschland das neue Geschäftsgeheimnisgesetz (GeschGehG). Es verpflichtet Firmen zu angemessenen Maßnahmen, um ihre Betriebsgeheimnisse zu schützen. Nur ein Beispiel, das zeigt, wie komplex und volatil die Herausforderungen im Bereich IT-Sicherheit und Datenschutz sind, mit denen sich Unternehmen konfrontiert sehen. 

Herausforderungen, die im Umfeld von High Performance Computing (HPC) nicht gerade kleiner werden. Im Gegenteil: Schließlich greifen Firmen in der Regel auf HPC zurück, um besonders komplexe Problemstellungen nicht nur in besonders kurzer Zeit zu lösen, sondern auch besonders sicher. Etwa, wenn es um die Produktentwicklung geht oder personenbezogene Daten verarbeitet werden, beispielsweise in der Medizin. Wie Unternehmen diese Herausforderungen bewältigen können, ohne IT-Security und Datenschutz zu vernachlässigen, erklären die Cloud-, HPC- und Supercomputing-Experten Max Guhl und Alfred Geiger von T-Systems im Interview

Alfred Geiger: Grundsätzlich sind es dieselben Herausforderungen, die generell bei der Nutzung von Software, Infrastruktur und Plattformen aus Cloud-Umgebungen bestehen. So lassen sich beispielsweise Prozesse mit personenbezogenen Daten aus Compliance-Gründen häufig nur schwer auslagern. Doch im vielschichtigen HPC-Umfeld steigt die Komplexität der Anforderungen noch einmal, wenn wir etwa Anwendungen wie Machine Learning oder Big Data betrachten. Diese erfordern meist eine Pseudonymisierung oder Anonymisierung von Daten und bringen entsprechenden Aufwand für IT-Abteilungen mit sich.

Max Guhl: Entscheidend ist eine Ende-zu-Ende-Betrachtung der gesamten Wirkkette: Von der Netzanbindung der Public Cloud über die Kommunikation der Systeme untereinander bis hin zur Verschlüsselung darf es nirgendwo Schwachstellen geben – und das, ohne die Leistung der Systeme zu beeinträchtigen. Dieser Aspekt kommt besonders im HPC-Umfeld zum Tragen.

Max Guhl: Der Schutz personenbezogener Daten ist im medizinischen Bereich höchst relevant. Ein gutes Beispiel aus dem HPC-Umfeld gibt die Genomforschung, bei der unter Zuhilfenahme von Machine Learning und Big Data Analytics sehr intime Daten verarbeitet werden. Oder das so genannte Intellectual Property: Der Schutz von Geschäftsgeheimnissen betrifft generell alle Bereiche, in denen beispielsweise mithilfe von HPC-Ressourcen virtuelle Prototypen getestet werden. Ein Verfahren, das unter anderem in der Automobilindustrie, aber auch in anderen Firmen aus dem Maschinenbausektor zum Einsatz kommt. Auch Algorithmen, Programmcodes, Dokumentationen und Pläne fallen unter den Know-how-Schutz. In allen diesen Fällen gilt es, Verschlüsselungen einzusetzen und die Mitarbeiter entsprechend zu schulen. 

Im Automotive-Bereich ist darüber hinaus zu beachten, dass Automobilhersteller und Zulieferer, die Rechen- und Speicheraufgaben in die Clouds von IT-Dienstleistern verlagern wollen, damit nur TISAX3-zertifizierte Dienstleister beauftragen dürfen. Und schließlich gelten im öffentlich-behördlichen Umfeld vier Geheimhaltungsstufen von „nur für den Dienstgebrauch“ bis „streng geheim“, die entsprechende, vom Gesetzgeber definierte Maßnahmen erfordern.  

Alfred Geiger: Gesetzgebung ist ein gutes Stichwort, denn sie schränkt de facto die Möglichkeiten europäischer Firmen bei der Auswahl eines Cloud-Anbieters ein. Nehmen wir den CLOUD Act: Das US-amerikanische Gesetz räumt der US-Regierung das Recht ein, im Falle von Ermittlungen personenbezogene Daten von Verdächtigen einsehen zu dürfen – ganz egal, wo auf der Welt diese gespeichert sind. US-amerikanische Cloud-Anbieter sind diesem Gesetz verpflichtet; selbst dann, wenn sie Rechenzentren auf europäischem Boden betreiben. Was bedeutet das für Unternehmen? Aufgrund dieser Regelungen dürfen US-amerikanische Hyperscaler bestimmte Datenverschlüsselungs-Methoden gar nicht einsetzen, wenn diese so gut sind, dass weder die US-Regierung noch der Cloud-Anbieter selbst die Möglichkeit hätte, auf Daten zuzugreifen. Wenn aber nun jemand solche Verschlüsselungen nutzen möchte oder aufgrund gesetzlicher Vorschriften wie der DSGVO einsetzen muss, scheiden Cloud-Ressourcen US-amerikanischer Hyperscaler von vornherein aus. 

Alfred Geiger: Besonders im Vergleich zu Hosting, Private Cloud oder On-Premises installierten, dedizierten Systemen gibt es eine Menge Vorteile. Die IT-Ressourcen erfordern zum Beispiel keine hohen Einmal-Investitionen und die Unternehmen sind nicht an bestimmte Laufzeiten gebunden, da sie den rein bedarfsbezogenen Pay-As-You-Go-Ansatz nutzen und nahezu unbegrenzt skalieren können. So profitieren Kunden von kürzeren Entwicklungszeiten und erhalten mehr Flexibilität, als bei einer On-Premises-Lösung möglich ist. Das setzt natürlich wirkungsvolle begleitende Maßnahmen voraus, um das bestmögliche IT-Security-Niveau erreichen. 

Alfred Geiger: Um Ende-zu-Ende-Sicherheit herzustellen, ist im Wesentlichen ein Paket aus drei zusammenhängenden Maßnahmen erforderlich. Die Stichworte dazu lauten VPN, Infiniband und Verschlüsselung. 

Max Guhl: Erstens ist ein valider VPN-Zugang zu den Systemen in der Cloud erforderlich. Also schon der Weg in die Cloud muss abgesichert sein. Zweitens müssen die Server über Infiniband-Netze miteinander verbunden sein, um sicherzustellen, dass der Datenverkehr nicht durch Knoten von anderen, gesharten Umgebungen läuft. So bietet man an dieser Stelle auch keine Angriffspunkte. Und drittens müssen die Daten, die in der Cloud verarbeitet werden, ebenfalls vollständig verschlüsselt werden.

Alfred Geiger: Wir betrachten diese drei Sicherheitsaspekte nicht isoliert, sondern bieten unseren Kunden mit der Open Telekom Cloud das komplette Paket und übernehmen dafür Ende-zu-Ende-Verantwortung.

Max Guhl: Diese Ende-zu-Ende-Verantwortung kann nur ein Anbieter umsetzen, der sich im europäischen Rechtsrahmen bewegt. Daran scheitern US-amerikanische Hyperscaler aufgrund des CLOUD Acts zwangsläufig. Kleinere europäische Cloud-Anbieter wiederum können ebenfalls keine Ende-zu-Ende-Verantwortung übernehmen, weil sie in der Regel im HPC-Bereich nur Hosting-Lösungen anbieten und kein echtes elastisches Cloud Computing, das im großen Maßstab skaliert. So können wir mit der Open Telekom Cloud im Bereich IT-Security mehr bieten als andere Cloud-Anbieter.

Alfred Geiger: Zum einen ist es die lange Erfahrung mit zahlreichen Kundenprojekten, die wir im Bereich HPC und Supercomputing haben. Zum anderen ergänzen und erweitern wir unser Sicherheitsportfolio permanent. So ist das auch in der DSGVO geforderte Prinzip Security by Design integraler Bestandteil unserer Lösungen. Darüber hinaus haben wir 2017 den Geschäftsbereich Telekom Security unter der Leitung von Dirk Backofen eingerichtet, der sich ausschließlich mit IT-Sicherheitsthemen beschäftigt. Dort sind auch viele erfahrene Experten aus dem High-Performance-Computing-Umfeld tätig, die Unternehmen bei allen Fragen zur IT-Security in diesem Umfeld zur Seite stehen.