Cloud-Security benötigt ganzheitliche Strategie

In der Cloud liegt die Zukunft – mit Sicherheit

| Autor / Redakteur: Corinna Tripp* / Elke Witmer-Goßner

Die Herausforderung bei Cloud-Anwendungen besteht darin, dass jedes Unternehmen seinen Anspruch an die Sicherheit individuell definieren muss.
Die Herausforderung bei Cloud-Anwendungen besteht darin, dass jedes Unternehmen seinen Anspruch an die Sicherheit individuell definieren muss. (Bild: © fotobieshutterb - stock.adobe.de)

Cloud ist heute weit jenseits der vielen Marketing-Hypes, sie ist Realität und wird nicht nur von sogenannten „Early Adoptern“ im geschäftlichen Umfeld genutzt. Dabei ist die Cloud hinsichtlich ihrer Sicherheit nicht ganz unumstritten. Wer früher noch ins eigene Rechenzentrum gehen und sich dort versichern konnte, dass alle Hardware samt Daten noch vorhanden sind, der mag heute an der einen oder anderen Stelle bezüglich Datensicherheit ins Grübeln kommen – teils auch zu Recht.

Der Schutz gegen Cyber-Angriffe, Datenklau oder Datenverschlüsselung ist ein komplexes Thema, insbesondere für IT-Administratoren und Management im Mittelstand. Verstärkt wird dieser Druck durch immer mehr gesetzliche Regeln, wie beispielsweise auch die neue EU-Datenschutzverordnung. Diese Herausforderungen gepaart mit der intensiven Nutzung von Cloud-Angeboten erfordern ganzheitliche Security-Konzepte anstatt einzelner Security-Inseln.

Unternehmen und besonders der deutsche Mittelstand wollen sich ihrem Kerngeschäft widmen und wie bisher einen großen und wichtigen Anteil zur Wirtschaft in Deutschland und weltweit liefern. Die IT trägt hierbei entscheidend zum Erfolg bei. Die rasant zunehmende Digitalisierung in der Industrie und im Dienstleistungsgewerbe hilft Unternehmen schneller, effizienter und damit erfolgreich und konkurrenzfähig zu agieren.

Dieselbe Technologie wird aber zunehmend zur Herausforderung, wenn es um deren Sicherheit geht. Daten müssen per Gesetz geschützt werden und Unternehmen haben einen berechtigten Respekt vor Angriffen aus dem Netz. Verstärkt wird das Gefahrenpotenzial durch die immer intensivere Nutzung von Cloud-Angeboten. Während man die Sicherheit im hauseigenen Rechenzentrum durch modernste Security-Lösungen im Griff haben kann, gibt man jetzt einen Teil der Aufgaben in die Hände eines externen Cloud-Anbieters. Dafür ist aber eine neue und ganzheitliche Security-Strategie nötig.

Lokale und Cloud-IT einbeziehen

Moderne Cloud-Angebote bieten viele Vorteile für den Arbeitsablauf und die Administration in der IT, fordern jedoch ein Umdenken, was Security und Datensicherheit betrifft. Das Gefahrenpotenzial eines Datenverlustes oder für Manipulationsversuche durch Hacker und Cyberkriminelle ist deutlich höher, da potenzielle Angriffspunkte im Gegensatz zum internen Rechenzentrum höher sind.

Die größten Bedenken neben den immer häufigeren und raffinierteren Angriffen vor Hackern sind sicherlich auch die Verletzung der Integrität der Daten, die Löschung, eine ungenügende Mandantentrennung, die Verletzung von Compliance-Regeln, die Ungewissheit hinsichtlich der Sub-Unternehmer von Cloud-Anbietern und auch eine mögliche Beschlagnahmung durch Institutionen, die sich unseren Datenschutzregeln nicht verpflichtet fühlen. Ein erhöhter Sicherheitsbedarf ist jedoch kein Grund, die Vorzüge von Cloud-Angeboten nicht zu nutzen. Wichtig ist ein geplantes und strategisches Vorgehen in Verbindung mit den geeigneten Security- und Controlling-Maßnahmen.

Dafür sollte man vier wichtige Punkte berücksichtigen, die für jedes Unternehmen individuell und vor der Nutzung von Cloud-Angeboten zu beantworten sind. Vor der Cloud-Nutzung sollte erstens durch eine Klassifizierung der Wert unterschiedlicher Daten bestimmt werden. Dabei gilt es auch festzulegen, welche Daten trotz bester Sicherheitsmechanismen nicht in der Cloud verarbeitet oder gespeichert werden sollten.

Zweitens gilt es zu klären, ob das Unternehmen beziehungsweise seine Daten besonderen gesetzlichen Vorgaben unterliegen: Werden beispielsweise persönliche Daten erfasst und gespeichert oder müssen Regeln wie PCI DSS für den Online-Zahlungsverkehr eingehalten werden und ist dies generell mit der Cloud vereinbar? Weiter müssen die Vereinbarung der Service Level Agreements (SLA) mit dem Cloud-Provider auf die Bedürfnisse der Security abgestimmt und zwingend mit dem Wert der Daten verknüpft sein. Auch der Cloud Service Provider muss die individuell festgelegten Sicherheitsansprüche erfüllen. Dabei ist viertens eine durchgängige gesicherte Authentifizierung, beispielsweise mit einer OTP-(OnTimePassword)-Lösung, unerlässlich.

Bereits bei diesen Punkten zeigt sich, dass die Beantwortung der relevanten Fragen rund um die Security unter Nutzung der Cloud nicht mehr nur eine Aufgabe der IT-Verantwortlichen ist. Sicherheitsstrategien gehen über die klassische technische „Abschottung“ nach außen hinaus und involvieren aufgrund spezieller Gesetze und Vorgaben weitere Abteilungen im Unternehmen wie die Geschäftsleitung, Human Resources oder die Rechtsabteilung. Erfahrene Dienstleister wie zum Beispiel MTI Technology können bereits in diesem Schritt entscheidend dazu beitragen, dass das ganzheitliche Security-Konzept alle wichtigen Bereiche und Punkte einschließt und keine Sicherheitslücken schon frühzeitig bei der Planung und Strategie entstehen.

Cloud versus Schatten-IT

Unternehmen nutzen die Cloud strategisch, um von den vielen Vorteilen zu profitieren, die sich dadurch bieten. Doch auch wenn ein Unternehmen eine ausgeklügelte Security-Strategie unter Einbeziehung von professionellen Cloud-Services entworfen und umgesetzt hat, ist die Sicherheit trotzdem noch nicht garantiert.

Die Cloud lädt leider auch zur Schatten-IT ein, bei der Cloud-Angebote oft von Mitarbeitern genutzt werden, ohne dies mit der IT-Abteilung im Vorfeld abzustimmen. Diese Schatten-IT und die eigenmächtige Nutzung von Consumer-Applikationen im professionellen Umfeld öffnen beispielsweise Hackern ungeahnte Türen ins Unternehmen. Zu derartigen Anwendungen gehören unter anderem File-Sharing-Produkte, mit denen sehr bequem Daten unter Mitarbeitern oder zwischen Geschäftspartnern ausgetauscht werden – leider oftmals mit völlig ungesicherten Datentransfers. Eine Vielfalt an Apps ist auf Smartphones oder Tablets installiert und entzieht sich ohne geeignete Managementsysteme und Schutzmaßnahmen der Kontrolle und Sicherung durch die zentrale IT im Unternehmen.

Cloud Access Security Broker unterstützen bei der Absicherung von Cloud Services.
Cloud Access Security Broker unterstützen bei der Absicherung von Cloud Services. (Bild: MTI Technology)

Um dieses Gefahrenpotenzial zu qualifizieren, sollte ein Proof of Concept (POC) durchgeführt werden. Mit Hilfe von Cloud-Access-Security-Broker-Lösungen lässt sich schnell herausfinden, welche unsicheren Cloud-Anwendungen neben den offiziellen, sprich genehmigten Cloud-Applikationen im Unternehmen genutzt werden. Nach dem POC werden die gesammelten Daten ausgewertet und die in Nutzung befindlichen Applikationen geprüft. Cloud-Applikationen, die besonderes Gefahrenpotenzial bergen und nicht mit den Security-Standards des Unternehmens vereinbar sind, sollten über Application-Layer-Gateway-Lösungen gesperrt werden. Bei diesem Schritt sollten aber die Mitarbeiter im Unternehmen einbezogen werden. Erfahrungen haben gezeigt, dass ein schlichtes Verbot und das technische Unterbinden frei zugänglicher Cloud-Applikationen nur dazu führen, dass Mitarbeiter neue Wege und Anwendungen finden, ihre Arbeit mit ihrer Meinung nach geeigneten, aber unsicheren Tools zu verrichten. Die Sensibilisierung und Zustimmung der Mitarbeiter sind wichtig, um die IT-Sicherheit entscheidend zu erhöhen.

Im Zweifelsfall lieber verschlüsseln

Die Herausforderung bei Cloud-Anwendungen besteht darin, dass jedes Unternehmen seinen Sicherheitsanspruch individuell definieren muss. Die großen Cloud-Provider wie Microsoft oder Amazon bieten Grundelemente einer Security. Diese sind jedoch weder an den Bedürfnissen einzelner Unternehmen ausgerichtet, noch bieten sie eine vielschichtige Sicherheit, welche sich in das Security-Konzept eines Unternehmens nahtlos integriert. Neben den klassischen Firewall-, Endpoint- und Gateway-Lösungen spielt in der Cloud-Security auch die Authentifizierung und Verschlüsselung von Daten eine zentrale Rolle. Jeglicher Datenverkehr über die Cloud sollte verschlüsselt erfolgen. Zwar ist damit nicht ausgeschlossen, dass Cyber-Kriminelle oder Industriespione den Datenfluss anzapfen, allerdings ist eine hochwertige Verschlüsselung der beste Garant dafür, dass kein Fremder die Daten lesen oder nutzen kann.

Corinna Tripp, MTI Technology GmbH.
Corinna Tripp, MTI Technology GmbH. (Bild: MTI)

Die Verschlüsselung muss entsprechend der individuellen Sensibilität der Daten für alle Cloud-Anwendungen definiert sein. Dabei muss die benötigte Verschlüsselungstechnologie auch vom Cloud-Provider unterstützt werden. Dies gilt es im Vorfeld zu verifizieren, um die Security durchgängig zu gewährleisten. Erfolgt jegliche Kommunikation von und in die Cloud verschlüsselt und sind die Schlüssel für die Anwendungen an einem sicheren Ort aufbewahrt, ist ein großer Teil des Gefahrenpotenzials in der Cloud gebannt.

* Die Autorin Corinna Tripp ist Marketing Managerin bei der MTI Technology GmbH.

Kommentare werden geladen....

Kommentar zu diesem Artikel abgeben

Anonym mitdiskutieren oder einloggen Anmelden

Avatar
  1. Avatar
    Avatar
    Bearbeitet von am
    Bearbeitet von am
    1. Avatar
      Avatar
      Bearbeitet von am
      Bearbeitet von am

Kommentare werden geladen....

Kommentar melden

Melden Sie diesen Kommentar, wenn dieser nicht den Richtlinien entspricht.

Kommentar Freigeben

Der untenstehende Text wird an den Kommentator gesendet, falls dieser eine Email-hinterlegt hat.

Freigabe entfernen

Der untenstehende Text wird an den Kommentator gesendet, falls dieser eine Email-hinterlegt hat.

copyright

Dieser Beitrag ist urheberrechtlich geschützt. Sie wollen ihn für Ihre Zwecke verwenden? Infos finden Sie unter www.mycontentfactory.de (ID: 44765086 / Allgemein)