Den Zweiflern zum Trotz

Cloud und Sicherheit schließen sich nicht aus

| Autor / Redakteur: Jürgen Huber * / Elke Witmer-Goßner

Es ist nicht einfach, sich für oder gegen die Cloud zu entscheiden. Aber Sicherheitsbedenken muss man eigentlich kaum noch haben.
Es ist nicht einfach, sich für oder gegen die Cloud zu entscheiden. Aber Sicherheitsbedenken muss man eigentlich kaum noch haben. (Bild: © Thomas Reimer – Fotolia.com)

Seit seinen Anfängen geht Cloud-Computing immer auch mit Zweifeln einher. Vor allem in traditionellen IT-Unternehmen machte sich im Laufe der Zeit eine Kombination aus berechtigter Sorge und übertriebener Angst breit. Es wurde stellenweise gar das Ende der IT-Sicherheit ausgerufen.

Doch mittlerweile ist das Konzept gereift: Zeit für eine Neubewertung. Denn die anfängliche Untergangsstimmung ist einer realistischen – und differenzierten – Sichtweise gewichen. Heute herrscht die Meinung vor, dass eine Cloud-Nutzung für bestimmte Bereiche durchaus deutliche Vorteile gegenüber dem traditionellen Ansatz mit sich bringt.

Das Für und Wider

Auf der einen Seite stehen die Skeptiker und Traditionalisten – sie werfen Anwendern vor, Cloud-Services planlos und an der IT vorbei zu beschaffen. Nur selten halten sie die Compliance im Blick. Stattdessen vertrauen sie selbst sensible Unternehmensdaten ohne zu zögern externen Dritten an, die womöglich gar nicht in der Lage sind, Informationen im gleichen Maße wie die IT zu schützen. Die Befürworter weigern sich hingegen, alle Anwender als ahnungslos abzustempeln. Man dürfe, so der Tenor der Pro-Fraktion, mittlerweile einiges an Verantwortungsbewusstsein voraussetzen. Außerdem seien professionell verwaltete Cloud-Dienste durchaus in der Lage, Anwendungen leistungsfähiger, kosteneffektiver und geospezifischer zu gestalten – und dabei das nötige Maß an Sicherheit einzuhalten, das in den jeweiligen Nutzungsbedingungen festgehalten ist.

Zudem sehen sie in Cloud-Services die perfekte Antwort auf Anwenderwünsche: Sie erleichtern ihren Arbeitsalltag, weil bestimmte Aufgaben einfacher und schneller erledigt werden können als mit alten, standardisierten Einheitslösungen, die von der eigenen IT bereitgestellt werden. Grundsätzlich sind sowohl die Argumente der Befürworter als auch Gegner nachvollziehbar. Deshalb ist es umso wichtiger, die verschiedenen Anforderungen beider Seiten in Einklang zu bringen und so sensible Unternehmensdaten wirksam zu schützen.

Fakt ist, dass heutzutage bereits viel Business in der Wolke abgewickelt wird. Hier kommen natürlich auch sensible Daten zum Einsatz, sei es bei Zahlungsabwicklungen, den Arbeitnehmerleistungen oder im Personalmanagement. Generell lässt sich beobachten, dass große Unternehmen bei der Nutzung eher taktisch vorgehen. Kleine und mittlere tendieren hingegen zum Cloud-First-Ansatz. Immerhin steht die Wolke für wettbewerbsfähige Ressourcen und Kostenstrukturen, die das Client-Server-Modell so kaum bieten kann. Gleichzeitig bekommen sie Sicherheit, Datenschutz und Compliance in einer Form mitgeliefert, die sie allein im Unternehmen nie stemmen könnten.

Datensicherheit und Compliance sind ein alter Hut

Dennoch eignet sich die Public Cloud nicht zwangsläufig für alles und jeden. Denn: Womöglich handelt es sich um sensible Daten, die das Unternehmen schlichtweg nicht verlassen dürfen. Oder es werden per Vertrag Vorort-Governance, umfassende Kontrolle sowie echter Offline-Zugriff eingefordert. All dies sind Hemmnisse für den Cloud-Einsatz. Nicht zu vergessen die Befürchtung, dass in der Cloud skrupellose Administratoren auf die Daten zugreifen und sie entweder manipulieren oder gar entwenden könnten. Deshalb, so die allgemeine Sichtweise, sollte Verschlüsselung stets und ständig erfolgen – bei der Nutzung, dem Versand und beim Speichern. Dabei treffen all diese Argumente auch auf das klassische Client-Server-Modell zu.

Kurz: Cloud-Provider haben mittlerweile in Sachen Sicherheitsanforderungen deutlich nachgebessert – egal ob es sich hierbei um Infrastrukturen, Plattformen oder Anwendungen handelt. Oft weisen sie die verschiedensten Cloud-Zertifikate nach, zudem bieten viele Dienstleister entsprechende Zonen an, die den länderspezifischen Anforderungen an Verfügbarkeit, Datenschutz und -hoheit nachkommen. Viele Sicherheitsdienste wie Cloud Application Security Broker (CASB), Web Application Firewalls, Policy Management und Directory Services sind mit den Cloud-Anbietern und deren Diensten integriert. Außerdem ist es heute möglich, mehrere Nutzer zu verwalten. So lassen sich verschiedene Verantwortungsbereiche klar voneinander abgrenzen. Damit kann letztlich das Prinzip „so wenig Admin-Privilegien wie möglich“ immer stärker durchgesetzt werden. Auch bei der Verschlüsselung hat sich viel getan: Es existieren mittlerweile zahlreiche Funktionen, die der Kunde selbst verwalten kann. Stringente Prozesse, Transparenz und jede Menge Reporting-Funktionen – all das spricht dafür, dass professionell gemanagte Clouds durchaus Sicherheit bieten können. Die Wolke ist also längst nicht mehr per se als Risiko zu betrachten.

Tipps für die Verlagerung sicherheitsrelevanter Workloads in die Cloud

  • Dokumentieren Sie Kaufkriterien wie sicherheitsrelevante Anwendungsfälle, funktionale und technische Anforderungen, Prozesse und Verfahren. Teilen Sie diese mit strategischen Partnern und den jeweiligen Providern, um Cloud-Migrationen und das Lifecycle-Management genau zu planen.
  • Spezielle Anwendungsfälle wie Zertifikate und länderspezifische Datenschutzvorgaben erfordern ein spezielles Cloud-Provisioning. Dies muss direkt beim Anbieter erfragt werden – inklusive detaillierter und geprüfter Compliance-Reports. Planen Sie auch anspruchsvolle Use Cases mit ein, wie etwa Multi-Tenancy, verteilte Administration, Zugang für Externe und Minderung des Risikos durch Third Parties.
  • Meiden Sie die Wolke nicht prinzipiell aus Sicherheitsgründen, sondern nur in Ausnahmefällen. Sammeln Sie stattdessen alle Gegenargumente und setzen Sie umfassende Regelwerke auf, die alle notwendigen Technologien und Verfahren einbeziehen, um den Cloud-Vorbehalten entgegenzuwirken.
  • Definieren Sie ein Workflow-Modell für die gemeinsame Administration. Legen Sie die verschiedenen Verantwortlichkeiten seitens Provider, Eigentümer der Daten und Applikationen sowie den unterschiedlichen Anwenderparteien. Dabei muss gewährleistet werden, dass einzelne Admins die Sicherheit oder Verfügbarkeit kritischer Apps und Dienste nicht gefährden können. Deshalb bedarf es einer sorgfältigen Regelung, wie mit personellen Veränderungen (Neubesetzung, Nachfolge oder Ruhestand) bei Admins und privilegierten Usern umgegangen werden soll.
  • Schaffen Sie den nötigen Rahmen, um auch künftig flexibel zwischen Cloud-Anbietern wechseln zu können. Wichtig dabei ist nicht nur die Möglichkeit, in die Cloud zu migrieren, sondern eben auch, aus einer in die andere wechseln und die Cloud gegebenenfalls auch wieder verlassen zu können. Die Migration muss dabei immer Aspekte wie Daten, Applikationen, das Nutzererlebnis, Anwendungsfälle und auch das zugrundeliegende Administrationsmodell abdecken.
  • Unterschätzen Sie nicht das Thema Verschlüsselung. Hierbei handelt es sich nicht um ein „Nice-to-have“. Es ist unumgänglich, dass die Encryption Keys vom jeweiligen Datenverantwortlichen verwaltet werden. Egal ob die Daten das Unternehmen, die Zulieferer oder auch die Systemverwaltung betreffen. Unabhängig davon, ob sie gerade benutzt werden, irgendwo abgespeichert liegen, innerhalb oder zwischen Clouds und externen Apps bewegt werden – die Verschlüsselung muss in jedem Fall aktiviert sein. Zudem bietet es sich an, für einzelne Anwendungsfälle speziell passende Verschlüsselungsverfahren und Schlüsselstärken auszuwählen, die über den gesamten Lebenszyklus der zu schützenden Daten hinweg greifen.
  • Beachten Sie unbedingt die länderspezifischen Vorgaben zum Datenschutz. Oft wird gefordert, dass die Daten das jeweilige Land nicht verlassen. Deshalb muss das Thema Datenhoheit bei der Planung einer Cloud-Implementierung sorgfältig mit eingerechnet werden. Hilfreich ist hier die Konfiguration entsprechender Zonen für Hochverfügbarkeit und Datenschutz.
  • Auf sensible Daten sollten Anwender zwingend nur über Multi Factor Authentication (MFA) zugreifen dürfen. Weiterhin ist immer auch die Verwendung von CASBs, Identity Brokern und Federation-Diensten eine Überlegung wert.
  • Stellen Sie auch sicher, dass ihre Web Application Firewall richtig konfiguriert ist und alle kritischen Schnittstellen zu Web und Web Services schützt – und vor allem auch die Authentifizierung abdeckt.
  • Vergewissern Sie sich, größtmögliche Transparenz zu erhalten. Prüfen Sie Verträge hinsichtlich versteckter Klauseln, die unerwünschte Änderungen der Nutzungsbedingungen und Datenschutzbestimmungen ermöglichen.

Kontrolle kann so einfach sein

Jürgen Huber, Citrix Systems GmbH.
Jürgen Huber, Citrix Systems GmbH. (Bild: Citrix)

Zum Schluss ein kleiner Tipp aus der Technikecke: Sollten Endanwender an der IT vorbei Cloud-Lösungen aus dem alltäglichen Gebrauch einsetzen, reicht es meist schon, im Load Balancer entsprechende Redirect-Vorgaben einzurichten. So können sie automatisch aufgefordert werden, nur auf Services zurückzugreifen, die im eigenen Unternehmen erlaubt sind. Auch eine Weiterleitung zur entsprechenden App ist damit realisierbar und sorgt für Sicherheit.

* Der Autor Jürgen Huber ist Director Enterprise Sales für die Citrix Systems GmbH.

Kommentare werden geladen....

Kommentar zu diesem Artikel abgeben

Der Kommentar wird durch einen Redakteur geprüft und in Kürze freigeschaltet.

Anonym mitdiskutieren oder einloggen Anmelden

Avatar
Zur Wahrung unserer Interessen speichern wir zusätzlich zu den o.g. Informationen die IP-Adresse. Dies dient ausschließlich dem Zweck, dass Sie als Urheber des Kommentars identifiziert werden können. Rechtliche Grundlage ist die Wahrung berechtigter Interessen gem. Art 6 Abs 1 lit. f) DSGVO.
  1. Avatar
    Avatar
    Bearbeitet von am
    Bearbeitet von am
    1. Avatar
      Avatar
      Bearbeitet von am
      Bearbeitet von am

Kommentare werden geladen....

Kommentar melden

Melden Sie diesen Kommentar, wenn dieser nicht den Richtlinien entspricht.

Kommentar Freigeben

Der untenstehende Text wird an den Kommentator gesendet, falls dieser eine Email-hinterlegt hat.

Freigabe entfernen

Der untenstehende Text wird an den Kommentator gesendet, falls dieser eine Email-hinterlegt hat.

copyright

Dieser Beitrag ist urheberrechtlich geschützt. Sie wollen ihn für Ihre Zwecke verwenden? Infos finden Sie unter www.mycontentfactory.de (ID: 44313676 / Risk Management)