Verschlüsselung ist das A und O

Sensible Daten in der Cloud schützen

| Autor / Redakteur: Jocelyn Krystlik* / Elke Witmer-Goßner

Höchste Vorsicht und besondere Sorgfalt im Umgang mit Daten und Informationen ist oberstes Gebot bei der Nutzung von Cloud-Services.
Höchste Vorsicht und besondere Sorgfalt im Umgang mit Daten und Informationen ist oberstes Gebot bei der Nutzung von Cloud-Services. (Bild: © Jürgen Fälchle - stock.adobe.com)

Angesichts der klaren Vorteile, die Cloud Computing bietet, ist es bemerkenswert, dass nicht mehr Unternehmen diese Art der datengesteuerten IT-Services für ihre Angestellten bereitstellen. Schließlich sind die Investitionen in Technologie gering, die HR-Ausgaben für das IT-Personal reduzieren sich, und Angestellte nutzen die aktuellen IT-Lösungen. Trotzdem haben viele Organisationen weiterhin Sicherheitsbedenken beim Umgang mit der Cloud.

Eines der größten Probleme für Banken und Finanzdienstleister ist der Schutz vor unberechtigtem Datenzugriff. Darüber hinaus gibt es Bedenken, dass die Verlagerung in die Cloud eher weniger und nicht mehr Sicherheitskontrollen mit sich bringt. Dabei kommen immer wieder bestimmte Fragen auf: Wie bleiben Dateien verschlüsselt, wenn sie in die Cloud verlagert und wieder entfernt werden? Oder wenn sie an Kunden und Geschäftspartner über Cloud-Dienste verschickt werden? Unverständnis gibt es oft bei der Frage, ob eine Cloud-Umgebung mit branchenspezifischen und allgemeinen Datenschutzbestimmungen übereinstimmt, ganz abgesehen von Datenverlusten und dem Zugriff auf Informationen über mehrere Geräte.

Für Banken oder Finanzunternehmen ist es wichtig, ihren Cloud-Anbieter sorgfältig auszusuchen. Danach sollten die Verantwortlichen sicherstellen, dass alle Angestellten nur diese eine genehmigte Plattform des Anbieters nutzen. Die Freigabe mehrerer Plattformen führt hingegen zur Fragmentierung von Quellen und der Nutzung verschiedener Services. Dadurch werden die Kontrolle und das Monitoring der Datenverbreitung erschwert und Sicherheitsprotokolle kompromittiert. Ohne die klare Vorgabe, dass Mitarbeiter für ihre Arbeiten nur diese eine unternehmensübergreifende Cloud-Umgebung nutzen dürfen, ist die Versuchung groß, freie unsichere Cloud-Services zu nutzen, ohne dass die IT-Abteilung von dieser möglichen Gefahrenquelle etwas mitbekommt.

Des Weiteren muss die mangelnde physische Kontrolle beachtet werden. Plant eine Person, Daten aus dem hauseigenen Rechenzentrum zu stehlen, so muss sie in das Gebäude eindringen. Erst dann kann sie auf die Systeme mit den sensiblen Daten zugreifen. Bei der Cloud verhält es sich anders: Ist ein Datendieb erst einmal an die Anmeldeinformationen gelangt, können Organisationen den Zugriff auf Dokumente in der Cloud rückwirkend nur bedingt beschränken. Die eigenen sensiblen Daten eines Unternehmens haben stets die höchste Priorität. Cloud-Anbieter sollten daher den Zugang auf die Plattformen rund um die Uhr ermöglichen.

Verluste durch nicht-autorisierte Datenzugriffe

Banken und Finanzberatungsunternehmen müssen einen Verlust des Kapitals um jeden Preis vermeiden. Sie sind verantwortlich dafür, dass nicht-autorisierte Benutzer keinen Datenzugriff erhalten und Geld aus der Institution für eigene Zwecke abziehen. Die Herausforderung besteht darin, jedem autorisierten Nutzer die für ihn relevanten Daten zur Verfügung zu stellen. Gleichzeitig sind alle finanziellen Vermögenswerte so zu behandeln, als befänden sie sich innerhalb des Rechenzentrums der Institution, auf das nur vertrauenswürdige Personen einen Zugriff haben.

Versicherungsunternehmen profitieren von der Zusammenarbeit in der Cloud, weil viele Kundeninteraktionen im Außendienst stattfinden. Dabei müssen diese Unternehmen Betrügereien verhindern, bei denen unbefugte Nutzer versuchen, Ansprüche zu ihrem eigenen Vorteil zu ändern. Selbstverständlich sind diese Organisationen auch dafür verantwortlich, persönliche Kundendaten vor unbefugtem Zugriff zu schützen.

Unternehmen sind dazu verpflichtet, den täglichen Aktenaustausch – Jahresabschlüsse, Kontoeinträge und Richtlinienpapiere –vollständig zu schützen, egal ob die Daten sich im Ruhezustand oder in Bewegung befinden. Moderne Technologien, die die Mobilität fördern, sowie das Internet der Dinge (IoT) können dabei zu Sicherheitsproblemen führen. Beide wollen auf Dienste und Daten in der Cloud zugreifen. Die Erweiterung der von der Cloud unterstützten Geräte führt zu Insiderbedrohungen in Unternehmen, da Super-Admins anderen Endbenutzern den Zugriff auf ihre Daten vermitteln können. Das kann sogar ohne Benutzer passieren (einschließlich Senior Management), wenn der Admin ihre Dateien anschaut.

Herausforderungen beim Umstieg auf die Cloud

Finanzinstitute sollten immer auch darauf achten, dass Mitarbeiter ihre Dokumente nicht weiter verbreiten – weder absichtlich, noch aus Versehen – als es zulässig bzw. vereinbart ist. Aus Übereifer und in der Routine des Alltagsgeschäfts, kann es vorkommen, dass Mitarbeiter Kunden oder Geschäftspartnern den Zugriff auf Informationen und Dokumente erlauben, die diese eigentlich nicht sehen sollten. Und nicht selten wächst die gemeinsame Nutzung der Daten über die ursprüngliche Partnerschaftsvereinbarung hinaus, was meist als schleichender Prozess beginnt, so dass am Ende mehr externe Benutzer auf mehr Informationen zugreifen können, als sie eigentlich sollten. Eine weitere Herausforderung für Unternehmen sind sogenannte „Man-in-the-Middle“-Attacken. Bei diesen leiten Hacker heimlich die Kommunikation zwischen zwei Parteien um oder verändern diese sogar, während diese zwei Parteien weiter glauben, dass sie direkt miteinander kommunizieren.

Viele dieser möglichen Bedrohungen resultieren aus „Schatten-IT“-Praktiken in Betrieben und Organisationen, also inoffiziell genutzten Systemen, die die Verfügbarkeit von Cloud-Services ermöglichen. Wenn die Mitarbeiter nicht auf die gemeinsame Cloud beschränkt sind, suchen sie nach anderen Möglichkeiten, zusammenzuarbeiten und Dateien untereinander zu teilen, genau wie ihre vertrauenswürdigen Vertragspartner, Dienstanbieter und Partner. Es ist also ratsam, klar festgelegte und verständliche Nutzungsregeln vorzugeben.

Verschlüsselung schließt Lücken

Eine gerätebasierte Verschlüsselung ermöglicht es, Daten auf dem Laufwerk zu schützen. Dieser Ansatz funktioniert, wenn ein Dieb das Gerät (z.B. Laptop oder USB-Stick) stiehlt oder es verloren geht. Anders verhält es sich, wenn ein Nutzer in einem Gerät eingeloggt ist und die Daten unverschlüsselt sind, während er an einem Dokument arbeitet. Ohne zusätzlichen Schutz können die Daten (unverschlüsselt) in anderen laufenden Apps genutzt werden und manchmal sogar das Gerät über das Netzwerk verlassen. Die Daten lassen sich dann über eine Cloud-Plattform oder per E-Mail ungeschützt auf ein anderes Gerät übertragen. Um geräte- und festplattenbasierte Verschlüsselungslücken zu bewältigen, können Daten durch eine Data Loss Prevention (DLP)-Technologie klassifiziert werden. Diese Technologie stellt auf Basis bestimmter Richtlinien und Regeln sicher, dass die Daten weder das Gerät noch das Netzwerk verlassen. Das setzt jedoch voraus, dass klar ist, welche Daten zu verschlüsseln sind. Des Weiteren ist es erforderlich, Entschlüsselungsrichtlinien und -regeln zu konfigurieren sowie diese entsprechend anzuwenden.

Richtlinien können allerdings bereits überholt sein, bevor sie überhaupt in Kraft getreten sind. Beispielsweise können Richtlinien festgelegt werden, um die externe Freigabe persönlich identifizierbarer Informationen zu sperren. So können Daten gesperrt werden, wie zum Beispiel eine Datei, die Führerscheinnummer und Adresse enthält. Daraus ergeben sich einige Fragen, die zweifelsfrei beantwortet sein sollten: Was passiert, wenn diese Informationen benötigt werden, um beispielsweise einen Darlehensvertrag abzuschließen oder ein Sachbearbeiter diese bei einem Versicherungsfall benötigt, um eine Forderung abzuschließen? Was passiert, wenn Informationen von einem Partner benötigt werden, um Formalitäten abzuwickeln? Wann, wie und über welche Geräte kann auf die Datei zugegriffen werden (z.B. über ein Smartphone)? Ist es eine Ausnahme, wenn eine Sicherheitsrichtlinie geändert wird, oder wird es zur Regel? Wenn es zur Regel wird, für wen gilt sie? Und ist die Regel „für immer“ gültig oder wird sie ungültig, nachdem der Geschäftsfall abgeschlossen ist?

Beim Umstieg in die Cloud arbeiten DLP-Lösungen ähnlich wie die festplattenbasierte Verschlüsselung. Die Daten werden verschlüsselt, bevor sie das Netzwerk verlassen und in die Cloud verschoben werden. Ebenso wie bei der festplattenbasierten Verschlüsselung besteht die Herausforderung darin, dass verschlüsselte Daten in der Cloud nicht verwendet werden können. Gerätebasierte Verschlüsselung und DLP spielen sicherlich eine Rolle beim Schutz von Daten, die sich vor Ort im Ruhezustand befinden. Die Dateien müssen vollständig geschützt werden, egal ob beim Wechsel in die Cloud oder bei der Nutzung durch externe Geräte und Netzwerke. Die IT-Verantwortlichen müssen auch dazu einen klaren Sicherheitsansatz verfolgen. Das Ziel sollte sein, Daten im Ruhezustand zu verschlüsseln – auf Geräten, in Dateisystemen, auf austauschbaren Laufwerken, im Netzwerk und auf dem Weg in die Cloud.

Wenn verschlüsselte Daten in die Cloud verschoben werden, sollten die Mitarbeiter immer noch in der Lage sein, auf die Informationen aus der Cloud zuzugreifen, indem sie andere Geräte und Anwendungen nutzen, deren Rechte ihnen zugewiesen wurden. Um dieses Ziel zu erreichen, sollten zentrale Sicherheitskontrollen und Regeln mit der Option kombiniert sein, den Endbenutzern die Möglichkeit zu geben, Verschlüsselung auf ihre Dateien anzuwenden.

Sicherer Datenaustausch in der Cloud

Haben Mitarbeiter die Möglichkeit, Verschlüsselung zu nutzen, sind sie in der Lage, ihren eigenen vertrauenswürdigen Mitarbeiterkreis zu erstellen, der die Dateien einsehen kann. Egal wo die Dateien landen: Sie sind immer verschlüsselt. Mitarbeiter haben die erforderliche Freiheit, Geschäfte zu führen und ihre Produktivität zu verbessern sowie gleichzeitig digitale Vermögenswerte zu schützen. Die Kombination dieses Ansatzes mit zentralen Kontrollen und Regeln schafft ein leistungsfähiges Sicherheitsabwehrsystem. Der Nutzer hat die uneingeschränkte Hoheit über die Daten, und gleichzeitig hat die IT die ultimative Kontrolle. Diese Methode verringert außerdem die Zeit, die die IT für die Sicherung von Dokumenten benötigt. Benutzer können die Daten auswählen, die sie für ihre Arbeit benötigen, ohne auf die Genehmigung der IT warten zu müssen oder auf die aktualisierte Liste der zugelassenen Mitarbeiter und der unterstützenden Richtlinien. Neben der Sicherstellung, dass Daten nicht gefährdet sind, können die Daten durch diesen Ansatz für die internen Mitarbeiter einfacher durchsucht und sortiert werden. Darüber hinaus kann ein sicherer Datenaustausch zwischen internen und externen Mitarbeitern erfolgen und temporär beschäftigte Mitarbeiter und Außendienstler lassen sich ebenfalls einbinden.

Jocelyn Krystlik, Stormshield.
Jocelyn Krystlik, Stormshield. (Bild: Stormshield)

Aus Sicht der IT und des Unternehmens bleiben die Daten vor unbefugtem Zugriff und versehentlicher Veröffentlichung geschützt. Daten sind auch vor dem Zugriff von Anbietern, Super-Admins und staatlicher Überwachung geschützt. Die Technologie ist für Apps verfügbar, die auf Laptops, Desktops, Tablets und Smartphones laufen. Selbst wenn sie der Nutzer einsetzt, kann die IT immer noch Datenschutzrichtlinien für das Unternehmen definieren, verwalten, durchsetzen, verfolgen, auditieren und darüber Bericht erstatten. Um sicherzustellen, dass die Technologien korrekt verwendet werden, können einzelne Nutzer überwacht werden. Die IT kann immer noch feststellen, wie weit sich die Daten innerhalb und außerhalb der Organisation bewegen. Auch wenn die Endnutzer die Kontrolle haben, bleibt die Datenhandhabung vollständig transparent und kann von der Organisation kontrolliert werden. Während die Kontrolle dort ist, bleibt der Inhalt der Endbenutzer auch von den Augen der Super-Admins in der IT geschützt.

* Der Autor Jocelyn Krystlik ist Data Security Product Marketing Manager bei Stormshield.

Kommentare werden geladen....

Kommentar zu diesem Artikel abgeben

Anonym mitdiskutieren oder einloggen Anmelden

Avatar
Zur Wahrung unserer Interessen speichern wir zusätzlich zu den o.g. Informationen die IP-Adresse. Dies dient ausschließlich dem Zweck, dass Sie als Urheber des Kommentars identifiziert werden können. Rechtliche Grundlage ist die Wahrung berechtigter Interessen gem. Art 6 Abs 1 lit. f) DSGVO.
  1. Avatar
    Avatar
    Bearbeitet von am
    Bearbeitet von am
    1. Avatar
      Avatar
      Bearbeitet von am
      Bearbeitet von am

Kommentare werden geladen....

Kommentar melden

Melden Sie diesen Kommentar, wenn dieser nicht den Richtlinien entspricht.

Kommentar Freigeben

Der untenstehende Text wird an den Kommentator gesendet, falls dieser eine Email-hinterlegt hat.

Freigabe entfernen

Der untenstehende Text wird an den Kommentator gesendet, falls dieser eine Email-hinterlegt hat.

copyright

Dieser Beitrag ist urheberrechtlich geschützt. Sie wollen ihn für Ihre Zwecke verwenden? Infos finden Sie unter www.mycontentfactory.de (ID: 45013483 / Content-Security)