Checkliste

7 Tipps für Ihren sicheren Weg in die Cloud

16.06.2014 von Harald Pfoser
Cloud-Computing gilt heute als innovative Lösung für Informationsverarbeitung und Datenaustausch. Doch wie steht es um die Sicherheit in der Cloud? Worauf muss ein Unternehmen bei der Wahl des Cloud-Anbieters und bei der Umsetzung der Lösung achten?

Immer mehr Firmen lagern Teile ihrer IT-Infrastruktur aus und greifen auf die Rechnerwolke zurück. Unternehmen wollen optimierte und flexiblere Geschäftsabläufe in einer abgesicherten Umgebung. Cloud-Computing wird zunehmend zu einem wichtigen Erfolgsfaktor für Fachbereiche. Wer Cloud-Computing nutzt, darf nicht auf Wolke sieben schweben und sich von augenscheinlich attraktiven Angeboten täuschen lassen: Denn die Sicherheit und der Datenschutz müssen gewährleistet sein. Unzählige Cloud-Angebote erschweren es, das richtige Produkt zu finden.

Unternehmensdaten sind der Goldschatz einer jeden Firma. Diese gibt man nicht leichtfertig aus der Hand. Daher sollten bei der Auswahl des Cloud-Anbieters folgende Punkte kritisch betrachtet und abgefragt werden:

• Wer ist mein Servicepartner?

• Wo werden meine Daten gespeichert?

• Ist die Qualität und Verfügbarkeit der Serviceerbringung geprüft und transparent?

• Kann der Anbieter Zertifizierungen vorweisen?

• Welche Authentifizierungsformen finden Verwendung?

• Werden die digitalen Identitäten tatsächlich geprüft, um sicher zu sein, mit wem man zusammenarbeitet?

• Was passiert mit meinen Daten? Ist nachvollziehbar, wer diese bearbeitet?

Cloud Security
Wie sich IT-Sicherheit und Cloud Security unterscheiden
Datenverluste und das Kompromittieren von unternehmenskritischen Informationen sind in traditionellen IT-Infrastrukturen und Cloud-Computing-Umgebungen auf unterschiedliche Faktoren zurückzuführen, so die IT-Firmen Symantec und Intel. In Unternehmensnetzen sind dafür drei Faktoren verantwortlich:
Wohlmeinende Mitarbeiter:
Sie verzichten fahrlässig auf das Verschlüsseln von wichtigen Daten oder nehmen Geschäftsinformationen auf USB-Sticks oder privaten Mobilgeräten mit nach Hause. Weitere potenzielle Gefahren durch solche Mitarbeiter: der Verlust von Mobilsystemen wie Notebooks oder die Weitergabe von Account-Daten an Kollegen.
Böswillige Mitarbeiter:
Sie verschaffen sich gezielt Zugang zu Geschäftsdaten, um diese zu verkaufen oder für persönliche Zwecke zu missbrauchen. Ein typisches Beispiel: Ein Mitarbeiter kopiert vor dem Wechsel zu einem Konkurrenten Kundendaten, Preislisten oder Projektunterlagen.
Cyber-Kriminelle:
Sie verschaffen sich meist über ungenügend abgesicherte Endgeräte wie PCs, Notebooks und Smartphones Zugang zum Firmennetz und kopieren verwertbare Informationen.
Spezielle Risiken für Cloud Security:
In Cloud-Computing-Umgebungen kommen zu den genannten potenziellen Risiken weitere hinzu. Dazu zählt die Nutzung von Cloud-Services ohne Wissen der IT-Abteilung. Dies können Online-Storage-Dienste wie Dropbox sein, aber auch CRM-Angebote wie Salesforce. Das „Aussperren“ der IT-Fachleute torpediert eine unternehmensweite IT- und Cloud-Security- Strategie.
Spezielle Risiken für Cloud Security:
Ein weiterer Faktor ist das verteilte Speichern unternehmenskritischer Daten: Sie lagern teilweise auf IT-Systemen im Unternehmensnetz, teils auf denen des Cloud-Computing-Service- Providers. Dies erschwert es, den Zugriff auf diese Informationen zu reglementieren und ihren Schutz sicherzustellen.
Spezielle Risiken für Cloud Security:
Ein dritter Punkt: Cyber-Kriminellen und „böswilligen Insidern“ stehen mehr Angriffspunkte zur Verfügung: das Unternehmensnetz, die Cloud-Computing-Umgebung des Providers und die Kommunikationswege zwischen Kunde und Cloud-Service-Provider.

Vertrauen in den Service Partner

Vertrauen in einen x-beliebigen Cloud-Anbieter in einem x-beliebigen Land zu haben und nicht sicher zu sein, welche rechtlichen Grundlagen bei der Datenspeicherung Anwendung finden, ist schwierig. Das Wort "Briefkastenfirma" erscheint unbewusst vor dem geistigen Auge. Daher sollte darauf geachtet werden, dass der Cloud-Anbieter in Europa, idealerweise in Deutschland, sitzt, Verträge in deutscher Sprache, nach deutschem Recht mit Gerichtsstandort in Deutschland anbietet und auch eine Vereinbarung über Auftragsdatenverarbeitung gemäß § 11 Bundesdatenschutzgesetz bei Bedarf zur Verfügung stellt. Erfolgt die Datenhaltung dann noch in Europa und bestehen vertraglich zugesicherte Service-Levels ist ein Unternehmen sicher in der Cloud unterwegs.

Gewissheit, wo die Daten sind

Die wesentliche Fragestellung im Bereich der Datensicherheit ist: Wo speichert der Cloud-Anbieter die Cloud-Daten der Kunden? Laut einer aktuellen IDC-Studie zum Thema "Mobile Content Management in Deutschland" legen über 60 Prozent der deutschen Unternehmen Wert darauf, dass die Cloud-Datencenter in Deutschland oder zumindest in Europa stehen (www.fabasoft.de/idc-mobile). Und das ist wichtig und gut. Denn nur so wird die regionale Versorgungssicherheit und Unabhängigkeit Europas gewährleistet und die Sicherheit erhöht. Die geschäftlichen Daten und Dokumente bleiben in Deutschland oder in einem Land der europäischen Union und unterliegen den deutschen bzw. europäischen Richtlinien für Datenschutz und Datensicherheit. Manche Cloud-Anbieter geben dem Kunden die Wahlfreiheit, wo der Speicherort der Daten liegen soll. Beachtung findet auch der Aspekt, dass die kaufmännische Sorgfaltspflicht eine sichere Cloud-Lokation im Sinne eines geeigneten Risikomanagements verlangt.

Ist die Service-Qualität geprüft?

Eine Überprüfung aller relevanten Standards für Sicherheit und Zuverlässigkeit sollte regelmäßig erfolgen. Einen seriösen Anbieter erkennt man unter anderem daran, dass dieser die Service Levels, geplante Wartungsarbeiten sowie Monitoring Berichte veröffentlicht. Ein weiteres Indiz für ein gutes Cloud-Service sind Zertifizierungen.

Herausforderung Cloud Security -
Herausforderung Cloud Security
Cloud-Computing-Umgebungen stellen in Bezug auf die Sicherheit IT-Verantwortliche und Systemverwalter vor neue Herausforderungen. Nach Angaben von Intel sind besonders folgende Faktoren zu berücksichtigen:
Mangel an Kontrolle:
Eine dynamische Technik wie Cloud Computing verschiebt die Grenzen der Unternehmens-IT über das hauseigene Rechenzentrum hinaus, etwa durch Einbeziehen von Public-Cloud-Services. Da
Unzureichende Transparenz:
In einer Cloud-Umgebung ist es wegen der hohen Komplexität schwieriger, Compliance-Vorgaben umzusetzen und die entsprechenden Audits vorzunehmen.
Virtualisierung:
Durch die wachsende Zahl von Virtual Machines steigt das Sicherheitsrisiko, weil alle diese Komponenten verwaltet werden müssen, Stichworte Patch-Management, Implementierung von Schutzsoftware, Einspielen von Updates und so weiter.
Ort der Datenspeicherung:
Rechtliche Vorgaben wie etwa das Bundesdatenschutzgesetz verlangen die Speicherung von Daten in Cloud-Rechenzentren, die innerhalb der EU angesiedelt sind und ausschließlich den hier geltenden Gesetzen unterliegen. Das erschwert die Wahl eines Cloud-Service-Providers.
Public Clouds:
Bei der Nutzung von Public Clouds sind spezielle Sicherheitsanforderungen zu berücksichtigen, etwa bezüglich des Schutzes der Daten, die beim Provider lagern, sowie beim Transport der Daten über Weitverkehrsverbindungen und das Internet.
Zugriff auf die Cloud von privaten Systemen aus:
Trends wie der Einsatz von privaten Endgeräten für betriebliche Zwecke erschweren die Absicherung des Zugriffs auf Cloud-Computing- Ressourcen. Eine Lösung ist der Einsatz von Mobile-Device- Management-Software.
Audits und Überwachung von Sicherheits-Policies:
Compliance- Regeln wie SOX (Sarbanes-Oxley Act), EuroSOX, HIPAA (Health Insurance Portability and Accountability Act) und PCI DSS (Payment Card Industry Data Security Standard) erfordern regelmäßige Überprüfungen der IT-Sicherheitsvorkehrungen. Speziell in Public- und Hybrid-Clouds, in denen neben einem Unternehmen ein Cloud-Service- Provider im Spiel ist, sind entsprechende Audits aufwendig.
Risiken durch gemeinsame Nutzung von Ressourcen:
In Cloud- Umgebungen teilen sich mehrere Kunden (Public Clouds, Community Clouds) physische IT-Ressourcen wie CPU, Speicherplatz und RAM. Wird ein Hypervisor kompromittiert, können die Anwendungen mehrerer Kunden betroffen sein.

Zertifizierte Qualitätsstandards

Dabei weist ein Anbieter die Professionalität seines Rechenzentrumsbetriebs objektiv nach, beispielsweise durch Zertifizierungen wie ISO 27001, ISO 20000, ISAE 3402 Standard oder eine TÜV-Zertifizierung. Diese Zertifikate bestätigen die Informationssicherheit, die Qualität beim IT-Service-Management und dass es sich um ein sicheres, verlässliches und qualitativ hochwertiges Cloud-Service handelt. Das Zertifikat des TÜV Rheinland ist das Prüfsiegel mit den derzeit international umfangreichsten Anforderungen: Beginnend mit einem "Cloud-Readiness-Check" prüft der TÜV die Cloud auf ihre Tauglichkeit in punkto Sicherheit, Interoperabilität, Compliance und Datenschutz. Danach begutachtet er das Cloud-Design und die eigentliche Umsetzung genauso wie Themen der Architektur, Netzwerksicherheit oder Zugriffskontrollen. Nach erfolgreichem Abschluss dieser Prüfung erhält ein Anbieter das Zertifikat "Certified Cloud-Service".

Exakt definierte Zugriffsrechte und -sicherheit

In Europa ist der Schutz der Daten in der Cloud ein zentrales Grundbedürfnis. Das betrifft besonders den geschützten Zugang zu Cloud-Daten (Login). Eine Zwei-Faktor-Authentifizierung (neben Login-Name und Passwort benötigt man eine per SMS zugestellte PIN oder man nutzt für die Anmeldung eine "Digitale Identität" wie die eID-Funktion des neuen Personalausweises) sorgt dabei für noch höhere Sicherheit bei der Anmeldung. Zusätzlich zur besonders sicheren Zwei-Faktor-Authentifizierung erlaubt die Verknüpfung des Cloud-Accounts mit dem bestehenden Active Directory-Account eine sichere und einfach zu verwaltende Integration in die IT-Sicherheitsinfrastrukturen von Unternehmen.

Sichere Zusammenarbeit

In Zeiten von digitalen Identitäten muss im Business gewährleistet sein, dass man mit realen Personen zusammenarbeitet. Mit der Nutzung von digitalen Identitäten, wie der eID-Funktion des neuen Personalausweises schaffen Unternehmen die Gewissheit, dass Geschäftspartner in der Cloud nicht mit gefälschten Identitäten zusammenarbeiten. Die derzeit höchste Sicherheit erreichen Unternehmen mit der Anmeldung über die digitale Identität. So haben diese in der Cloud immer die Gewissheit, dass Sie mit staatlich verifizierten Identitäten zusammenarbeiten.

Was Mittelständler beim Aufbau einer Private Cloud beachten sollten -
Definition einer unternehmensweiten Cloud-Strategie
Wer auf eine Cloud-Infrastruktur umsteigen möchte, sollte zunächst eine entsprechende Strategie definieren.
Kritische Auswahl der Cloud-fähigen Systeme und Anwendungen
Unternehmen sollten genau prüfen, welche Systeme sich für die Cloud eignen.
Auswahl eines geeigneten Beratungspartners
Ein geeigneter Beratungspartner sollte umfangreiche Erfahrungen mit unternehmensinternen Cloud-Strukturen aufweisen und Expertise im Mittelstand mitbringen.
Umfassende Konsolidierung und Standardisierung der bestehenden IT-Landschaft
Grundvoraussetzung für eine flexible Verteilung und Nutzung von Ressourcen in der Cloud ist eine weitgehende Virtualisierung der IT-Systeme.
Virtualisierung mit Hilfe spezieller Werkzeuge
Bei der Virtualisierung der Systeme können Unternehmen inzwischen auf zahlreiche unterstützende Tools zurückgreifen.
Ausbau von Hardware und Netzkapazität
Update: Beim Cloud-Umstieg nicht zu unterschätzen: die Themen Netzanbindung und Internetanschluss.
Weiterentwicklung zur Hybrid Cloud
Hybride Cloud: Viele Unternehmen kombinieren lokale und fremdbezogene Cloud-Dienste.

Gewissheit, was mit den Daten passiert

Grundsätzlich sollten Unternehmen abwägen, welche Daten sie in der Cloud lagern. Geht ein Unternehmen mit der Datenhaltung in der Cloud sensibel um und beachtet Empfehlungen zu Datenspeicherung, Collaboration und Zugriffsrechten, kann es die Effizienz deutlich steigern. Um B2B Collaboration noch sicherer zu machen muss ein Cloud-Anbieter Compliance-Anforderungen umsetzen. Idealerweise bietet er auch eine Versionierung von Dokumenten an, um Änderungen nachvollziehbar machen zu können. Dynamische Wasserzeichen sind ebenfalls ein nützliches Tool, um Daten zu schützen. Druckt oder legt ein autorisierter Nutzer eine Kopie Ihrer Inhalte auf der lokalen Festplatte ab, sind diese noch immer durch ein Wasserzeichen gekennzeichnet.

Fazit:

Die Umsetzung dieser sieben Punkte ist ein sehr guter Ansatz für sicheres Cloud-Computing. Dennoch sind Anbieter auf rechtliche Rahmenbedingungen angewiesen. Die Europäische Union arbeitet im Rahmen ihrer Cloud-Strategie mit Hochdruck daran, den Wirtschaftsstandort Europa für Cloud-Computing noch attraktiver und sicherer zu machen. (hal)