Datenschutz und -sicherheit: Ein Beispiel
Der Schutz der Daten in der Cloud
Auch für kleinere Cloud-Provider, die nicht über die üblichen Zertifikate verfügen, wurde laut Wierstorf ein Evaluierungspfad geschaffen: "Hierfür haben wir eine interne Checkliste, nach der wir den Dienstleister beurteilen. Natürlich sind dabei auch detaillierte Gespräche notwendig. Zudem prüfen wir im Einzelfall auch vor Ort die organisatorische Seite eines Anbieters." Allerdings ist auch Wierstorf klar, dass Zertifikate und sonstige Nachweise noch kein Garant für die Sicherheit sind. Deshalb werden die Dienstleister im Nachgang stichprobenartig durch Penetrationstests überprüft. Für diese Aufgabe bedient sich Brainlab ausschließlich externer Fachleute.
Sensibilisiert und fit
Die Mitarbeiter sind zu einem verantwortungsbewussten Umgang mit den Daten angehalten und dafür auch sensibilisiert und trainiert. Hier unterstützt das Unternehmen unter anderem durch E-Learning. "Welche Risiken wir damit eingehen, wissen wir aus einer jüngst erfolgten Risikoanalyse. Bislang trat jedoch bei uns noch kein Vorfall auf", versichert Wierstorf.
Dass sich die IT-Abteilung darauf nicht ausruhen kann, ist ihm bewusst. Cyber-Kriminelle sind äußerst erfinderisch, wenn es um neue Angriffsverfahren geht. Mittelfristigen Handlungsbedarf sieht Wierstorf deswegen in erster Linie bei den Windows-PCs. Hier setzt das Unternehmen auf die einfache Anwenderauthentisierung mit Benutzername und Passwort. Das Ziel ist eine starke Zwei-Faktoren-Authentisierung. Dieses Verfahren basiert auf dem Prinzip, dass ein Benutzer etwas besitzen und etwas wissen muss, um sich Zugang zum Rechner zu verschaffen.
Üblich sind dabei Tokens in Form eines USB-Sticks, die in Verbindung mit einem Passwort den Zugang zur gewünschten Ressource freigeben. So lassen sich keine Benutzerdaten eines Anwenders ausspähen. "Wir haben die ersten Lösungen evaluiert", so Wierstorf zum Stand der Dinge. "Nach jetzigem Stand bevorzugen wir entweder Hardware-Tokens oder alternativ Software-Tokens, die zum Beispiel über das Smartphone des Mitarbeiters eine Authentisierung erlauben."
Ein weiteres Feld, das noch zu bearbeiten ist, sieht Wierstorf im Sourcing. Generell bevorzugt er als Bereitstellungsmodell für bestimmte IT-Services die Cloud. Durch seine historisch gewachsene IT betreibt Brainlab aber noch immer zahlreiche Systeme im eigenen Haus, die unter Umständen auch sinnvoll über einen externen Dienstleister bezogen werden könnten.
- Herausforderung Cloud Security
Cloud-Computing-Umgebungen stellen in Bezug auf die Sicherheit IT-Verantwortliche und Systemverwalter vor neue Herausforderungen. Nach Angaben von Intel sind besonders folgende Faktoren zu berücksichtigen: - Mangel an Kontrolle:
Eine dynamische Technik wie Cloud Computing verschiebt die Grenzen der Unternehmens-IT über das hauseigene Rechenzentrum hinaus, etwa durch Einbeziehen von Public-Cloud-Services. Da - Unzureichende Transparenz:
In einer Cloud-Umgebung ist es wegen der hohen Komplexität schwieriger, Compliance-Vorgaben umzusetzen und die entsprechenden Audits vorzunehmen. - Virtualisierung:
Durch die wachsende Zahl von Virtual Machines steigt das Sicherheitsrisiko, weil alle diese Komponenten verwaltet werden müssen, Stichworte Patch-Management, Implementierung von Schutzsoftware, Einspielen von Updates und so weiter. - Ort der Datenspeicherung:
Rechtliche Vorgaben wie etwa das Bundesdatenschutzgesetz verlangen die Speicherung von Daten in Cloud-Rechenzentren, die innerhalb der EU angesiedelt sind und ausschließlich den hier geltenden Gesetzen unterliegen. Das erschwert die Wahl eines Cloud-Service-Providers. - Public Clouds:
Bei der Nutzung von Public Clouds sind spezielle Sicherheitsanforderungen zu berücksichtigen, etwa bezüglich des Schutzes der Daten, die beim Provider lagern, sowie beim Transport der Daten über Weitverkehrsverbindungen und das Internet. - Zugriff auf die Cloud von privaten Systemen aus:
Trends wie der Einsatz von privaten Endgeräten für betriebliche Zwecke erschweren die Absicherung des Zugriffs auf Cloud-Computing- Ressourcen. Eine Lösung ist der Einsatz von Mobile-Device- Management-Software. - Audits und Überwachung von Sicherheits-Policies:
Compliance- Regeln wie SOX (Sarbanes-Oxley Act), EuroSOX, HIPAA (Health Insurance Portability and Accountability Act) und PCI DSS (Payment Card Industry Data Security Standard) erfordern regelmäßige Überprüfungen der IT-Sicherheitsvorkehrungen. Speziell in Public- und Hybrid-Clouds, in denen neben einem Unternehmen ein Cloud-Service- Provider im Spiel ist, sind entsprechende Audits aufwendig. - Risiken durch gemeinsame Nutzung von Ressourcen:
In Cloud- Umgebungen teilen sich mehrere Kunden (Public Clouds, Community Clouds) physische IT-Ressourcen wie CPU, Speicherplatz und RAM. Wird ein Hypervisor kompromittiert, können die Anwendungen mehrerer Kunden betroffen sein.