Cloud Security
Sichere Cloud-Lösungen verkaufen sich besser
Ein in der Vergangenheit wenig beachteter Aspekt des Themas Cloud Security sind Sicherheitsdienste, die als Cloud-Services angeboten werden. Das wird sich nach Einschätzung von Experton künftig ändern. Velten: "Dabei reden wir nicht nur über E-Mail-Security oder Firewall-Services, die ja schon bekannt sind, sondern beispielsweise auch über Identitäts-Management und Single-Sign-on aus der Cloud, wie es die Firma Okta anbietet." Anwender könnten so mit einmaliger Eingabe ihres Passworts bei der Anmeldung nicht nur die internen Unternehmenssysteme nutzen, sondern auch die für sie zugelassenen Anwendungen in der Cloud.
Beispiel Qualys
Als weiteres Beispiel nennen Velten und Janata Qualys: "Die Firma hat ursprünglich damit begonnen, Internet-Auftritte und E-Commerce-Content auf Malware-Befall zu untersuchen, auch Content von Drittanbietern. Um dieses Angebot herum entstand ein breites Portfolio von Infrastruktur- und Sicherheits-Management-Tools, die aus der Cloud heraus nutzbar sind. Wir bei Experton schätzen diesen Bereich als einen der wichtigsten Wachstumsbereiche im Cloud-Markt ein."
Foto: natashasha, shutterstock.com
Auch die Neuregelung des elektronischen Zahlungsverkehrs mit der für alle Unternehmen verpflichtenden Einführung von SEPA bietet neue Möglichkeiten zum Einsatz von Cloud-Lösungen. Dabei gilt es für Anwender, die drei Prüfungsbereiche Server, Zertifikatsaustausch und Zugriff zu untersuchen. Zum Beispiel bestimmen im Bereich Server Betriebsort und Herkunft des Anbieters die Rahmenbedingungen für den DatenschutzDatenschutz aufgrund der jeweiligen nationalen Gesetzgebungen. Christian Fink, Zahlungsverkehrsexperte bei NTT Data, betont: "Cloud-Lösungen, die europäische Sicherheitsstandards erfüllen, sind vor allem für hoch vernetzte Unternehmensprozesse mit geschäftskritischen Daten geeignet." Alles zu Datenschutz auf CIO.de
Der deutsche Sonderweg
Frank Pototzki, Principal Manager Application Services Capgemini Deutschland, meint: "Im deutschen Markt muss die Nutzung von Cloud-Services den Anforderungen des Bundesdatenschutzgesetzes sowie spezifischen Regelungen aus dem Telekommunikationsgesetz für Netzdienstleister oder dem Sozialgesetzbuch für öffentliche Dienstleister genügen." Vor allem die Auftragsdatenverarbeitung sei ein kritischer Punkt. Vor Vertragsabschluss müsse mit dem Cloud-Anbieter verifiziert werden, wo die Daten gespeichert sind und wie auf sie zugegriffen wird. Persönliche gesundheitliche Befunde, oder Gesprächsdaten dürften beispielsweise nicht außerhalb Deutschlands gespeichert werden.
"Unabhängig vom tatsächlichen Speicherort spielt es für den Datenschutz eine wichtige Rolle, ob ein Cloud-Anbieter ausschließlich deutschem Recht oder beispielsweise dem US Patriot Act verpflichtet ist", sagt der Experte. Hierbei sei nicht relevant, mit wem der Vertrag geschlossen wird, sondern wer die Leistung letztlich erbringt. "In unserer globalisierten und vernetzten Welt ist es für die Anbieter von Cloud-Services und Integratoren von Cloud-basierten Lösungen eine besondere Herausforderung, diesen Nachweis zu erbringen."
- Wie sich IT-Sicherheit und Cloud Security unterscheiden
Datenverluste und das Kompromittieren von unternehmenskritischen Informationen sind in traditionellen IT-Infrastrukturen und Cloud-Computing-Umgebungen auf unterschiedliche Faktoren zurückzuführen, so die IT-Firmen Symantec und Intel. In Unternehmensnetzen sind dafür drei Faktoren verantwortlich: - Wohlmeinende Mitarbeiter:
Sie verzichten fahrlässig auf das Verschlüsseln von wichtigen Daten oder nehmen Geschäftsinformationen auf USB-Sticks oder privaten Mobilgeräten mit nach Hause. Weitere potenzielle Gefahren durch solche Mitarbeiter: der Verlust von Mobilsystemen wie Notebooks oder die Weitergabe von Account-Daten an Kollegen. - Böswillige Mitarbeiter:
Sie verschaffen sich gezielt Zugang zu Geschäftsdaten, um diese zu verkaufen oder für persönliche Zwecke zu missbrauchen. Ein typisches Beispiel: Ein Mitarbeiter kopiert vor dem Wechsel zu einem Konkurrenten Kundendaten, Preislisten oder Projektunterlagen. - Cyber-Kriminelle:
Sie verschaffen sich meist über ungenügend abgesicherte Endgeräte wie PCs, Notebooks und Smartphones Zugang zum Firmennetz und kopieren verwertbare Informationen. - Spezielle Risiken für Cloud Security:
In Cloud-Computing-Umgebungen kommen zu den genannten potenziellen Risiken weitere hinzu. Dazu zählt die Nutzung von Cloud-Services ohne Wissen der IT-Abteilung. Dies können Online-Storage-Dienste wie Dropbox sein, aber auch CRM-Angebote wie Salesforce. Das „Aussperren“ der IT-Fachleute torpediert eine unternehmensweite IT- und Cloud-Security- Strategie. - Spezielle Risiken für Cloud Security:
Ein weiterer Faktor ist das verteilte Speichern unternehmenskritischer Daten: Sie lagern teilweise auf IT-Systemen im Unternehmensnetz, teils auf denen des Cloud-Computing-Service- Providers. Dies erschwert es, den Zugriff auf diese Informationen zu reglementieren und ihren Schutz sicherzustellen. - Spezielle Risiken für Cloud Security:
Ein dritter Punkt: Cyber-Kriminellen und „böswilligen Insidern“ stehen mehr Angriffspunkte zur Verfügung: das Unternehmensnetz, die Cloud-Computing-Umgebung des Providers und die Kommunikationswege zwischen Kunde und Cloud-Service-Provider. - Wie sich IT-Sicherheit und Cloud Security unterscheiden
Datenverluste und das Kompromittieren von unternehmenskritischen Informationen sind in traditionellen IT-Infrastrukturen und Cloud-Computing-Umgebungen auf unterschiedliche Faktoren zurückzuführen, so die IT-Firmen Symantec und Intel. In Unternehmensnetzen sind dafür drei Faktoren verantwortlich: - Wohlmeinende Mitarbeiter:
Sie verzichten fahrlässig auf das Verschlüsseln von wichtigen Daten oder nehmen Geschäftsinformationen auf USB-Sticks oder privaten Mobilgeräten mit nach Hause. Weitere potenzielle Gefahren durch solche Mitarbeiter: der Verlust von Mobilsystemen wie Notebooks oder die Weitergabe von Account-Daten an Kollegen. - Böswillige Mitarbeiter:
Sie verschaffen sich gezielt Zugang zu Geschäftsdaten, um diese zu verkaufen oder für persönliche Zwecke zu missbrauchen. Ein typisches Beispiel: Ein Mitarbeiter kopiert vor dem Wechsel zu einem Konkurrenten Kundendaten, Preislisten oder Projektunterlagen. - Cyber-Kriminelle:
Sie verschaffen sich meist über ungenügend abgesicherte Endgeräte wie PCs, Notebooks und Smartphones Zugang zum Firmennetz und kopieren verwertbare Informationen. - Spezielle Risiken für Cloud Security:
In Cloud-Computing-Umgebungen kommen zu den genannten potenziellen Risiken weitere hinzu. Dazu zählt die Nutzung von Cloud-Services ohne Wissen der IT-Abteilung. Dies können Online-Storage-Dienste wie Dropbox sein, aber auch CRM-Angebote wie Salesforce. Das „Aussperren“ der IT-Fachleute torpediert eine unternehmensweite IT- und Cloud-Security- Strategie. - Spezielle Risiken für Cloud Security:
Ein weiterer Faktor ist das verteilte Speichern unternehmenskritischer Daten: Sie lagern teilweise auf IT-Systemen im Unternehmensnetz, teils auf denen des Cloud-Computing-Service- Providers. Dies erschwert es, den Zugriff auf diese Informationen zu reglementieren und ihren Schutz sicherzustellen. - Spezielle Risiken für Cloud Security:
Ein dritter Punkt: Cyber-Kriminellen und „böswilligen Insidern“ stehen mehr Angriffspunkte zur Verfügung: das Unternehmensnetz, die Cloud-Computing-Umgebung des Providers und die Kommunikationswege zwischen Kunde und Cloud-Service-Provider.