Security as a Service
Wie Snowden den Cloud-Sicherheitsmarkt beeinflusst
Die bereits erwähnte Sicherheit der Datenverschlüsselung sieht Dehning als grundsätzlich gegeben, auch wenn Fehler bei der Verschlüsselung die Sicherheit beeinträchtigen könnten. Außerdem bestehe in seinen Augen ein theoretisches Restrisiko, dass die Sicherheit von Verschlüsselungsverfahren durch Entdeckung eines gegenläufigen Rechenverfahrens doch aufgehoben sein könnte. Dafür gebe es derzeit aber keine Anzeichen, da der Einsatz eines solchen Verfahrens sicherlich auffallen würde. So biete antispameurope mit gutem Gewissen E-Mail-Verschlüsselung und verschlüsselte Datenspeicherung in der Cloud als SECaaS-Dienste an - von Deutschland aus.
Die größten Sicherheitsprobleme sieht Dehning vielmehr auf Seiten der mobilen Geräte, wo die Grenzen zwischen geschäftlicher und privater Nutzung verschwimmen. Der klassische Perimetergedanke der Abgrenzung des internen Netzwerkes, etwa durch Firewalls, gleiche hier eher einem "löchrigen Zaun". Abhilfe kann nur eine vollständige Verschlüsselung der SmartphonesSmartphones und TabletsTablets bieten. Über entsprechende Dienstleistungen auch zur Patchverwaltung denke man laut Dehning bei antispameurope nach, da die Nachfrage inzwischen merklich gestiegen sei. Alles zu Smartphones auf CIO.de Alles zu Tablets auf CIO.de
- Herausforderung Cloud Security
Cloud-Computing-Umgebungen stellen in Bezug auf die Sicherheit IT-Verantwortliche und Systemverwalter vor neue Herausforderungen. Nach Angaben von Intel sind besonders folgende Faktoren zu berücksichtigen: - Mangel an Kontrolle:
Eine dynamische Technik wie Cloud Computing verschiebt die Grenzen der Unternehmens-IT über das hauseigene Rechenzentrum hinaus, etwa durch Einbeziehen von Public-Cloud-Services. Da - Unzureichende Transparenz:
In einer Cloud-Umgebung ist es wegen der hohen Komplexität schwieriger, Compliance-Vorgaben umzusetzen und die entsprechenden Audits vorzunehmen. - Virtualisierung:
Durch die wachsende Zahl von Virtual Machines steigt das Sicherheitsrisiko, weil alle diese Komponenten verwaltet werden müssen, Stichworte Patch-Management, Implementierung von Schutzsoftware, Einspielen von Updates und so weiter. - Ort der Datenspeicherung:
Rechtliche Vorgaben wie etwa das Bundesdatenschutzgesetz verlangen die Speicherung von Daten in Cloud-Rechenzentren, die innerhalb der EU angesiedelt sind und ausschließlich den hier geltenden Gesetzen unterliegen. Das erschwert die Wahl eines Cloud-Service-Providers. - Public Clouds:
Bei der Nutzung von Public Clouds sind spezielle Sicherheitsanforderungen zu berücksichtigen, etwa bezüglich des Schutzes der Daten, die beim Provider lagern, sowie beim Transport der Daten über Weitverkehrsverbindungen und das Internet. - Zugriff auf die Cloud von privaten Systemen aus:
Trends wie der Einsatz von privaten Endgeräten für betriebliche Zwecke erschweren die Absicherung des Zugriffs auf Cloud-Computing- Ressourcen. Eine Lösung ist der Einsatz von Mobile-Device- Management-Software. - Audits und Überwachung von Sicherheits-Policies:
Compliance- Regeln wie SOX (Sarbanes-Oxley Act), EuroSOX, HIPAA (Health Insurance Portability and Accountability Act) und PCI DSS (Payment Card Industry Data Security Standard) erfordern regelmäßige Überprüfungen der IT-Sicherheitsvorkehrungen. Speziell in Public- und Hybrid-Clouds, in denen neben einem Unternehmen ein Cloud-Service- Provider im Spiel ist, sind entsprechende Audits aufwendig. - Risiken durch gemeinsame Nutzung von Ressourcen:
In Cloud- Umgebungen teilen sich mehrere Kunden (Public Clouds, Community Clouds) physische IT-Ressourcen wie CPU, Speicherplatz und RAM. Wird ein Hypervisor kompromittiert, können die Anwendungen mehrerer Kunden betroffen sein.
Services am Endpunkt
Foto: secunet
Der Problematik der unsicheren mobilen Endgeräte hat sich der Essener Sicherheitsspezialist secunet angenommen. Das Unternehmen bietet Sicherheitsberatung als Basis für dedizierte SECaaS-Dienstleistungen an und hat unter anderem ein voll verschlüsseltes BusinessBook im Programm. Vertriebsleiter Jens Westphal merkt an, dass Security-Services eine trügerische Sicherheit vermitteln können, wenn nicht das gesamte sicherheitsrelevante Umfeld mit betrachtet und die vorhandenen Werkzeuge bewusst eingesetzt werden. Es sei wichtig, vor Abschluss eines SECaaS-Vertrags den eigenen Schutzbedarf genau zu ermitteln. Zudem sei jedes Unternehmen gut beraten, einen vertrauenswürdigen lokalen Anbieter auszuwählen, dessen Umfeld und Hintergrund bekannt sind. Auch wenn dieser im Einzelfall teurer sei als ein globaler Player.
Kampf den Hintertüren
Foto: Sascha Reklau
Die Vorzüge des deutschen Rechtsraumes weiß auch Thorsten Urbanski vom Bochumer Softwarehersteller G Data zu schätzen. Das Unternehmen bietet neben IT-Security-Produkten wie beispielsweise Virenschutz-Lösungen für Unternehmen, mit zertifizierten Partnern auch SECaaS in Form von Managed Services an. G Data führt wie über sechzig andere deutsche Hersteller das ITSMIG-Logo ("IT-Security made in Germany") des Branchenverbandes TeleTrusT. Das Unternehmen hat sich damit öffentlichkeitswirksam verpflichtet, keine Hintertüren für Behörden und Geheimdienste in seine Softwareprodukte einzubauen.
Urbanski, der dem ITSMIG-Arbeitskreis vorsteht, sieht die größte Gefahr im mangelhaften Patch-Management auf den Endgeräten. Nach seiner Meinung seien bei über 70 Prozent der erfolgreichen Exploits im Unternehmen entsprechende Patches bereits verfügbar gewesen. Das zeige, dass IT-Sicherheitsdienste einfach zu bedienen sein müssten und den Anwendern nicht zur Last fallen dürfen. Es komme auf die für den Anwender richtige Kombination aus interner Administration, Softwareunterstützung und externen Dienstleistungen an.